Lista kontrolna zgodności przetwarzania danych osobowych z RODO

LISTA KONTROLNA

OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Założenia:

1. Lista kontrolna ma na celu określenie:

a) czy administrator przyjął wymagane polityki i procedury,

b) czy wdrożył inne, wymagane na podstawie Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych dokumenty m.in. klauzule zgód, klauzule obowiązków informacyjnych, rejestry,

c) czy dokonuje przeglądów dokumentacji, przeprowadza audyty i podnosi wiedzę pracowników z zakresu ochrony danych?

2. Dotychczas, zgodnie z zasadami określonymi w uprzednio obowiązującej Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz przepisach wykonawczych, administrator danych osobowych był zobligowany do posiadania dokumentów dokładnie określonych w powyższych przepisach. Elementy dokumentacji były sprecyzowane i jednakowe dla wszystkich podmiotów (mowa tutaj o Instrukcji zarządzania systemami informatycznymi oraz Polityce bezpieczeństwa danych osobowych). Przyjęcie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO lub Rozporządzenie 2016/679) wniosło znaczącą zmianę w tej kwestii: Rozporządzenie 2016/679 nie określa wprost jakie dokumenty administrator danych osobowych jest zobowiązany posiadać oraz nie daje dokładnych wytycznych, co do ich treści - z małymi wyjątkami (art. 30 - rejestr czynności i rejestr kategorii czynności przetwarzania). Zgodnie z RODO stworzenie właściwej dokumentacji pozostaje po stronie przedsiębiorców, a treść dokumentów ma być uzależniona od oceny ryzyka dla poszczególnych administratorów danych. Jednakże, RODO wymaga równocześnie od administratorów danych osobowych, zgodnie z wyrażoną w art. 5 zasadą rozliczalności, by byli w stanie wykazać przestrzeganie jego przepisów. W związku z tym, dla wykazania zgodności działania z RODO, rekomendowane jest przyjęcie dokumentów wskazanych w niniejszej liście kontrolnej.

Lp. Pytanie Rekomendacje Odpowiedź „TAK” Odpowiedź „NIE”

SEKCJA I – CZY ADMINISTRATOR PRZYJĄŁ WYMAGANE POLITYKI I PROCEDURY?

1. Czy administrator wdrożył politykę Administrator realizuje Należy przyjąć dokument

ochrony danych osobowych? obowiązek

[Dokument o charakterze ogólnym mającym na celu ustanowienie generalnych zasad ochrony danych osobowych. Dobrą praktyką jest, gdy dokument zawiera opis stosowanych środków zabezpieczeń.]

2. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

notyfikacji naruszeń? obowiązek

[Dokument mający na celu zapewnienie odpowiednich mechanizmów pozwalających na zgłaszanie naruszeń do organu nadzorczego w ciągu 72 godzin oraz odpowiednie powiadomienie podmiotów danych o naruszeniu.]

3. Czy administrator prowadzi rejestr Administrator realizuje Należy przyjąć dokument

naruszeń ochrony danych obowiązek

osobowych?

[W myśl art. 33 ust. 5 RODO, administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania art. 33 ust. 3-4 RODO.]

4. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

weryfikacji podmiotu obowiązek

przetwarzającego?

[W myśl art. 28 ust. 1 RODO, administrator korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Celem procedury jest ustanowienie odpowiednich praktycznych zasad postępowania pozwalających zweryfikować, czy kontrahenci zapewniają wystarczające gwarancje przestrzegania wymogów RODO.]

5. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

realizacji praw osób, których dane obowiązek

dotyczą?

[Celem procedury jest opisanie i tym samym udokumentowanie funkcjonujących w organizacji mechanizmów realizacji praw osób, o których mowa w art. 15-22 RODO.]

6. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

retencji danych osobowych? obowiązek

[Dokument mający na celu zapewnienie ograniczenia czasu przechowywania danych osobowych do niezbędnego minimum oraz ustalenie terminów usuwania danych osobowych i kryteriów ustalania tego terminu lub okresowego przeglądu.]

7. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

oceny ryzyka dla praw lub wolności obowiązek

osób, których dane są przetwarzane?

[Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla praw lub wolności podmiotów danych.]

8. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

oceny skutków dla ochrony danych obowiązek

(DPIA)?

[W myśl art. 35 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.]

9. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

ochrony danych w fazie obowiązek

projektowania (Privacy by Design)?

[RODO w art. 25 zobowiązuje administratora danych do uwzględniania ochrony danych w fazie projektowania (ang. Privacy by design) poprzez wdrożenie - zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - odpowiednich środków technicznych i organizacyjnych zaprojektowanych tak, by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.]

10. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

domyślnej ochrony danych (Privacy obowiązek

by Default)?

[Art. 25 RODO zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania (zasada domyślnej ochrony danych osobowych - ang. Privacy by default).]

11. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

testu proporcjonalności? obowiązek

[W przypadku przetwarzania danych osobowych na podstawie art. 6 ust 1 lit f) RODO, administrator musi dokonać wyważenia dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej i interesów, podstawowych praw oraz wolności podmiotu.]

12. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

przekazania danych do Stanów obowiązek

Zjednoczonych?

[Dokument ma na celu opis podstawy i zasady bezpiecznego przetwarzania danych poza Europejskim Obszarem Gospodarczym zgodnie z rozdziałem V RODO.]

13. Czy administrator wdrożył procedurę Administrator realizuje Należy przyjąć dokument

odtwarzania systemu po awarii, oraz obowiązek

ich testowania?

[W myśl art. 32 RODO należy wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, w tym między innymi w stosownym przypadku zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.]

SEKCJA II – CZY ADMINISTRATOR REALIZUJE POZOSTAŁE OBOWIĄZKI WYNIKAJĄCE Z RODO?

14. Czy administrator prowadzi rejestr Administrator realizuje Należy przyjąć dokument

czynności przetwarzania oraz obowiązek

kategorii czynności przetwarzania?

15. Czy administrator utworzył oraz Administrator realizuje Należy przyjąć

zaktualizował klauzule oraz zgód obowiązek odpowiednie klauzule

(jeżeli dotyczy)? zgód

16. Czy administrator realizuje Administrator realizuje Należy realizować

obowiązki informacyjne w każdym obowiązek obowiązek informacyjny

przypadku pozyskiwania danych w przypadku

osobowych? pozyskiwania danych

osobowych

17. Czy administrator dokonał Administrator realizuje Należy dokonać

weryfikacji poprawności wszystkich obowiązek weryfikacji poprawności

umów powierzenia przetwarzania wszystkich umów

oraz czy w każdym wymaganym powierzenia

przypadku zawarł taką umowę? przetwarzania oraz czy w

każdym wymaganym

przypadku zawarta została

taka umowa

18. Czy administrator nadaje Administrator realizuje Należy nadać

upoważnienia do przetwarzania obowiązek upoważnienia do

danych osobowych oraz zbiera przetwarzania danych

oświadczenia o zachowaniu osobowych oraz zebrać

poufności? oświadczenia o

zachowaniu poufności

SEKCJA III – PRZEGLĄDY, AUDYTY SZKOLENIA

19. Czy administrator dokonał przeglądu Administrator realizuje Należy dokonać

dokumentacji pod kątem okresu obowiązek przeglądu dokumentacji

retencji danych osobowych ? pod kątem okresu

retencji danych

osobowych

20. Czy administrator przygotował planu Administrator realizuje Należy przygotować plan

rocznych audytów i obowiązek rocznych audytów i

inwentaryzacji dokumentacji? inwentaryzacji

dokumentacji

21. Czy administrator przygotował plan Administrator realizuje Należy przygotować plan

rocznych szkoleń dla obowiązek szkoleń dla pracowników

pracowników?

22. Czy administrator dokonuje Administrator realizuje Należy dokonać

przeglądu danych osobowych obowiązek odpowiedniego przeglądu

przetwarzanych w celu przyznania danych osobowych

świadczenia emerytalnego i świadczenia przetwarzanych w celu

z ZUS przyznania świadczenia

emerytalnego i rentowego

oraz dodatku z tytułu

opieki nad dzieckiem i

ustalenia ich wysokości?

[Zgodnie z art. 125a Ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, pracodawca dokonuje przeglądu danych osobowych, o których mowa w art. 125 tej ustawy, nie rzadziej niż raz w roku w celu ustalenia niezbędności ich dalszego przechowywania. Pracodawca usuwa dane osobowe, których dalsze przechowywanie jest zbędne do realizacji celu określonego w art. 125 tej ustawy.]