Lista kontrolna weryfikacyjna podmiotu przetwarzającego

LISTA KONTROLNA (WERYFIKACYJNA) PODMIOTU PRZETWARZAJĄCEGO

Lista kontrola służy jako pomocne narzędzie przy przeprowadzania audytów, w tym inspekcji przez administratora, w ramach wykonywania

swoich uprawień określonych w art. 28 ust. 3 lit. h) RODO.

Lp. OBSZAR PYTANIE ODPOWIEDŹ

1. WERYFIKACJA Czy DataGuard Sp. z o.o. wyznaczył inspektora ochrony danych? Czy DataGuard Sp. z o.o. monitoruje obowiązek wyznaczenia OGÓLNA IOD w organizacji?

2. Kto wykonuje zadania dotyczące zapewniania przestrzegania przepisów o ochronie WERYFIKACJA danych osobowych w organizacji (w sytuacji braku powołania inspektora ochrony OGÓLNA danych)?

3. Czy DataGuard Sp. z o.o. miał kontrolę, postępowanie wyjaśniające lub inne działania prowadzone przez WERYFIKACJA PUODO lub inny organ nadzorczy w związku z DataGuard Sp. z o.o.? OGÓLNA Jeżeli tak, prosimy o wskazanie co było przedmiotem działań prowadzonych przez PUODO i jakie są wyniki przeprowadzonych działań?

4. Czy DataGuard Sp. z o.o. stosuje się do przyjętych przez organ nadzorczy kodeksów podstępowania? WERYFIKACJA Oczywiście o ile taki kodeks występuję w danej branży. Brak stosowania kodeksu nie OGÓLNA wpływa samoistnie na negatywną ocenę DataGuard Sp. z o.o.

5. Czy DataGuard Sp. z o.o. objęty jest monitorowaniem przestrzegania kodeksu postępowania przez WERYFIKACJA akredytowany podmiot monitorujący? Oczywiście o ile taki kodeks występuję w danej OGÓLNA branży. Brak stosowania kodeksu nie wpływa samoistnie na negatywną ocenę DataGuard Sp. z o.o.

6. WERYFIKACJA Czy DataGuard Sp. z o.o. otrzymał certyfikat zgodności z RODO? Brak posiadania certyfikatu nie wpływa OGÓLNA samoistnie na negatywną ocenę DataGuard Sp. z o.o.

7. Czy osoby wyznaczone do wykonywania zadań z zakresu DataGuard Sp. z o.o. posiadają odpowiednią ZASOBY/ wiedzę i przygotowanie praktyczne do wykonywania swoich obowiązków z zakresu ZARZĄDZANIE przetwarzania powierzonych danych? PERSONELEM Prosimy uzasadnić odpowiedź np. fakt odbycia szkolenia

8. ZASOBY/ Czy osoby delegowane do obsługi danych powierzonych przez administratora posiadają ZARZĄDZANIE nadane upoważnienia do przetwarzania danych? PERSONELEM

9. Czy osoby upoważnione do przetwarzania danych osobowych zostały zobowiązane do zachowania danych osobowych w tajemnicy? ZASOBY/ Prosimy o przedstawienie wzoru upoważnienia do przetwarzania danych osobowych ZARZĄDZANIE wraz z obowiązkiem zachowania tajemnicy co do przetwarzanych danych lub PERSONELEM wskazaniem w jakim dokumencie osoby upoważnione do przetwarzania danych zostały zobowiązane do zachowania tajemnicy.

10. Jak wygląda procedura realizacji praw osób, których dane dotyczą uwzględniającą WERYFIKACJA wspieranie administratora w realizacji tych praw? PROCEDUR Prosimy o wskazanie odpowiedniego wyciągu z procedury.

11. Czy DataGuard Sp. z o.o. zarządza dostępem do systemów oraz programów komputerowych, w którym są ZARZĄDZANIE przetwarzane dane osobowe, poprzez proces nadawania, przeglądu i odbierania uprawnień DOSTĘPEM oraz stosuje bezpieczne mechanizmy uwierzytelniania? Prosimy o wskazanie odpowiedniej procedury nadawania dostępu.

12. Czy DataGuard Sp. z o.o. wdrożył i stosuje zasady udzielania dostępu tylko do informacji niezbędnych do ZARZĄDZANIE zakresu wykonywanych obowiązków oraz zasady najmniejszego uprzywilejowania? W DOSTĘPEM myśl zasady najmniejszego uprzywilejowania użytkownik ma mieć dostęp tylko do tych informacji i zasobów, które są mu niezbędne do wykonywania swojej pracy

13. Czy DataGuard Sp. z o.o. dobrał odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzanych danych osobowych zgodnie z aktualnie przeprowadzoną analizą ryzyka ANALIZA RYZYKA naruszenia praw lub wolności osób fizycznych? Prosimy o przekazanie aktualnie stosowanych środków bezpieczeństwa.

14. Jakie środki bezpieczeństwa stosuje DataGuard Sp. z o.o. w celu zapewnienia ochrony danych osobowych w ŚRODKI czasie ich przechowywania? BEZPIECZEŃSTWA Prosimy o wskazanie stosowanych środków.

15. KOPIA Czy DataGuard Sp. z o.o. przechowuje kopie bezpieczeństwa w bezpiecznej lokalizacji oraz zabezpiecza kopie BEZPIECZEŃSTWA przed ich nieuprawnionym dostępem?

16. ZEWNĘTRZNE AUDYTY DataGuard Sp. z o.o. Czy DataGuard Sp. z o.o. prowadzi regularnie audyty dotyczące zasad bezpieczeństwa informacji, w tym danych osobowych, w celu weryfikacji spełniania wymogów polityki ochrony danych lub innej wewnętrznej procedury, w tym ocena skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania? Prosimy o przekazanie z jaką regularnością takie audyty się odbywają oraz o wskazanie raportu/ odpowiednich wniosków z raportu audytowego.

17. BEZPIECZEŃSTWO Czy DataGuard Sp. z o.o. zapewnia nadzór - wykluczający dostęp do danych osobowych - przed osobami FIZYCZNE niebędącymi pracownikami DataGuard Sp. z o.o., a przebywającymi w jego siedzibie?

18. Jak wygląda procedura postępowania w sytuacji naruszenia ochrony danych osobowych ZARZĄDZANIE przetwarzanych w imieniu administratora? INCYDENTAMI Prosimy o wskazanie odpowiedniej procedury/ fragmentów procedury.

19. Proszę wskazać kto u DataGuard Sp. z o.o. jest odpowiedzialny za kontakt i wykonywanie procedury ZARZĄDZANIE postępowania w sytuacji naruszenia ochrony danych? INCYDENTAMI Prosimy o wskazanie odpowiedniego wyciągu z procedury.

20. ZARZĄDZANIE Czy DataGuard Sp. z o.o. prowadzi i aktualizuje ewidencję naruszeń ochrony danych osobowych? INCYDENTAMI