Verzeichnis der Verarbeitungstätigkeiten
Aufzeichnung der Verarbeitungstätigkeiten der EITCA Academy
Das Europäische IT-Zertifizierungsinstitut führt das Verzeichnis der Verarbeitungstätigkeiten, ein Dokument, das die von der Organisation durchgeführte Verarbeitung personenbezogener Daten umreißt. Es ist gemäß der EU-Datenschutz-Grundverordnung (DSGVO) erforderlich und soll das Verständnis der Datenverarbeitungsaktivitäten unterstützen und die Einhaltung der DSGVO nachweisen.
Die ROPA enthält grundlegende Informationen über den Namen und die Kontaktdaten der Organisation, die Zwecke der Datenverarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger der personenbezogenen Daten und die Aufbewahrungsfristen für die personenbezogenen Daten. Es enthält auch Informationen über Drittverarbeiter, die personenbezogene Daten im Auftrag der Organisation verarbeiten.
Die Führung des Verzeichnisses der Verarbeitungstätigkeiten durch das Europäische IT-Zertifizierungsinstitut ist Teil seiner Richtlinie zur Verwaltung von Anträgen auf Rechte betroffener Personen und der DSGVO-Richtlinie. Das ROPA wird regelmäßig aktualisiert und ist ein lebendiges Dokument, das Änderungen in den Datenverarbeitungsaktivitäten des Europäischen IT-Zertifizierungsinstituts widerspiegelt und den Aufbau von Vertrauen bei betroffenen Personen unterstützt. Die letzte Aktualisierung des EITCI-Verzeichnisses der Verarbeitungstätigkeiten erfolgte am 10. Januar 2023.
1. Datenverarbeiter
1.1. Name des Datenverarbeiters
European Information Technologies Certificaiton Institute (Abkürzung: EITCI)
1.2. Rechtsstatus des Datenverarbeiters
Gemeinnütziger Verein (association sans but lucratif, ASBL) in Belgien
1.3. Registrierungsnummer des Datenverarbeiters
0807397811 im belgischen KBO/BCE-Register
1.4. Rolle des Datenverarbeiters
Zertifizierungsstelle
1.5. Datum der Registrierung des Datenverarbeiters
17th Oktober 2008
1.6. Kontaktdaten des Datenverarbeiters
Europäisches IT-Zertifizierungsinstitut
Avenue des Saisons 100-102
1050 Brüssel, Belgien
Telefon: +32 2 588 73 51
E-Mail: info@eitci.org
1.7. Kontaktdaten des Datenschutzbeauftragten (DSB).
E-Mail: data.protection.officer@eitci.org
2. Zweck und Einzelheiten der Verarbeitung personenbezogener Daten
2.1. Zertifizierung von Fähigkeiten und Kompetenzen in den EITC/EITCA-Zertifizierungsprogrammen
2.1.1. Erhobene personenbezogene Daten
Name, Adresse, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Name der Organisation, Prüfung und Bewertung von Fähigkeiten und Qualifikationen, Zahlungsinformationen
2.1.2. Rechtsgrundlage für die Verarbeitung
Vertragspflicht
2.1.3. Kategorien betroffener Personen
Kunden, Mitarbeiter von Kunden
2.1.4. Empfänger persönlicher Daten
Interne Mitarbeiter, Aufsichtsbehörden, Betreiber von Hosting- und Cloud-Rechenzentren, Kunden, externe Steuer- und Wirtschaftsprüfungsunternehmen
2.2. Zertifizierung von Lösungen, Produkten, Dienstleistungen zur Einhaltung von Industriestandards
2.2.1. Erhobene personenbezogene Daten
Name, Adresse, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Name der Organisation, Zahlungsinformationen, Lösungs-/Produkt-/Dienstleistungsinformationen
2.2.2. Rechtsgrundlage für die Verarbeitung
Vertragspflicht
2.2.3. Kategorien betroffener Personen
Kunden, Mitarbeiter von Kunden
2.2.4. Empfänger persönlicher Daten
Interne Mitarbeiter, Aufsichtsbehörden, Betreiber von Hosting- und Cloud-Rechenzentren, Kunden, externe Steuer- und Wirtschaftsprüfungsunternehmen
2.3. Marketing und Verkaufsförderung für Zertifizierungsdienste
2.3.1. Erhobene personenbezogene Daten
Name, Adresse, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Name der Organisation, Lösungs-/Produkt-/Dienstleistungsinformationen
2.3.2. Rechtsgrundlage für die Verarbeitung
Zustimmung
2.3.3. Kategorien betroffener Personen
Potenzielle Kunden
2.3.4. Empfänger persönlicher Daten
Internes Personal, Aufsichtsbehörden, Betreiber von Hosting- und Cloud-Rechenzentren, Marketingunternehmen von Drittanbietern
2.4. Mitarbeiterführung
2.3.1. Erhobene personenbezogene Daten
Name, Adresse, E-Mail-Adresse, Telefonnummer, Berufsbezeichnung, Gehaltsinformationen, Leistungsbewertungen, Prüfung und Bewertung von Fähigkeiten und Qualifikationen
2.3.2. Rechtsgrundlage für die Verarbeitung
Vertragspflicht
2.3.3. Kategorien betroffener Personen
Mitarbeiter
2.3.4. Empfänger persönlicher Daten
Internes Personal, Aufsichtsbehörden, Betreiber von Hosting- und Cloud-Rechenzentren, externe Lohnbuchhaltungsunternehmen, externe Steuer- und Buchhaltungsunternehmen
3. Datenübertragungen
3.1. Übermittlung personenbezogener Daten an Rechenzentren (Hosting, Datencloud) außerhalb der EU
Geeignete Garantien: Standardvertragsklauseln
3.2. Übermittlung personenbezogener Daten an IT-, Marketing-, Steuer- und Buchhaltungsunternehmen
Geeignete Garantien: Prozessorvereinbarung mit Standardvertragsklauseln
4. Aufbewahrungsfristen
4.1. Zertifizierungsdaten
10 Jahre nach Ablauf der Zertifizierung aufbewahrt.
4.2. Mitarbeiterdaten
Aufbewahrung für 8 Jahre nach Beendigung des Arbeitsverhältnisses.
4.3. Marketingdaten
Aufbewahrung bis zum Widerruf der Einwilligung.
5 Sicherheitsmaßnahmen
- Zugriffskontrollen auf personenbezogene Datensysteme.
- Verschlüsselung personenbezogener Daten während der Übertragung und im Ruhezustand.
- Regelmäßige Schulungen zum Sicherheitsbewusstsein der Mitarbeiter.
- Regelmäßige Sicherheitsaudits und Risikobewertungen.
- Einhaltung der EITCI-Informationssicherheitsrichtlinie.
6. Überprüfung und Aktualisierung
Dieses Verzeichnis der Verarbeitungstätigkeiten wird regelmäßig überprüft und aktualisiert, sowie immer dann, wenn sich die Datenverarbeitungstätigkeiten des Europäischen Instituts für IT-Zertifizierung wesentlich ändern.
Das Europäische IT-Zertifizierungsinstitut verpflichtet sich, die höchsten Standards in Bezug auf den Schutz personenbezogener Daten und die Einhaltung der Datenschutz-Grundverordnung einzuhalten und sicherzustellen, dass alle geltenden Gesetze und Vorschriften in Bezug auf diese Themen sowie führende Industriestandards eingehalten werden und Best Practices, einschließlich des ISO 27701 Privacy Information Management System.