Política DSRRM e GDPR
Política da EITCA Academy sobre gerenciamento de solicitações de direitos de titulares de dados e regulamentação geral de proteção de dados
Este documento especifica a Política do Instituto Europeu de Certificação de TI sobre Gerenciamento de Solicitações de Direitos de Titulares de Dados, bem como a implementação do Regulamento Geral de Proteção de Dados da UE, que é revisado e atualizado regularmente para garantir sua eficácia e relevância. A última atualização da Política de Gerenciamento de Solicitações de Direitos de Titulares de Dados e Política GDPR da EITCI foi feita em 10 de janeiro de 2023. Nossa Política de Gerenciamento de Solicitações de Direitos de Titulares de Dados e GDPR é baseada nos princípios da extensão do Sistema de Gerenciamento de Informações de Privacidade ISO 27701 para a Segurança da Informação ISO 27001 Norma do sistema, bem como sobre os requisitos do Regulamento Geral de Proteção de Dados (2016/679).
Parte 1. Introdução
A gestão dos pedidos de direitos dos titulares de dados é uma parte essencial para garantir o cumprimento dos regulamentos de proteção de dados, nomeadamente o RGPD (Regulamento Geral de Proteção de Dados da UE). O European IT Certification Institute definiu os seguintes procedimentos formais para gerenciar solicitações de direitos de titulares de dados e implementar os requisitos do GDPR:
1.1. Estabelecer um processo para lidar com solicitações de direitos de titulares de dados
Este processo descreve as etapas que o Instituto Europeu de Certificação de TI segue ao lidar com solicitações de direitos de titulares de dados, incluindo a identificação e autenticação do titular dos dados, a verificação da solicitação do titular dos dados e a resposta à solicitação.
1.2. Designando um Data Protection Officer (DPO)
O Instituto Europeu de Certificação de TI designa um DPO responsável por supervisionar o gerenciamento de solicitações de direitos de titulares de dados, incluindo a revisão de solicitações, resposta a solicitações e garantia de conformidade com os regulamentos de proteção de dados.
1.3. Manter um registo atualizado dos dados pessoais
O European IT Certification Institute mantém um registo atualizado dos dados pessoais que detém e das finalidades para as quais estão a ser tratados. Isso permitirá que o Instituto Europeu de Certificação de TI responda com rapidez e precisão às solicitações de direitos dos titulares de dados.
1.4. Fornecer informações claras e concisas aos titulares dos dados
Ao coletar dados pessoais, o European IT Certification Institute fornece informações claras e concisas aos titulares dos dados sobre seus direitos, incluindo o direito de acessar, retificar, apagar e se opor ao processamento de seus dados pessoais.
1.5. Estabelecendo um tempo de resposta padrão
O European IT Certification Institute mantém um tempo de resposta padrão para solicitações de direitos de titulares de dados e garante que as solicitações sejam respondidas dentro desse prazo.
1.6. Verificação da identidade do titular dos dados
O Instituto Europeu de Certificação de TI verifica a identidade do titular dos dados que faz a solicitação para garantir que os dados pessoais sejam fornecidos apenas ao indivíduo correto.
1.7. Responder prontamente às solicitações de direitos dos titulares de dados
O Instituto Europeu de Certificação de TI responde prontamente às solicitações de direitos do titular dos dados e fornece ao titular dos dados as informações solicitadas.
1.8. Documentando solicitações de direitos de titulares de dados
O Instituto Europeu de Certificação de TI mantém um registro das solicitações de direitos dos titulares de dados, incluindo a data da solicitação, a natureza da solicitação e a resposta à solicitação.
1.9. Acompanhamento e revisão do processo
O Instituto Europeu de Certificação de TI monitora e revisa regularmente seu processo para lidar com solicitações de direitos de titulares de dados para garantir que permaneça eficaz e em conformidade com os regulamentos relevantes de proteção de dados.
1.10. Estabelecendo o Registro de Atividades de Processamento
O European IT Certification Institute mantém o Registo das Atividades de Tratamento que é um documento que descreve o tratamento de dados pessoais efetuado pela organização. É exigido pelo Regulamento Geral de Proteção de Dados da UE (GDPR) e destina-se a apoiar a compreensão das atividades de processamento de dados e demonstrar conformidade com o GDPR.
Ao seguir esses procedimentos formais, o Instituto Europeu de Certificação de TI pode gerenciar com eficiência as solicitações de direitos dos titulares de dados e garantir a conformidade com os regulamentos de proteção de dados, incluindo o Regulamento Geral de Proteção de Dados na União Europeia.
