Lista kontrolna wdrożenia zasad ochrony danych w fazie projektowania

LISTA KONTROLNA

OCHRONA DANYCH W FAZIE PROJEKTOWANIA (PRIVACY BY DESIGN)

Założenia:

Lista kontrolna ma na celu określenie, czy realizowana jest w prawidłowy sposób zasada ochrony danych osobowych w fazie projektowania (privacy by design)?

Niniejsza lista kontrolna została sporządzona dla procesu rejestracji nowych klientów w serwisie internetowym.

Lp. Pytanie Rekomendacje

Odpowiedź „TAK” Odpowiedź „NIE”

SEKCJA I – OGÓLNE INFORMACJE O NOWYM PROCESIE

1. Czy określono rodzaj procesu tj. Podjęto odpowiednie Należy podjąć działania

czy jest to nowy proces/ proces zmierzające do

mający na celu realizację identyfikacji/ ustaleniu/

jednorazowego działania/ proces określeniu informacji

wprowadzający zmiany w istniejącym procesie?

Tak, jest to nowy proces.

2. Czy zidentyfikowano dział Podjęto odpowiednie Należy podjąć działania

odpowiedzialny za proces? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, dział IT.

3. Czy dokładnie opisano proces? Podjęto odpowiednie Należy podjąć działania

zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, proces został opisany w dokumencie "Procedura rejestracji klientów".

4. Czy zidentyfikowano cel Podjęto odpowiednie Należy podjąć działania

biznesowy procesu? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, celem jest zwiększenie liczby zarejestrowanych użytkowników serwisu.

5. Czy zidentyfikowano planowany Podjęto odpowiednie Należy podjąć działania

termin rozpoczęcia procesu? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, 01.01.2024.

SEKCJA II - OGÓLNE INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH

6. Czy określono rolę w procesie Podjęto odpowiednie Należy podjąć działania

przetwarzania? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, administrator danych.

7. Czy zidentyfikowano dane Podjęto odpowiednie Należy podjąć działania

osobowe zwykłe zbierane i zmierzające do

wykorzystywane w ramach procesu identyfikacji/ ustaleniu/

oraz cel przetwarzania określeniu informacji

poszczególnych danych? określenia informacji

Tak, imię, nazwisko, adres email - w celu założenia konta i komunikacji.

8. Czy zidentyfikowano dane Podjęto odpowiednie Należy podjąć działania

osobowe szczególnie chronione zmierzające do

zbierane i wykorzystywane w identyfikacji/ ustaleniu/

ramach procesu oraz cel określeniu informacji

przetwarzania poszczególnych określenia informacji

danych?

Nie.

9. Czy określono kategorie osób, Podjęto odpowiednie Należy podjąć działania

których dotyczą przetwarzane dane zmierzające do

osobowe? identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, klienci serwisu internetowego.

10. Czy określono przewidywaną ilość Podjęto odpowiednie Należy podjąć działania

przetwarzanych danych? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, około 1000 rekordów miesięcznie.

11. Czy określono źródło pochodzenia Podjęto odpowiednie Należy podjąć działania

danych i sposób ich pozyskiwania? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, dane pozyskiwane są bezpośrednio od klientów poprzez formularz rejestracyjny.

12. Czy określono podstawę prawną Podjęto odpowiednie Należy podjąć działania

przetwarzania danych osobowych? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, art. 6 ust. 1 lit. b RODO - niezbędność do wykonania umowy.

13. Czy określono sposób spełnienia Podjęto odpowiednie Należy podjąć działania

obowiązku informacyjnego? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, poprzez klauzulę informacyjną dostępną podczas rejestracji.

14. Czy określono sposób Podjęto odpowiednie Należy podjąć działania

pozyskiwania zgód na zmierzające do

przetwarzanie danych? identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, poprzez checkbox w formularzu rejestracyjnym.

15. Czy zidentyfikowano przysługujące Podjęto odpowiednie Należy podjąć działania

prawa podmiotom danych? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, informacja o prawach znajduje się w klauzuli informacyjnej.

16. Czy ustalono okres retencji Podjęto odpowiednie Należy podjąć działania

danych? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, 5 lat od daty ostatniej aktywności w serwisie.

17. Czy zidentyfikowano podmioty Podjęto odpowiednie Należy podjąć działania

zaangażowane w przetwarzanie zmierzające do

danych osobowych w ramach identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

procesu? określeniu informacji określenia informacji

Tak, dostawca oprogramowania CRM.

18. Czy zidentyfikowano (lub Podjęto odpowiednie Należy podjąć działania

określono konieczność zawarcia) zmierzające do

umowy z podmiotami identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

zaangażowanymi w przetwarzanie określeniu informacji określenia informacji

danych osobowych w ramach

procesu?

Tak, umowa powierzenia przetwarzania danych.

19. Czy ustalono, czy w ramach Podjęto odpowiednie Należy podjąć działania

procesu dochodzi do transferu do zmierzające do

państw trzecich? identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Nie.

20. Czy zidentyfikowano systemy Podjęto odpowiednie Należy podjąć działania

informatyczne, aplikacje i zmierzające do

narzędzia wykorzystywane w identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

procesie? określeniu informacji określenia informacji

Tak, system CRM, platforma e-commerce.

21. Czy zidentyfikowano dokumenty Podjęto odpowiednie Należy podjąć działania

wykorzystywane w procesie? zmierzające do

identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, formularz rejestracyjny, klauzula informacyjna.

22. Czy pracownikom przetwarzającym Podjęto odpowiednie Należy podjąć działania

dane osobowe w procesie nadano zmierzające do

upoważnienia do przetwarzania identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

danych osobowych? określeniu informacji określenia informacji

Tak.

23. Czy określono i wdrożono Podjęto odpowiednie Należy podjąć działania

odpowiednie środki organizacyjne i zmierzające do

techniczne? identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określeniu informacji określenia informacji

Tak, szyfrowanie danych, kontrola dostępu.

SEKCJA III – SZCZEGÓLNE INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH

24. Czy określono, czy w procesie Podjęto odpowiednie Należy podjąć działania

występuje profilowanie zwykłe zmierzające do

oraz czy określono podstawę identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

prawną takiego działania? określeniu informacji określenia informacji

Nie.

25. Czy określono, czy w procesie Podjęto odpowiednie Należy podjąć działania

występuje automatyczne zmierzające do

podejmowanie decyzji oraz czy identyfikacji/ ustaleniu/ identyfikacji/ ustalenia/

określono podstawę prawną takiego określeniu informacji określenia informacji

działania?

Nie.