DSRRM- und DSGVO-Richtlinie
Richtlinie der EITCA-Akademie zur Verwaltung von Anfragen zu Rechten betroffener Personen und zur Datenschutz-Grundverordnung
Dieses Dokument legt die Richtlinie des Europäischen Instituts für IT-Zertifizierung zum Umgang mit Anträgen auf Rechte betroffener Personen sowie die Umsetzung der EU-Datenschutz-Grundverordnung fest, die regelmäßig überprüft und aktualisiert wird, um ihre Wirksamkeit und Relevanz sicherzustellen. Die letzte Aktualisierung der EITCI-Richtlinie zu Anträgen auf Rechte von betroffenen Personen und der DSGVO-Richtlinie wurde am 10. Januar 2023 vorgenommen. Unsere Richtlinie zu Anträgen auf Rechte von betroffenen Personen und die DSGVO-Richtlinie basiert auf den Prinzipien der ISO 27701-Datenschutz-Informationsmanagementsystem-Erweiterung der ISO 27001-Informationssicherheit Systemstandard sowie zu den Anforderungen der Datenschutz-Grundverordnung (2016/679).
Teil 1. Einführung
Die Verwaltung von Anträgen auf Rechte betroffener Personen ist ein wesentlicher Bestandteil der Gewährleistung der Einhaltung der Datenschutzbestimmungen, insbesondere der DSGVO (Datenschutz-Grundverordnung der EU). Das Europäische IT-Zertifizierungsinstitut hat die folgenden formalen Verfahren zur Verwaltung von Anträgen auf Rechte betroffener Personen und zur Umsetzung der Anforderungen der DSGVO definiert:
1.1. Einrichtung eines Prozesses zur Bearbeitung von Anträgen auf Rechte betroffener Personen
Dieser Prozess beschreibt die Schritte, die das Europäische Institut für IT-Zertifizierung befolgt, wenn es Anträge auf Rechte betroffener Personen bearbeitet, einschließlich der Identifizierung und Authentifizierung der betroffenen Person, der Überprüfung der Anfrage der betroffenen Person und der Antwort auf die Anfrage.
1.2. Benennung eines Datenschutzbeauftragten (DSB)
Das Europäische IT-Zertifizierungsinstitut benennt einen Datenschutzbeauftragten, der für die Überwachung der Verwaltung von Anträgen auf Rechte betroffener Personen verantwortlich ist, einschließlich der Überprüfung von Anträgen, der Beantwortung von Anträgen und der Sicherstellung der Einhaltung von Datenschutzbestimmungen.
1.3. Pflege eines aktuellen Verzeichnisses personenbezogener Daten
Das Europäische IT-Zertifizierungsinstitut führt ein aktuelles Verzeichnis der von ihm gespeicherten personenbezogenen Daten und der Zwecke, für die sie verarbeitet werden. Dies wird es dem Europäischen Institut für IT-Zertifizierung ermöglichen, schnell und genau auf Anfragen bezüglich der Rechte betroffener Personen zu reagieren.
1.4. Bereitstellung klarer und präziser Informationen für betroffene Personen
Bei der Erhebung personenbezogener Daten stellt das Europäische IT-Zertifizierungsinstitut den betroffenen Personen klare und präzise Informationen über ihre Rechte zur Verfügung, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten.
1.5. Festlegung einer Standardantwortzeit
Das Europäische Institut für IT-Zertifizierung hält eine Standardantwortzeit für Anträge auf Rechte betroffener Personen ein und stellt sicher, dass Anträge innerhalb dieses Zeitrahmens beantwortet werden.
1.6. Überprüfung der Identität der betroffenen Person
Das Europäische IT-Zertifizierungsinstitut überprüft die Identität der betroffenen Person, die den Antrag stellt, um sicherzustellen, dass die personenbezogenen Daten nur der richtigen Person zur Verfügung gestellt werden.
1.7. Unverzügliche Reaktion auf Anfragen zu Rechten betroffener Personen
Das Europäische Institut für IT-Zertifizierung antwortet unverzüglich auf Anfragen zu Rechten betroffener Personen und stellt der betroffenen Person die angeforderten Informationen zur Verfügung.
1.8. Dokumentieren von Anträgen auf Rechte betroffener Personen
Das Europäische Institut für IT-Zertifizierung führt Aufzeichnungen über Anträge auf Rechte betroffener Personen, einschließlich des Datums des Antrags, der Art des Antrags und der Antwort auf den Antrag.