Parte 2. Estabelecendo um processo para lidar com solicitações de direitos de titulares de dados
Este processo descreve as etapas que o European IT Certification Institute segue ao lidar com solicitações de direitos de titulares de dados, incluindo a identificação e autenticação do titular dos dados, a verificação da solicitação do titular dos dados e a resposta à solicitação:
2.1. Identificação e autenticação do titular dos dados
O Instituto Europeu de Certificação de TI mantém um processo para verificar a identidade do titular dos dados que faz a solicitação. Isso pode incluir solicitar uma identidade emitida pelo governo, verificar os registros existentes ou usar outros métodos de autenticação.
2.2. Verificação do pedido do titular dos dados
Uma vez estabelecida a identidade do titular dos dados, o European IT Certification Institute deve verificar se o pedido é válido e se refere aos dados pessoais do titular dos dados. A solicitação também deve incluir o direito específico que está sendo exercido, como o direito de acesso, retificação ou exclusão de dados pessoais.
2.3. Respondendo ao pedido
O Instituto Europeu de Certificação de TI deve fornecer uma resposta à solicitação do titular dos dados dentro do prazo especificado pelas leis de proteção de dados relevantes, mas não superior a 30 dias. A resposta deve incluir uma explicação sobre se o pedido foi concedido ou negado e os motivos da decisão.
2.4. Documentando a solicitação e a resposta
O Instituto Europeu de Certificação de TI mantém um registro de todas as solicitações e respostas dos titulares de dados. Isso ajuda a garantir a conformidade com as leis de proteção de dados relevantes, além de facilitar futuras auditorias ou investigações.
2.5. Treinamento de pessoal relevante
O Instituto Europeu de Certificação de TI fornecerá treinamento para a equipe responsável por lidar com solicitações de direitos de titulares de dados para garantir que eles estejam familiarizados com as leis de proteção de dados relevantes e os procedimentos do Instituto Europeu de Certificação de TI para lidar com tais solicitações.
2.6. Acompanhamento e revisão do processo
O Instituto Europeu de Certificação de TI monitora e revisa o processo de tratamento de solicitações de direitos de titulares de dados regularmente para garantir que permaneça eficaz e em conformidade com as leis de proteção de dados relevantes. Quaisquer problemas ou incidentes são relatados e resolvidos em tempo hábil.
Parte 3. Designando um Oficial de Proteção de Dados (DPO)
O Instituto Europeu de Certificação de TI designa um DPO responsável por supervisionar o gerenciamento de solicitações de direitos de titulares de dados, incluindo a revisão de solicitações, resposta a solicitações e garantia de conformidade com os regulamentos de proteção de dados.
3.1. Designando o DPO
O Instituto Europeu de Certificação de TI designa um Diretor de Proteção de Dados (DPO) para supervisionar o gerenciamento de solicitações de direitos de titulares de dados e garantir a conformidade com os regulamentos de proteção de dados. O DPO será responsável por analisar as solicitações e garantir que o Instituto Europeu de Certificação de TI esteja cumprindo suas obrigações legais em relação à proteção de dados.
3.2. Requisitos de competências do DPO
O DPO deve ter conhecimento especializado das leis e práticas de proteção de dados e receber os recursos necessários para cumprir suas responsabilidades. Eles devem ter acesso direto à alta administração e se reportar ao mais alto nível de gerenciamento da organização.
3.3. responsabilidades do DPO
As responsabilidades do DPO incluem, entre outras, as seguintes:
- Fornecer orientação e aconselhamento ao Instituto Europeu de Certificação de TI sobre questões de proteção de dados, incluindo o gerenciamento de solicitações de direitos de titulares de dados.
- Monitorar a conformidade do European IT Certification Institute com os regulamentos de proteção de dados e políticas e procedimentos internos.
- Responder a consultas e reclamações de titulares de dados sobre seus direitos sob os regulamentos de proteção de dados.
- Coordenar com outros departamentos para garantir que os requisitos de proteção de dados sejam atendidos em toda a organização.
- Realizar análises e avaliações periódicas das práticas de proteção de dados do European IT Certification Institute e fornecer recomendações para melhorias.
- Servir como ponto de contato para as autoridades de proteção de dados e cooperar com elas no caso de uma investigação ou auditoria.
- O DPO também está envolvido no desenvolvimento e implementação das políticas e procedimentos do European IT Certification Institute relacionados à proteção de dados, incluindo aqueles relacionados ao tratamento de solicitações de direitos de titulares de dados.
