Запис дій з обробки
EITCA Academy Record of Processing Activities
Європейський інститут сертифікації ІТ веде Реєстр дій з обробки, який є документом, який описує обробку персональних даних, яку здійснює організація. Це вимагається відповідно до Загального регламенту захисту даних ЄС (GDPR) і призначене для підтримки розуміння діяльності з обробки даних і демонстрації відповідності GDPR.
ROPA містить основну інформацію про назву та контактні дані організації, цілі обробки даних, категорії персональних даних, що обробляються, одержувачів персональних даних і періоди зберігання персональних даних. Він також містить інформацію про будь-яких сторонніх обробників, які обробляють персональні дані від імені організації.
Ведення запису дій з обробки Європейським інститутом сертифікації ІТ є частиною його Політики керування запитами прав суб’єктів даних і GDPR. ROPA регулярно оновлюється і є живим документом, що відображає зміни в діяльності з обробки даних Європейського інституту сертифікації ІТ, що підтримує розвиток довіри між суб’єктами даних. Останнє оновлення EITCI Record of Processing Activities було зроблено 10 січня 2023 року.
1. Процесор даних
1.1. Назва процесора даних
European Information Technologies Certificaiton Institute (абревіатура: EITCI)
1.2. Юридичний статус процесора даних
Некомерційна асоціація (association sans but lucratif, ASBL) у Бельгії
1.3. Реєстраційний номер процесора даних
0807397811 у бельгійському реєстрі KBO/BCE
1.4. Роль процесора даних
Орган з сертифікації
1.5. Дата реєстрації обробника даних
17th жовтня 2008
1.6. Контактна інформація обробника даних
Європейський інститут сертифікації ІТ
Авеню де Сайсони 100-102
1050 Брюссель, Бельгія
Телефон: + 32 2 588 73 51
Електронна адреса: info@eitci.org
1.7. Контактна інформація спеціаліста із захисту даних (DPO).
Електронна адреса: data.protection.officer@eitci.org
2. Мета та подробиці дій з обробки персональних даних
2.1. Сертифікація навичок і компетенцій у програмах сертифікації EITC/EITCA
2.1.1. Персональні дані зібрані
Ім'я, адреса, адреса електронної пошти, номер телефону, посада, назва організації, перевірка та оцінка навичок і кваліфікації, платіжна інформація
2.1.2. Законні підстави для обробки
Договірне зобов'язання
2.1.3. Категорії суб'єктів даних
Замовники, співробітники замовників
2.1.4. Одержувачі персональних даних
Внутрішній персонал, регуляторні органи, оператори хостингу та хмарних центрів обробки даних, клієнти, сторонні податкові та бухгалтерські компанії
2.2. Сертифікація рішень, продуктів, послуг на відповідність галузевим стандартам
2.2.1. Персональні дані зібрані
Ім’я, адреса, електронна адреса, номер телефону, посада, назва організації, платіжна інформація, інформація про рішення/продукт/послуги
2.2.2. Законні підстави для обробки
Договірне зобов'язання
2.2.3. Категорії суб'єктів даних
Замовники, співробітники замовників
2.2.4. Одержувачі персональних даних
Внутрішній персонал, регуляторні органи, оператори хостингу та хмарних центрів обробки даних, клієнти, сторонні податкові та бухгалтерські компанії
2.3. Маркетинг та просування сертифікаційних послуг
2.3.1. Персональні дані зібрані
Ім’я, адреса, електронна адреса, номер телефону, посада, назва організації, інформація про рішення/продукт/послуги
2.3.2. Законні підстави для обробки
Згода
2.3.3. Категорії суб'єктів даних
Потенційні клієнти
2.3.4. Одержувачі персональних даних
Внутрішній персонал, регуляторні органи, оператори хостингу та хмарних центрів обробки даних, сторонні маркетингові компанії
2.4. Управління працівниками
2.3.1. Персональні дані зібрані
Ім'я, адреса, адреса електронної пошти, номер телефону, назва посади, інформація про заробітну плату, оцінка ефективності, перевірка й оцінка навичок і кваліфікації
2.3.2. Законні підстави для обробки
Договірне зобов'язання
2.3.3. Категорії суб'єктів даних
Співробітники
2.3.4. Одержувачі персональних даних
Внутрішній персонал, регуляторні органи, оператори хостингу та хмарних центрів обробки даних, сторонні компанії, що нараховують заробітну плату, сторонні податкові та бухгалтерські компанії
3. Передача даних
3.1. Передача персональних даних до центрів обробки даних (хостинг, хмара даних) за межами ЄС
Відповідні запобіжні заходи: Стандартні договірні положення
3.2. Передача персональних даних ІТ, маркетинговим, податковим та бухгалтерським компаніям
Відповідні запобіжні заходи: Угода процесора зі стандартними договірними положеннями
4. Терміни зберігання
4.1. Сертифікаційні дані
Зберігається протягом 10 років після закінчення терміну дії сертифіката.
4.2. Дані про співробітника
Зберігається протягом 8 років після припинення роботи.
4.3. Маркетингові дані
Зберігається до відкликання згоди.
5. Заходи безпеки
- Контроль доступу до систем персональних даних.
- Шифрування персональних даних під час передавання та зберігання.
- Регулярні тренінги з питань безпеки для співробітників.
- Регулярні перевірки безпеки та оцінка ризиків.
- Відповідність Політиці інформаційної безпеки EITCI.
6. Огляд і оновлення
Цей Запис про дії з обробки періодично переглядається та оновлюється, а також щоразу, коли відбуваються значні зміни в діяльності з обробки даних Європейського інституту сертифікації ІТ.
Європейський інститут сертифікації ІТ прагне підтримувати найвищі стандарти щодо захисту персональних даних і дотримання Загального регламенту захисту даних, гарантуючи дотримання всіх відповідних законів і нормативних актів, пов’язаних із цими питаннями, а також провідних галузевих стандартів і найкращі практики, включаючи систему управління конфіденційною інформацією ISO 27701.