1.9. Überwachung und Überprüfung des Prozesses
Das Europäische Institut für IT-Zertifizierung überwacht und überprüft regelmäßig seinen Prozess zur Bearbeitung von Anträgen auf Rechte betroffener Personen, um sicherzustellen, dass er wirksam bleibt und den einschlägigen Datenschutzbestimmungen entspricht.
1.10. Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
Das Europäische IT-Zertifizierungsinstitut führt das Verzeichnis der Verarbeitungstätigkeiten, ein Dokument, das die von der Organisation durchgeführte Verarbeitung personenbezogener Daten umreißt. Es ist gemäß der EU-Datenschutz-Grundverordnung (DSGVO) erforderlich und soll das Verständnis der Datenverarbeitungsaktivitäten unterstützen und die Einhaltung der DSGVO nachweisen.
Durch Befolgen dieser Formalitäten und Verfahren kann das Europäische IT-Zertifizierungsinstitut Anträge auf Rechte betroffener Personen effektiv verwalten und die Einhaltung von Datenschutzvorschriften, einschließlich der Datenschutz-Grundverordnung in der Europäischen Union, sicherstellen.
Teil 2. Einrichtung eines Verfahrens zur Bearbeitung von Anträgen auf Rechte betroffener Personen
Dieser Prozess beschreibt die Schritte, die das Europäische Institut für IT-Zertifizierung befolgt, wenn es Anträge auf Rechte betroffener Personen bearbeitet, einschließlich der Identifizierung und Authentifizierung der betroffenen Person, der Überprüfung der Anfrage der betroffenen Person und der Antwort auf die Anfrage:
2.1. Identifizierung und Authentifizierung der betroffenen Person
Das European IT Certification Institute unterhält ein Verfahren zur Überprüfung der Identität der betroffenen Person, die den Antrag stellt. Dies kann das Anfordern eines von der Regierung ausgestellten Ausweises, das Abgleichen mit bestehenden Aufzeichnungen oder die Verwendung anderer Authentifizierungsmethoden umfassen.
2.2. Überprüfung der Anfrage der betroffenen Person
Sobald die Identität der betroffenen Person festgestellt wurde, muss das Europäische Institut für IT-Zertifizierung überprüfen, ob der Antrag gültig ist und sich auf die personenbezogenen Daten der betroffenen Person bezieht. Die Anfrage sollte auch das spezifische Recht enthalten, das ausgeübt wird, wie z. B. das Recht auf Zugang, Berichtigung oder Löschung personenbezogener Daten.
2.3. Beantwortung der Anfrage
Das Europäische IT-Zertifizierungsinstitut muss innerhalb des durch die einschlägigen Datenschutzgesetze festgelegten Zeitrahmens, jedoch nicht länger als 30 Tage, auf die Anfrage der betroffenen Person antworten. Die Antwort sollte eine Erklärung enthalten, ob dem Antrag stattgegeben oder abgelehnt wurde, sowie die Gründe für die Entscheidung.
2.4. Dokumentieren der Anfrage und Antwort
Das Europäische Institut für IT-Zertifizierung führt Aufzeichnungen über alle Anfragen und Antworten zu Rechten betroffener Personen. Dies trägt dazu bei, die Einhaltung relevanter Datenschutzgesetze sicherzustellen und zukünftige Audits oder Untersuchungen zu erleichtern.
2.5. Schulung relevanter Mitarbeiter
Das Europäische Institut für IT-Zertifizierung bietet Schulungen für Mitarbeiter an, die für die Bearbeitung von Anträgen auf Rechte betroffener Personen verantwortlich sind, um sicherzustellen, dass sie mit den einschlägigen Datenschutzgesetzen und den Verfahren des Europäischen Instituts für IT-Zertifizierung für die Bearbeitung solcher Anträge vertraut sind.
2.6. Überwachung und Überprüfung des Prozesses
Das Europäische Institut für IT-Zertifizierung überwacht und überprüft den Prozess zur Bearbeitung von Anträgen auf Rechte betroffener Personen regelmäßig, um sicherzustellen, dass er weiterhin wirksam ist und den einschlägigen Datenschutzgesetzen entspricht. Alle Probleme oder Vorfälle werden rechtzeitig gemeldet und behoben.