3.4. Desenvolvimento de treinamento e qualificação de DPO
O Instituto Europeu de Certificação de TI deve garantir que o DPO receba treinamento adequado sobre os regulamentos de proteção de dados e se mantenha atualizado sobre quaisquer alterações ou atualizações desses regulamentos.
3.5. Informações de contato do DPO
As informações de contato do DPO devem ser disponibilizadas aos titulares dos dados e incluídas no aviso ou política de privacidade do European IT Certification Institute.
Parte 4. Manutenção de um registro atualizado de dados pessoais
O European IT Certification Institute mantém um registo atualizado dos dados pessoais que detém e das finalidades para as quais estão a ser tratados. Isso permitirá que o Instituto Europeu de Certificação de TI responda com rapidez e precisão às solicitações de direitos dos titulares de dados.
4.1. Estabelecer um processo de identificação e registo de dados pessoais
O European IT Certification Institute estabelece um processo claro e padronizado para identificar e registrar dados pessoais, incluindo o nome do titular dos dados, informações de contato e qualquer outra informação relevante. Esse processo garante que os dados pessoais sejam coletados apenas para fins específicos e legítimos.
4.2. Categorização de dados pessoais
O Instituto Europeu de Certificação de TI categoriza os dados pessoais para facilitar o rastreamento e o gerenciamento. Isso inclui a categorização de dados por tipo, como informações de contato, informações de cobrança, competências e qualificação, informações financeiras ou histórico de emprego.
4.3. Implementação de um sistema de gerenciamento de dados
O European IT Certification Institute implementa um sistema de gerenciamento de dados para ajudar a garantir que os dados pessoais sejam precisos, atualizados e acessíveis. O sistema de gerenciamento de dados inclui um banco de dados que pode ser pesquisado e consultado para ajudar a responder às solicitações de direitos dos titulares de dados.
4.4. Atribuição da responsabilidade pela manutenção do registo dos dados pessoais
O Instituto Europeu de Certificação de TI deve atribuir a responsabilidade pela manutenção do registro de dados pessoais a indivíduos ou departamentos específicos. Isso garantirá que o registro seja mantido atualizado e preciso.
4.5. Revisar e atualizar regularmente o registro de dados pessoais
O Instituto Europeu de Certificação de TI deve revisar e atualizar regularmente o registro de dados pessoais para garantir que permaneçam precisos e atualizados. Isso pode ser feito por meio de auditorias periódicas ou por meio de um processo de monitoramento contínuo.
4.6. Implemente medidas de segurança adequadas
O European IT Certification Institute implementa medidas de segurança apropriadas para proteger os dados pessoais que possui, incluindo medidas para prevenir acesso não autorizado, perda acidental ou destruição de dados pessoais, como parte da Política de Segurança da Informação (ISP) da organização. Isso inclui criptografia, firewalls e controles de acesso. Uma especificação detalhada dos processos e medidas para proteção de dados é coberta pela Política de Segurança da Informação do Instituto Europeu de Certificação de TI.
Parte 5. Fornecer informações claras e concisas aos titulares dos dados
Ao coletar dados pessoais, o European IT Certification Institute fornece informações claras e concisas aos titulares dos dados sobre seus direitos, incluindo o direito de acessar, retificar, apagar e se opor ao processamento de seus dados pessoais.
5.1. Transparência
O European IT Certification Institute é transparente em seu processamento de dados pessoais e fornece informações concisas aos titulares de dados sobre como seus dados são usados, processados e armazenados.
5.2. Política de Privacidade
O Instituto Europeu de Certificação de TI tem uma política de privacidade detalhada que descreve suas atividades de processamento de dados, incluindo como os titulares de dados podem exercer seus direitos de titulares de dados.
5.3. Direito de Acesso
Os titulares dos dados têm o direito de solicitar o acesso aos dados pessoais que o European IT Certification Institute detém sobre eles. O Instituto Europeu de Certificação de TI fornece informações claras e concisas aos titulares dos dados sobre como fazer uma solicitação de acesso, quais informações serão necessárias para verificar sua identidade e quanto tempo o Instituto Europeu de Certificação de TI levará para responder à solicitação.
5.4. Direito de retificar
Os titulares dos dados têm o direito de solicitar que o European IT Certification Institute retifique quaisquer dados pessoais inexatos ou incompletos que detenha sobre eles. O Instituto Europeu de Certificação de TI fornece informações claras e concisas aos titulares dos dados sobre como fazer um pedido de retificação, quais informações serão necessárias para verificar sua identidade e quanto tempo o Instituto Europeu de Certificação de TI levará para responder ao pedido.
