Lista kontrolna weryfikacji podmiotu przetwarzającego

Lista kontrolna weryfikacji podmiotu przetwarzającego dane osobowe

 

Rodzaj środków Podstawa Przykładowe środki Oświadczenie

technicznych i prawna podmiotu

organizacyjnych obowiązku przetwarzającego co

do stosowanych

środków

Czy są stosowane RODO art. 32 ust 1 Stosowanie zatwierdzonej Stosujemy politykę bezpieczeństwa informacji, która obejmuje m.in. szyfrowanie i pseudonimizację danych osobowych.

środki RODO art. 25 polityki ochrony danych i

umożliwiające procedur zapewniających

pseudonimizację i bezpieczeństwo danych

szyfrowanie danych osobowych.

osobowych? Przeprowadzenie analizy

ryzyka wskazującej na

konieczność stosowania takich

środków, jak pseudonimizacja

i szyfrowanie danych

osobowych.

Prowadzenie rejestru kategorii

czynności przetwarzania.

Stosowanie regulacji dot.

zgłaszania naruszeń i realizacji

praw osób, także przy użyciu

pseuonimizacji/szyfrowania

danych osobowych.

Stosowanie szyfrowania

danych osobowych w

konkretnych procesach

Czy dane osobowe RODO art. 29 Wprowadzenie procedury Wszystkie dane osobowe przetwarzane są przez osoby upoważnione.

przetwarzane są RODO art. 32 ust. 4 nadawania upoważnień.

przez osoby

upoważnione? Ewidencjonowanie

nadawanych upoważnień, ich

modyfikacji i odbierania

Czy osoby RODO art. 28 ust. 3 b) Oświadczenie osób Oświadczenia o zachowaniu poufności podpisane są przez wszystkich upoważnionych pracowników.

przetwarzające dane RODO art. 32 ust. 4 upoważnionych o

osobowe zostały zobowiązaniu do zachowania

zobowiązane do danych w tajemnicy

zachowania ich w

tajemnicy?

Czy podmiot RODO art. 28 ust. 3 g) Oświadczenie podmiotu Dane osobowe zwracane/usuwane są zgodnie z umową powierzenia przetwarzania danych osobowych.

przetwarzający RODO art. 17 przetwarzającego o

zwraca/usuwa dane zwrocie/usunięciu danych

osobowe po osobowych.

zakończeniu

przetwarzania? Protokół potwierdzający

usunięcie danych osobowych.

Protokół potwierdzający zwrot

danych osobowych

Czy podmiot RODO art. 28 ust. 2/4 Umowa dalszego powierzenia Korzystamy z usług chmurowych firmy CloudTech Sp. z o.o., z którą mamy podpisaną umowę powierzenia.

przetwarzający RODO art. 28 ust. 3 h) przetwarzania danych

korzysta z usług osobowych

dalszych

podmiotów

przetwarzających?

Czy podmiot RODO art. 30 ust. 2 Rejestr kategorii czynności Prowadzimy rejestr kategorii czynności przetwarzania w formie elektronicznej.

przetwarzający RODO art. 28 ust. 3 b) przetwarzania w formie

prowadzi rejestr pisemnej.

kategorii czynności

przetwarzania Rejestr kategorii czynności

odnośnie do przetwarzania w formie

powierzonych elektronicznej

danych osobowych

W jaki sposób RODO art. 28 ust 3 e) Procedura realizacji praw osób Wspieramy Administratora w realizacji praw osób, których dane dotyczą, poprzez udostępnianie niezbędnych danych i informacji.

podmiot RODO art. 12 ust 3 uwzględniająca ich realizację

przetwarzający w przypadku powierzonych

pomaga danych osobowych

administratorowi

poprzez

odpowiednie środki

techniczne i

organizacyjne

wywiązać się z

obowiązku

odpowiadania na

żądania osoby,

której dane

dotyczą?

Czy podmiot RODO art. 37 Status i obowiązki Inspektora Nie wyznaczyliśmy Inspektora Ochrony Danych, ponieważ nie ma takiego obowiązku.

przetwarzający RODO art. 28 ust. 3 b) Ochrony Danych określone w

wyznaczył regulacjach wewnętrznych

Inspektora Ochrony

Danych?

Czy podmiot RODO art. 33 ust. 1 Udokumentowanie Wprowadziliśmy procedurę zgłaszania naruszeń.

przetwarzający RODO art. 28 ust. 3 f) wprowadzenie procedury

wprowadził RODO art. 32 ust. 4 zgłaszania naruszeń w części

procedurę obejmującej naruszenia

zgłaszania danych powierzonych

naruszeń?

Czy podmiot RODO art. 32 ust. 1 Udokumentowanie Stosowane są procedury, które zapewniają dostęp do danych wyłącznie osobom uprawnionym (nadzór, kontrola dostępu).

przetwarzający RODO art. 28 ust. 3 b) wprowadzenie odpowiednich

stosuje środki procedur zapewniających

zapewniające dostęp do danych wyłącznie

zdolność do dla osób uprawnionych.

ciągłego

zapewnienia Procedury zapewniające

poufności, bezpieczeństwo systemów

integralności, przed atakami zewnętrznymi

dostępności i

odporności

systemów i usług

przetwarzania

Jakie środki Udokumentowanie wdrożenia Wykonujemy kopie zapasowe co 24 godziny oraz posiadamy procedury przywracania danych.

zapewniające procedur wykrywania

zdolność do RODO art. 32 ust. 1 c) incydentów fizycznych i

szybkiego RODO art. 28 ust. 3 b) technicznych wpływających

przywrócenia na bezpieczeństwo.

dostępności danych

osobowych i Sporządzanie kopii

dostępu do nich w zapasowych przetwarzanych

razie incydentu danych osobowych

fizycznego lub

technicznego

stosuje podmiot

przetwarzający?

Jakie procesy RODO art. 32 ust 1 d) Przyjęcie procedur Przeprowadzamy okresowe audyty bezpieczeństwa, co najmniej raz w roku.

umożliwiające RODO art. 28 ust. 3 b) bezpieczeństwa

regularne uwzględniających stosowanie

testowanie, okresowych audytów

mierzenie i stosowanych środków

ocenianie organizacyjnych i

skuteczności technicznych.

środków

technicznych i Uwzględnienie w procedurach

organizacyjnych audytów i sprawdzeń

mających zapewnić pozaplanowych

bezpieczeństwo

przetwarzania

stosuje podmiot

przetwarzający?

Jakie środki RODO art. 32 ust. 1 Udokumentowanie wdrożenia Posiadamy procedury nadawania i odbierania uprawnień użytkownikom.

umożliwiające RODO art. 28 ust. 3 b) Instrukcji Zarządzania

identyfikację i Systemem Informatycznym w

autoryzację zakresie nadawania uprawnień

użytkowników użytkownikom.

stosuje podmiot

przetwarzający? Udokumentowanie wdrożenia

procedur związanych z

tworzeniem loginów i budową

haseł

Jakie środki RODO art. 32 ust. 1 a) Udokumentowanie stosowania Dane są szyfrowane przy użyciu protokołu TLS 1.3.

zapewniające RODO art. 28 ust. 3 b) szyfrowania danych

ochronę danych w osobowych

czasie ich

przekazywania

stosuje podmiot

przetwarzający?

Jakie środki RODO art. 32 ust. 1 a) Udokumentowanie stosowania Przechowywane dane osobowe są pseudonimizowane.

zapewniające RODO art. 28 ust. 3 b) pseudonimizacji

ochronę danych w przechowywanych danych

czasie ich osobowych

przechowywania

stosuje podmiot

przetwarzający?