Teil 3. Benennung eines Datenschutzbeauftragten (DSB)
Das Europäische IT-Zertifizierungsinstitut benennt einen Datenschutzbeauftragten, der für die Überwachung der Verwaltung von Anträgen auf Rechte betroffener Personen verantwortlich ist, einschließlich der Überprüfung von Anträgen, der Beantwortung von Anträgen und der Sicherstellung der Einhaltung von Datenschutzbestimmungen.
3.1. Benennung des Datenschutzbeauftragten
Das Europäische IT-Zertifizierungsinstitut ernennt einen Datenschutzbeauftragten (DSB), um die Verwaltung von Anträgen auf Rechte betroffener Personen zu überwachen und die Einhaltung der Datenschutzbestimmungen sicherzustellen. Der Datenschutzbeauftragte ist für die Prüfung von Anträgen und die Sicherstellung, dass das Europäische Institut für IT-Zertifizierung seine gesetzlichen Verpflichtungen in Bezug auf den Datenschutz erfüllt, verantwortlich.
3.2. Anforderungen an die Kompetenzen des Datenschutzbeauftragten
Der DSB muss über Expertenwissen zu Datenschutzgesetzen und -praktiken verfügen und mit den erforderlichen Ressourcen ausgestattet sein, um seine Aufgaben zu erfüllen. Sie sollten direkten Zugang zur Geschäftsleitung haben und der höchsten Managementebene der Organisation unterstellt sein.
3.3. Verantwortlichkeiten des Datenschutzbeauftragten
Zu den Verantwortlichkeiten des Datenschutzbeauftragten gehören unter anderem die folgenden:
- Anleitung und Beratung des Europäischen IT-Zertifizierungsinstituts in Datenschutzangelegenheiten, einschließlich der Verwaltung von Anträgen auf Rechte betroffener Personen.
- Überwachung der Einhaltung von Datenschutzbestimmungen und internen Richtlinien und Verfahren durch das Europäische IT-Zertifizierungsinstitut.
- Beantwortung von Anfragen und Beschwerden von betroffenen Personen bezüglich ihrer Rechte gemäß den Datenschutzbestimmungen.
- Abstimmung mit anderen Abteilungen, um sicherzustellen, dass die Datenschutzanforderungen in der gesamten Organisation erfüllt werden.
- Durchführung regelmäßiger Überprüfungen und Bewertungen der Datenschutzpraktiken des European IT Certification Institute und Abgabe von Verbesserungsempfehlungen.
- Als Kontaktstelle für Datenschutzbehörden dienen und im Falle einer Untersuchung oder Prüfung mit ihnen zusammenarbeiten.
- Der Datenschutzbeauftragte ist auch an der Entwicklung und Umsetzung der Richtlinien und Verfahren des European IT Certification Institute in Bezug auf den Datenschutz beteiligt, einschließlich derjenigen, die sich auf die Bearbeitung von Anträgen auf Rechte betroffener Personen beziehen.
3.4. Schulung und Qualifikationsentwicklung des Datenschutzbeauftragten
Das Europäische IT-Zertifizierungsinstitut sollte sicherstellen, dass der Datenschutzbeauftragte in Bezug auf Datenschutzbestimmungen angemessen geschult und über Änderungen oder Aktualisierungen dieser Bestimmungen auf dem Laufenden gehalten wird.
3.5. Kontaktdaten des Datenschutzbeauftragten
Die Kontaktinformationen des Datenschutzbeauftragten sollten den betroffenen Personen zur Verfügung gestellt und in die Datenschutzerklärung oder -richtlinie des Europäischen Instituts für IT-Zertifizierung aufgenommen werden.
Teil 4. Pflege eines aktuellen Verzeichnisses personenbezogener Daten
Das Europäische IT-Zertifizierungsinstitut führt ein aktuelles Verzeichnis der von ihm gespeicherten personenbezogenen Daten und der Zwecke, für die sie verarbeitet werden. Dies wird es dem Europäischen Institut für IT-Zertifizierung ermöglichen, schnell und genau auf Anfragen bezüglich der Rechte betroffener Personen zu reagieren.