5.5. Direito de Apagar
Os titulares dos dados têm o direito de solicitar que o European IT Certification Institute apague os seus dados pessoais em determinadas circunstâncias. O Instituto Europeu de Certificação de TI fornece informações claras e concisas aos titulares de dados sobre como fazer uma solicitação de exclusão, quais informações serão necessárias para verificar sua identidade e quanto tempo o Instituto Europeu de Certificação de TI levará para responder à solicitação.
5.6. Direito de contestar
Os titulares dos dados têm o direito de se opor ao processamento de seus dados pessoais em determinadas circunstâncias. O Instituto Europeu de Certificação de TI fornece informações claras e concisas aos titulares de dados sobre como fazer um pedido de oposição, quais informações serão necessárias para verificar sua identidade e quanto tempo o Instituto Europeu de Certificação de TI levará para responder à solicitação.
5.7. Informações para contato
O Instituto Europeu de Certificação de TI fornece informações de contato claras e concisas para os titulares de dados usarem se tiverem dúvidas ou preocupações sobre como seus dados pessoais estão sendo processados.
Parte 6. Estabelecendo um tempo de resposta padrão
O Instituto Europeu de Certificação de TI estabeleceu um tempo de resposta padrão para solicitações de direitos de titulares de dados e garante que as solicitações sejam respondidas dentro desse prazo.
6.1. Tempo de resposta padrão
O European IT Certification Institute estabelece um tempo de resposta padrão de 30 dias para solicitações de direitos de titulares de dados. O tempo de resposta padrão define um limite de tempo superior para processamento e resposta e a maioria das solicitações é processada e respondida em um tempo menor.
6.2. Solicitar tempo de confirmação de recebimento
Após o recebimento de uma solicitação de direitos do titular dos dados, o DPO ou outros membros da equipe acusarão o recebimento da solicitação no prazo de 5 dias úteis e fornecerão ao titular dos dados um prazo estimado para fornecer uma resposta.
6.3. Extensões excepcionais do tempo de resposta padrão
O Instituto Europeu de Certificação de TI envidará esforços razoáveis para responder às solicitações de direitos dos titulares de dados dentro do tempo de resposta padrão estabelecido. No entanto, se o pedido for complexo ou se o European IT Certification Institute receber um elevado volume de pedidos, o tempo de resposta pode ser alargado. Nesses casos, o DPO informará o titular dos dados sobre a prorrogação e o motivo do atraso.
6.4. Recusa em atender a uma solicitação de direitos do titular dos dados
Se o Instituto Europeu de Certificação de TI não puder atender a uma solicitação de direitos do titular dos dados, ele fornecerá ao titular dos dados uma explicação para a recusa e o informará sobre seu direito de reclamar à autoridade supervisora relevante.
6.5. Registros de solicitações e respostas de direitos de titulares de dados
O Instituto Europeu de Certificação de TI manterá registros precisos das solicitações e respostas dos titulares de dados, incluindo a data de recebimento da solicitação, a natureza da solicitação e a data e forma da resposta.
6.6. revisões periódicas
O DPO revisará periodicamente os tempos de resposta do European IT Certification Institute e os atualizará conforme necessário para garantir a conformidade com os regulamentos de proteção de dados aplicáveis.
Parte 7. Verificando a identidade do titular dos dados
7.1. Requisito de verificação de identidade
O Instituto Europeu de Certificação de TI deve verificar a identidade do titular dos dados que faz a solicitação para garantir que os dados pessoais sejam fornecidos apenas ao indivíduo correto.
7.2. Meios e métodos de verificação de identidade
Quando um titular de dados faz uma solicitação para exercer seus direitos sob as leis de proteção de dados, o Instituto Europeu de Certificação de TI deve verificar a identidade do titular dos dados usando as medidas apropriadas, como a solicitação de documentos de identificação.
7.3. Verificação da identidade de um procurador
Se o titular dos dados estiver fazendo a solicitação em nome de outra pessoa, o Instituto Europeu de Certificação de TI deve verificar a identidade tanto do titular dos dados quanto da pessoa em nome da qual a solicitação está sendo feita.
7.4. dúvidas de verificação de identidade
Se o European IT Certification Institute tiver dúvidas sobre a identidade do titular dos dados ou sobre a validade do pedido, pode solicitar informações adicionais ou tomar outras medidas adequadas para verificar a identidade do titular dos dados.