4.1. Einrichtung eines Prozesses zur Identifizierung und Aufzeichnung personenbezogener Daten
Das Europäische Institut für IT-Zertifizierung richtet ein klares und standardisiertes Verfahren zur Identifizierung und Aufzeichnung personenbezogener Daten ein, einschließlich des Namens der betroffenen Person, Kontaktinformationen und anderer relevanter Informationen. Dieser Prozess stellt sicher, dass personenbezogene Daten nur für bestimmte und legitime Zwecke erhoben werden.
4.2. Kategorisierung personenbezogener Daten
Das European IT Certification Institute kategorisiert personenbezogene Daten, um deren Verfolgung und Verwaltung zu erleichtern. Dazu gehört die Kategorisierung von Daten nach Typ, wie z. B. Kontaktinformationen, Rechnungsinformationen, Kompetenzen und Qualifikationen, Finanzinformationen oder Beschäftigungsverlauf.
4.3. Implementieren eines Datenmanagementsystems
Das European IT Certification Institute implementiert ein Datenmanagementsystem, um sicherzustellen, dass personenbezogene Daten korrekt, aktuell und zugänglich sind. Das Datenverwaltungssystem umfasst eine Datenbank, die durchsucht und abgefragt werden kann, um bei der Beantwortung von Anträgen auf Rechte betroffener Personen zu helfen.
4.4. Zuweisung der Verantwortung für die Pflege der Aufzeichnungen personenbezogener Daten
Das Europäische IT-Zertifizierungsinstitut sollte die Verantwortung für die Führung der Aufzeichnungen personenbezogener Daten bestimmten Personen oder Abteilungen zuweisen. Dadurch wird sichergestellt, dass die Aufzeichnungen aktuell und genau sind.
4.5. Regelmäßige Überprüfung und Aktualisierung des Verzeichnisses personenbezogener Daten
Das Europäische IT-Zertifizierungsinstitut sollte die Aufzeichnungen personenbezogener Daten regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie korrekt und aktuell bleiben. Dies kann durch regelmäßige Audits oder durch einen kontinuierlichen Überwachungsprozess erfolgen.
4.6. Implementieren Sie geeignete Sicherheitsmaßnahmen
Das European IT Certification Institute implementiert geeignete Sicherheitsmaßnahmen zum Schutz der von ihm gespeicherten personenbezogenen Daten, einschließlich Maßnahmen zur Verhinderung von unbefugtem Zugriff, versehentlichem Verlust oder Zerstörung personenbezogener Daten als Teil der Informationssicherheitsrichtlinie (ISP) der Organisation. Dazu gehören ua Verschlüsselung, Firewalls und Zugangskontrollen. Eine detaillierte Spezifikation der Prozesse und Maßnahmen zum Datenschutz sind in der Information Security Policy des zuständigen European IT Certification Institute enthalten.
Teil 5. Bereitstellung klarer und präziser Informationen für betroffene Personen
Bei der Erhebung personenbezogener Daten stellt das Europäische IT-Zertifizierungsinstitut den betroffenen Personen klare und präzise Informationen über ihre Rechte zur Verfügung, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung und Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten.
5.1. Transparent
Das Europäische IT-Zertifizierungsinstitut ist bei der Verarbeitung personenbezogener Daten transparent und informiert betroffene Personen prägnant darüber, wie ihre Daten verwendet, verarbeitet und gespeichert werden.
5.2. Datenschutz
Das Europäische IT-Zertifizierungsinstitut verfügt über eine detaillierte Datenschutzrichtlinie, die seine Datenverarbeitungsaktivitäten umreißt, einschließlich der Art und Weise, wie betroffene Personen ihre Rechte als betroffene Person ausüben können.
5.3. Recht auf Zugang
Betroffene Personen haben das Recht, Zugang zu den personenbezogenen Daten zu verlangen, die das Europäische Institut für IT-Zertifizierung über sie gespeichert hat. Das Europäische Institut für IT-Zertifizierung stellt betroffenen Personen klare und präzise Informationen darüber zur Verfügung, wie sie einen Antrag auf Zugang stellen können, welche Informationen zur Überprüfung ihrer Identität erforderlich sind und wie lange das Europäische Institut für IT-Zertifizierung braucht, um auf die Anfrage zu antworten.
5.4. Recht auf Berichtigung
Betroffene Personen haben das Recht, vom Europäischen Institut für IT-Zertifizierung die Berichtigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen, die es über sie gespeichert hat. Das Europäische Institut für IT-Zertifizierung stellt betroffenen Personen klare und präzise Informationen darüber zur Verfügung, wie sie einen Antrag auf Berichtigung stellen können, welche Informationen zur Überprüfung ihrer Identität erforderlich sind und wie lange das Europäische Institut für IT-Zertifizierung braucht, um auf den Antrag zu antworten.