7.5. Registros de verificação de identidade
O European IT Certification Institute deve manter um registo do processo de verificação e das medidas tomadas para verificar a identidade do titular dos dados. Este registro deve ser mantido por um período de tempo razoável e usado para demonstrar conformidade com as leis de proteção de dados.
Parte 8. Respondendo prontamente às solicitações de direitos dos titulares de dados
8.1. Resposta rápida
O Instituto Europeu de Certificação de TI responde prontamente às solicitações de direitos do titular dos dados e fornece ao titular dos dados as informações solicitadas.
8.2. Solicitar confirmação de recebimento
O European IT Certification Institute acusa a receção do pedido do titular dos dados com a maior brevidade possível, preferencialmente no prazo de 5 dias úteis.
8.3. Solicitar revisão
O DPO designado deve revisar a solicitação para garantir que ela atenda aos requisitos necessários e que todas as informações necessárias tenham sido fornecidas.
8.4. Verificação da identidade do titular dos dados
O Instituto Europeu de Certificação de TI verifica a identidade do titular dos dados que faz a solicitação para garantir que os dados pessoais sejam fornecidos apenas ao indivíduo correto.
8.5. Obtenção de informações adicionais, se necessário
Se o pedido for pouco claro ou insuficiente, o European IT Certification Institute deverá contactar o titular dos dados para obter informações adicionais.
8.5. Recuperando os dados relevantes
O Instituto Europeu de Certificação de TI recupera os dados pessoais relevantes e os revisa para garantir que sejam precisos e atualizados.
8.6. Fornecendo as informações solicitadas
O Instituto Europeu de Certificação de TI fornece ao titular dos dados as informações solicitadas, incluindo uma cópia de seus dados pessoais em um formato eletrônico comumente usado, a menos que solicitado de outra forma.
8.7. Informar o titular dos dados sobre os seus direitos
O European IT Certification Institute informa o titular dos dados sobre os seus outros direitos, como o direito de retificação ou apagamento dos seus dados pessoais, e fornece-lhe as instruções necessárias.
8.8. Cumprindo o tempo de resposta
O European IT Certification Institute responde aos pedidos de direitos dos titulares de dados dentro do tempo de resposta estabelecido, garantindo que são tomadas as medidas necessárias para dar cumprimento ao pedido.
8.9. Documentando a resposta
O Instituto Europeu de Certificação de TI documenta a resposta à solicitação de direitos do titular dos dados, incluindo quaisquer ações tomadas e o tempo de resposta, para garantir que possa ser auditado e rastreado para fins de conformidade.
8.10. Notificar o titular dos dados de quaisquer alterações
Se quaisquer alterações forem feitas nos dados pessoais do titular dos dados como resultado de sua solicitação, o Instituto Europeu de Certificação de TI notificará o titular dos dados sobre essas alterações.
Parte 9. Documentando solicitações de direitos de titulares de dados
O Instituto Europeu de Certificação de TI mantém um registro das solicitações de direitos dos titulares de dados, incluindo a data da solicitação, a natureza da solicitação e a resposta à solicitação. A documentação das solicitações de direitos dos titulares de dados inclui os seguintes aspectos:
9.1. Mantendo um registro
O Instituto Europeu de Certificação de TI mantém um registro que captura todas as solicitações de direitos de titulares de dados recebidas. Este registro deve capturar os seguintes detalhes:
- Data do pedido
- Nome e contactos do titular dos dados
- Descrição do pedido
- Ação tomada em resposta à solicitação
- Qualquer informação adicional necessária para processar a solicitação
9.2. Processo padronizado para documentação
O Instituto Europeu de Certificação de TI executa um processo padronizado para documentar solicitações de direitos de titulares de dados para garantir consistência e precisão nas informações capturadas.
9.3. Período de retenção
O Instituto Europeu de Certificação de TI mantém esses registros por um período de tempo razoável, conforme determinado pelas leis e regulamentos aplicáveis, não inferior a 2 anos.
9.4. Manter a confidencialidade
O Instituto Europeu de Certificação de TI garante que os registros de solicitações de direitos de titulares de dados sejam acessíveis apenas a pessoas autorizadas que precisem acessar essas informações no desempenho de suas funções. Implementa ainda medidas técnicas e organizativas para impedir o acesso não autorizado, divulgação, alteração ou destruição dos dados pessoais constantes dos registos dos pedidos de direitos dos titulares de dados.