5.5. Recht auf Löschung
Betroffene Personen haben das Recht zu verlangen, dass das Europäische IT-Zertifizierungsinstitut ihre personenbezogenen Daten unter bestimmten Umständen löscht. Das Europäische Institut für IT-Zertifizierung stellt betroffenen Personen klare und präzise Informationen darüber zur Verfügung, wie sie einen Antrag auf Löschung stellen können, welche Informationen zur Überprüfung ihrer Identität erforderlich sind und wie lange das Europäische Institut für IT-Zertifizierung braucht, um auf den Antrag zu antworten.
5.6. Widerspruchsrecht
Betroffene Personen haben unter bestimmten Umständen das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Das Europäische Institut für IT-Zertifizierung stellt betroffenen Personen klare und präzise Informationen darüber zur Verfügung, wie sie einen Antrag auf Widerspruch stellen können, welche Informationen zur Überprüfung ihrer Identität erforderlich sind und wie lange das Europäische Institut für IT-Zertifizierung braucht, um auf den Antrag zu antworten.
5.7. Kontaktinformationen
Das Europäische IT-Zertifizierungsinstitut stellt den betroffenen Personen klare und präzise Kontaktinformationen zur Verfügung, die sie verwenden können, wenn sie Fragen oder Bedenken hinsichtlich der Verarbeitung ihrer personenbezogenen Daten haben.
Teil 6. Festlegung einer Standardreaktionszeit
Das Europäische Institut für IT-Zertifizierung hat eine Standardantwortzeit für Anträge auf Rechte betroffener Personen festgelegt und stellt sicher, dass Anträge innerhalb dieses Zeitrahmens beantwortet werden.
6.1. Standardantwortzeit
Das Europäische Institut für IT-Zertifizierung legt eine Standardreaktionszeit von 30 Tagen für Anträge auf Rechte betroffener Personen fest. Die Standard-Antwortzeit definiert eine Obergrenze für die Bearbeitung und Beantwortung und die meisten Anfragen werden innerhalb kürzerer Zeit bearbeitet und beantwortet.
6.2. Empfangsbestätigungszeit anfordern
Nach Erhalt einer Anfrage bezüglich der Rechte einer betroffenen Person bestätigen der Datenschutzbeauftragte oder andere Mitarbeiter den Eingang der Anfrage innerhalb von 5 Werktagen und teilen der betroffenen Person einen geschätzten Zeitrahmen für die Beantwortung mit.
6.3. Außergewöhnliche Verlängerungen der Standard-Reaktionszeit
Das Europäische Institut für IT-Zertifizierung wird angemessene Anstrengungen unternehmen, um auf Anfragen zu Rechten betroffener Personen innerhalb der festgelegten Standardantwortzeit zu reagieren. Wenn die Anfrage jedoch komplex ist oder das Europäische IT-Zertifizierungsinstitut eine große Anzahl von Anfragen erhält, kann sich die Antwortzeit verlängern. In solchen Fällen informiert der Datenschutzbeauftragte die betroffene Person über die Verlängerung und den Grund für die Verzögerung.
6.4. Weigerung, eine Anfrage bezüglich der Rechte einer betroffenen Person zu erfüllen
Wenn das Europäische IT-Zertifizierungsinstitut einem Antrag auf Rechte einer betroffenen Person nicht nachkommen kann, wird es der betroffenen Person eine Begründung für die Ablehnung geben und sie über ihr Recht informieren, sich bei der zuständigen Aufsichtsbehörde zu beschweren.
6.5. Aufzeichnungen von Anträgen und Antworten zu Rechten betroffener Personen
Das Europäische Institut für IT-Zertifizierung führt genaue Aufzeichnungen über Anträge und Antworten zu Rechten betroffener Personen, einschließlich des Eingangsdatums des Antrags, der Art des Antrags sowie des Datums und der Art der Antwort.
6.6. Regelmäßige Überprüfungen
Der Datenschutzbeauftragte überprüft regelmäßig die Reaktionszeiten des Europäischen Instituts für IT-Zertifizierung und aktualisiert sie bei Bedarf, um die Einhaltung der geltenden Datenschutzbestimmungen sicherzustellen.
Teil 7. Überprüfung der Identität der betroffenen Person
7.1. Anforderung zur Identitätsprüfung
Das Europäische IT-Zertifizierungsinstitut muss die Identität der betroffenen Person überprüfen, die den Antrag stellt, um sicherzustellen, dass die personenbezogenen Daten nur der richtigen Person bereitgestellt werden.
7.2. Mittel und Methoden zur Identitätsprüfung
Wenn eine betroffene Person einen Antrag auf Ausübung ihrer Rechte nach den Datenschutzgesetzen stellt, muss das Europäische Institut für IT-Zertifizierung die Identität der betroffenen Person durch geeignete Maßnahmen, wie z. B. die Anforderung von Ausweisdokumenten, überprüfen.
7.3. Identitätsprüfung eines Stimmrechtsvertreters
Wenn die betroffene Person die Anfrage im Namen einer anderen Person stellt, muss das Europäische Institut für IT-Zertifizierung die Identität sowohl der betroffenen Person als auch der Person, in deren Namen die Anfrage gestellt wird, überprüfen.
7.4. Zweifel an der Identitätsprüfung
Wenn das Europäische IT-Zertifizierungsinstitut Zweifel an der Identität der betroffenen Person oder der Gültigkeit des Antrags hat, kann es zusätzliche Informationen anfordern oder andere geeignete Maßnahmen ergreifen, um die Identität der betroffenen Person zu überprüfen.
7.5. Aufzeichnungen zur Identitätsprüfung
Das Europäische Institut für IT-Zertifizierung sollte Aufzeichnungen über den Überprüfungsprozess und die ergriffenen Maßnahmen zur Überprüfung der Identität der betroffenen Person führen. Diese Aufzeichnungen sollten für einen angemessenen Zeitraum aufbewahrt und zum Nachweis der Einhaltung der Datenschutzgesetze verwendet werden.
Teil 8. Unverzügliche Reaktion auf Anfragen zu Rechten betroffener Personen
8.1. Prompte Antwort
Das Europäische Institut für IT-Zertifizierung reagiert umgehend auf Anfragen zu Rechten betroffener Personen und stellt der betroffenen Person die angeforderten Informationen zur Verfügung.
8.2. Empfangsbestätigung anfordern
Das Europäische IT-Zertifizierungsinstitut bestätigt den Eingang der Anfrage der betroffenen Person so schnell wie möglich, idealerweise innerhalb von 5 Werktagen.
8.3. Überprüfung anfordern
Der benannte Datenschutzbeauftragte sollte den Antrag prüfen, um sicherzustellen, dass er die erforderlichen Anforderungen erfüllt und alle erforderlichen Informationen bereitgestellt wurden.
8.4. Überprüfung der Identität der betroffenen Person
Das Europäische IT-Zertifizierungsinstitut überprüft die Identität der betroffenen Person, die den Antrag stellt, um sicherzustellen, dass die personenbezogenen Daten nur der richtigen Person zur Verfügung gestellt werden.
8.5. Einholen zusätzlicher Informationen bei Bedarf
Wenn die Anfrage unklar oder unzureichend ist, sollte das Europäische IT-Zertifizierungsinstitut die betroffene Person kontaktieren, um zusätzliche Informationen zu erhalten.
8.5. Abrufen der relevanten Daten
Das Europäische IT-Zertifizierungsinstitut ruft die relevanten personenbezogenen Daten ab und überprüft sie, um sicherzustellen, dass sie korrekt und aktuell sind.
8.6. Bereitstellung der angeforderten Informationen
Das Europäische IT-Zertifizierungsinstitut stellt der betroffenen Person die von ihr angeforderten Informationen bereit, einschließlich einer Kopie ihrer personenbezogenen Daten in einem gängigen elektronischen Format, sofern nicht anders angefordert.
8.7. Informieren Sie die betroffene Person über ihre Rechte
Das Europäische IT-Zertifizierungsinstitut informiert die betroffene Person über ihre anderen Rechte, wie das Recht auf Berichtigung oder Löschung ihrer personenbezogenen Daten, und gibt ihnen die erforderlichen Anweisungen.