9.5. Relatório
O European IT Certification Institute gera periodicamente relatórios sobre solicitações de direitos de titulares de dados recebidas, processadas e pendentes. Esses relatórios são compartilhados com as partes interessadas relevantes, incluindo a alta administração e o DPO.
9.6. Analítica
O Instituto Europeu de Certificação de TI realiza análises de tendências em solicitações de direitos de titulares de dados para identificar padrões e causas básicas de solicitações. Essas informações são usadas para aprimorar processos e procedimentos para melhor gerenciar essas solicitações.
Parte 10. Monitoramento e revisão do processo
O Instituto Europeu de Certificação de TI monitora e revisa regularmente seu processo para lidar com solicitações de direitos de titulares de dados para garantir que permaneça eficaz e em conformidade com o GDPR.
10.1. Realização de revisões periódicas
O Instituto Europeu de Certificação de TI realiza revisões periódicas de seu processo de tratamento de solicitações de direitos de titulares de dados e política de conformidade com o GDPR para garantir que seja eficaz e esteja em conformidade com os regulamentos de proteção de dados. Essas revisões incluem uma análise do número e tipo de solicitações recebidas, a pontualidade e eficácia das respostas e quaisquer áreas de melhoria.
10.2. Implementação de melhorias
Com base nas conclusões das análises, o Instituto Europeu de Certificação de TI implementa todas as melhorias necessárias em seu processo de tratamento de solicitações de direitos de titulares de dados. Isso pode incluir atualizações nos procedimentos, treinamento adicional para a equipe ou mudanças na forma como as solicitações são verificadas e respondidas.
10.3. Garantindo a conformidade contínua
O Instituto Europeu de Certificação de TI garante a conformidade contínua com os regulamentos de proteção de dados, revisando e atualizando regularmente suas políticas e procedimentos de acordo com quaisquer alterações nas leis e regulamentos relevantes.
10.4. Acompanhamento do desempenho da equipe
O Instituto Europeu de Certificação de TI monitora o desempenho da equipe em relação ao tratamento de solicitações de direitos de titulares de dados, incluindo a qualidade e pontualidade das respostas. Isso pode incluir treinamento periódico e avaliações de desempenho para garantir que a equipe tenha conhecimento e competência nessa área.
10.5. Comunicação com titulares de dados
O Instituto Europeu de Certificação de TI se comunica com os titulares dos dados durante todo o processo de tratamento da solicitação para garantir que eles sejam mantidos informados sobre o andamento e qualquer informação relevante. Isso pode incluir fornecer atualizações sobre o status de sua solicitação ou solicitar informações adicionais conforme necessário.
10.6. Manutenção de registros
O Instituto Europeu de Certificação de TI mantém registros de suas revisões, incluindo quaisquer alterações feitas em seu processo de tratamento de solicitações de direitos de titulares de dados, bem como qualquer feedback recebido dos titulares de dados. Essas informações podem ser usadas para dar suporte aos esforços contínuos de conformidade e para identificar áreas para melhorias adicionais.
Parte 11. Estabelecendo o Registro das Atividades de Processamento
O European IT Certification Institute mantém o Registo das Atividades de Tratamento que é um documento que descreve o tratamento de dados pessoais efetuado pela organização. É exigido pelo Regulamento Geral de Proteção de Dados da UE (GDPR) e destina-se a apoiar a compreensão das atividades de processamento de dados e demonstrar conformidade com o GDPR.
11.1. estrutura ROPA
O ROPA inclui informações básicas sobre o nome e detalhes de contato da organização, as finalidades do processamento de dados, as categorias de dados pessoais processados, os destinatários dos dados pessoais e os períodos de retenção dos dados pessoais. Também inclui informações sobre quaisquer processadores terceirizados que processam dados pessoais em nome da organização.
11.2. Atualizações regulares da ROPA
O ROPA é atualizado regularmente e é um documento vivo que reflete as mudanças nas atividades de processamento de dados do European IT Certification Institute, apoiando a construção de confiança com os titulares dos dados.
O Instituto Europeu de Certificação de TI está empenhado em manter os mais altos padrões em relação à sua Política de Gerenciamento de Solicitações de Direitos de Titulares de Dados e Política Geral de Regulamentação de Proteção de Dados, certificando-se de cumprir todas as leis e regulamentos aplicáveis relacionados a essas questões, bem como os principais padrões do setor e melhores práticas, incluindo o Sistema de Gerenciamento de Informações de Privacidade ISO 27701.