8.8. Einhaltung der Reaktionszeit
Das Europäische Institut für IT-Zertifizierung antwortet auf Anfragen bezüglich der Rechte betroffener Personen innerhalb der festgelegten Reaktionszeit und stellt sicher, dass die erforderlichen Maßnahmen ergriffen werden, um der Anfrage nachzukommen.
8.9. Dokumentation der Antwort
Das Europäische IT-Zertifizierungsinstitut dokumentiert die Antwort auf den Antrag auf Rechte der betroffenen Person, einschließlich aller ergriffenen Maßnahmen und der Reaktionszeit, um sicherzustellen, dass sie für Compliance-Zwecke geprüft und nachverfolgt werden kann.
8.10. Benachrichtigung der betroffenen Person über Änderungen
Werden aufgrund ihrer Anfrage Änderungen an den personenbezogenen Daten der betroffenen Person vorgenommen, teilt das Europäische Institut für IT-Zertifizierung der betroffenen Person diese Änderungen mit.
Teil 9. Dokumentieren von Anträgen auf Rechte betroffener Personen
Das Europäische Institut für IT-Zertifizierung führt Aufzeichnungen über Anträge auf Rechte betroffener Personen, einschließlich des Datums des Antrags, der Art des Antrags und der Antwort auf den Antrag. Die Dokumentation von Anträgen auf Rechte betroffener Personen umfasst die folgenden Aspekte:
9.1. Führung eines Registers
Das Europäische Institut für IT-Zertifizierung führt ein Register, das alle eingegangenen Anträge auf Rechte betroffener Personen erfasst. Dieses Register sollte die folgenden Details erfassen:
- Datum der Anfrage
- Name und Kontaktdaten der betroffenen Person
- Beschreibung der Anfrage
- Als Reaktion auf die Anfrage durchgeführte Aktion
- Alle zusätzlichen Informationen, die zur Bearbeitung der Anfrage erforderlich sind
9.2. Standardisierter Prozess zur Dokumentation
Das European IT Certification Institute führt einen standardisierten Prozess zur Dokumentation von Anträgen auf Rechte betroffener Personen durch, um Konsistenz und Genauigkeit der erfassten Informationen sicherzustellen.
9.3. Aufbewahrungsfrist
Das Europäische IT-Zertifizierungsinstitut bewahrt diese Aufzeichnungen für einen angemessenen Zeitraum gemäß geltender Gesetze und Vorschriften auf, der nicht kürzer als 2 Jahre sein darf.
9.4. Wahrung der Vertraulichkeit
Das Europäische Institut für IT-Zertifizierung stellt sicher, dass die Aufzeichnungen zu Anträgen auf Rechte betroffener Personen nur befugten Mitarbeitern zugänglich sind, die zur Erfüllung ihrer Aufgaben auf diese Informationen zugreifen müssen. Es implementiert auch technische und organisatorische Maßnahmen, um den unbefugten Zugriff, die Offenlegung, Änderung oder Vernichtung von personenbezogenen Daten zu verhindern, die in den Aufzeichnungen von Anträgen auf Rechte betroffener Personen enthalten sind.
9.5. Berichterstattung
Das Europäische Institut für IT-Zertifizierung erstellt regelmäßig Berichte über eingegangene, bearbeitete und ausstehende Anträge auf Rechte betroffener Personen. Diese Berichte werden an relevante Interessengruppen weitergegeben, einschließlich der Geschäftsleitung und des Datenschutzbeauftragten.
9.6. Analysen
Das Europäische Institut für IT-Zertifizierung führt Trendanalysen zu Anträgen auf Rechte betroffener Personen durch, um Muster und Ursachen von Anträgen zu identifizieren. Diese Informationen werden verwendet, um Prozesse und Verfahren zu verbessern, um solche Anfragen besser zu verwalten.
Teil 10. Überwachung und Überprüfung des Prozesses
Das Europäische Institut für IT-Zertifizierung überwacht und überprüft regelmäßig seinen Prozess zur Bearbeitung von Anträgen auf Rechte betroffener Personen, um sicherzustellen, dass er wirksam und konform mit der DSGVO bleibt.
10.1. Durchführung regelmäßiger Reviews
Das Europäische IT-Zertifizierungsinstitut führt regelmäßige Überprüfungen seines Prozesses zur Bearbeitung von Anträgen zu Rechten betroffener Personen und seiner DSGVO-Konformitätsrichtlinie durch, um sicherzustellen, dass sie wirksam ist und den Datenschutzbestimmungen entspricht. Diese Überprüfungen umfassen eine Analyse der Anzahl und Art der eingegangenen Anfragen, der Pünktlichkeit und Wirksamkeit der Antworten sowie verbesserungswürdiger Bereiche.
10.2. Umsetzung von Verbesserungen
Basierend auf den Ergebnissen der Überprüfungen implementiert das Europäische IT-Zertifizierungsinstitut alle notwendigen Verbesserungen an seinem Prozess zur Bearbeitung von Anträgen auf Rechte betroffener Personen. Dies kann Aktualisierungen von Verfahren, zusätzliche Schulungen für Mitarbeiter oder Änderungen in der Art und Weise beinhalten, wie Anfragen überprüft und beantwortet werden.
10.3. Sicherstellung der laufenden Einhaltung
Das European IT Certification Institute stellt die kontinuierliche Einhaltung der Datenschutzbestimmungen sicher, indem es seine Richtlinien und Verfahren regelmäßig überprüft und aktualisiert, um sie an Änderungen der relevanten Gesetze und Vorschriften anzupassen.
10.4. Überwachung der Mitarbeiterleistung
Das Europäische Institut für IT-Zertifizierung überwacht die Leistung der Mitarbeiter in Bezug auf die Bearbeitung von Anträgen auf Rechte betroffener Personen, einschließlich der Qualität und Pünktlichkeit der Antworten. Dies kann regelmäßige Schulungen und Leistungsüberprüfungen umfassen, um sicherzustellen, dass die Mitarbeiter in diesem Bereich sachkundig und kompetent sind.
10.5. Kommunikation mit betroffenen Personen
Das Europäische IT-Zertifizierungsinstitut kommuniziert mit den betroffenen Personen während des gesamten Anfragebearbeitungsprozesses, um sicherzustellen, dass sie über den Fortschritt und alle relevanten Informationen auf dem Laufenden gehalten werden. Dies kann das Bereitstellen von Aktualisierungen zum Status ihrer Anfrage oder das Anfordern zusätzlicher Informationen nach Bedarf umfassen.
10.6. Aufbewahrung von Aufzeichnungen
Das Europäische Institut für IT-Zertifizierung führt Aufzeichnungen über seine Überprüfungen, einschließlich aller Änderungen, die an seinem Prozess zur Bearbeitung von Anträgen auf Rechte betroffener Personen vorgenommen wurden, sowie alle Rückmeldungen, die von betroffenen Personen erhalten wurden. Diese Informationen können verwendet werden, um laufende Compliance-Bemühungen zu unterstützen und Bereiche für weitere Verbesserungen zu identifizieren.
Teil 11. Erstellung des Verzeichnisses der Verarbeitungstätigkeiten
Das Europäische IT-Zertifizierungsinstitut führt das Verzeichnis der Verarbeitungstätigkeiten, ein Dokument, das die von der Organisation durchgeführte Verarbeitung personenbezogener Daten umreißt. Es ist gemäß der EU-Datenschutz-Grundverordnung (DSGVO) erforderlich und soll das Verständnis der Datenverarbeitungsaktivitäten unterstützen und die Einhaltung der DSGVO nachweisen.
11.1. ROPA-Struktur
Die ROPA enthält grundlegende Informationen über den Namen und die Kontaktdaten der Organisation, die Zwecke der Datenverarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger der personenbezogenen Daten und die Aufbewahrungsfristen für die personenbezogenen Daten. Es enthält auch Informationen über Drittverarbeiter, die personenbezogene Daten im Auftrag der Organisation verarbeiten.
11.2. Regelmäßige ROPA-Updates
Die ROPA wird regelmäßig aktualisiert und ist ein lebendiges Dokument, das Änderungen in den Datenverarbeitungsaktivitäten des Europäischen IT-Zertifizierungsinstituts widerspiegelt und den Aufbau von Vertrauen bei betroffenen Personen unterstützt.
Das Europäische IT-Zertifizierungsinstitut verpflichtet sich, die höchsten Standards in Bezug auf die Verwaltung von Anträgen betroffener Personen und die Datenschutz-Grundverordnung einzuhalten und sicherzustellen, dass alle geltenden Gesetze und Vorschriften in Bezug auf diese Themen sowie führende Industriestandards eingehalten werden und Best Practices, einschließlich des ISO 27701 Privacy Information Management System.