Plan audytu zgodności z RODO

Prawo

dane

Kategoria

plan

Klucze

audyt zgodności przetwarzania danych, dokumentacja audytu, legalność przetwarzania, obowiązki informacyjne, plan audytu zgodności z rodo, powierzenie danych osobowych, prawa osób, szczegółowy zakres audytu, termin rozpoczęcia, zabezpieczenia fizyczne, zabezpieczenia systemowe, środki organizacyjne

Plan audytu zgodności z RODO jest dokumentem określającym proces przeprowadzenia audytu w zakresie zgodności z Rozporządzeniem Ogólnym o Ochronie Danych Osobowych (RODO). W tym planie określone są cele, zakres audytu oraz metody przeprowadzenia analizy zgodności z obowiązującymi przepisami o ochronie danych osobowych.

Plan wewnętrznego audytu zgodności z RODO

Plan jest przedstawiany przez IOD do wiadomości administratora danych co najmniej 2 tygodnie przez wskazanym w planie dniem rozpoczęcia audytu.

1. Określenie terminu rozpoczęcia audytu: 15.05.2024 - 30.05.2024

2. Zagadnienia, które będzie obejmował audyt:

    funkcjonowanie zastosowanych środków organizacyjnych;

    funkcjonowanie zabezpieczeń systemowych;

    funkcjonowanie zastosowanych zabezpieczeń fizycznych;

    legalność przetwarzania danych;

    realizowanie obowiązków informacyjnych;

    realizowanie praw osób, których dane dotyczą;

    powierzanie danych osobowych.

3. Czynności lub procesy przetwarzania, które będzie obejmował audyt:

    Przetwarzanie danych kandydatów do pracy

    Przetwarzanie danych klientów sklepu internetowego

4. Sposób przeprowadzenia audytu:

    oględziny w wybranych obszarach przetwarzania;

    przegląd dokumentów;

    uzyskanie wyjaśnień od osób przetwarzających dane;

    uzyskanie wyjaśnień od osób odpowiedzialnych za bezpieczeństwo danych;

    wgląd w dokumenty zawierające dane osobowe2;

    wgląd do systemów służących do przetwarzania danych.

5. Szczegółowy zakres planowanego audytu stanowi załącznik nr 1 do planu sprawdzeń.

Data i podpis IOD: 01.05.2024

Przyjąłem do wiadomości informację o planowanym audycie zgodności przetwarzania danych, w tym o konieczności poinformowania pracowników o audycie i zapewniania IOD środków technicznych i organizacyjnych niezbędnych do przeprowadzania audytu zgodności z przepisami RODO.

Data i podpis administratora 02.05.2024

1 Należy wskazać poprzez postawienie krzyżyka w wybranych okienkach

2 Wymaga uzyskania upoważnienia do przetwarzania danych w niezbędnym zakresie

Załącznik nr 1 Szczegółowy zakres planowanego audytu

 

ZAGADNIENIA OBJĘTEZAKRESEM KONTROLI                                                  CZYNNOŚCI AUDYTOWE                                                  ZAZNACZONO X ZAGADNIEIA OBJĘTE PLANEMAUDYTU

Funkcjonowanie zastosowanych środków organizacyjnych

1.    Polityki i procedury ochrony danych    Sprawdzenie czy są niezbędne polityki i procedury ochrony danych.            Ustalenie, czy dokumentacja została oficjalnie zatwierdzona przez administratora.            Ustalenie, czy dokumentacja podlega aktualizacji i przeglądom.

2.    Rejestr czynności przetwarzania    Analiza aktualności i poprawności prowadzonego rejestru (w zakresie całego rejestru lub wybranych czynności).

3.    Analiza poszczególnych procedur i polityk ochrony danych    Sprawdzenie ich aktualności, skuteczności oraz adekwatności do ryzyk i zagrożeń dla ochrony danych.

4.    Zasady upoważniania do przetwarzania danych    Analiza procedury upoważniania do przetwarzania danych.            Analiza procesu nadawania upoważnień i uprawnień w odniesieniu do obowiązującej procedury.            Sprawdzenie ewidencji upoważnień.            Przegląd aktualności wzoru upoważnienia.            Sprawdzenie, czy każda osoba dopuszczona do przetwarzania danych została przeszkolona z zasad ochrony danych i zapoznana z wewnętrznymi procedurami ochrony danych.

5.    Obszary przetwarzania danych    Wykaz pomieszczeń, w których przetwarzane są dane osobowe.

6.    Procedury postępowania w przypadku naruszenia ochrony danych    Sprawdzenie czy są procedury.            Sprawdzenie adekwatności procedur.            Analiza ewidencji naruszeń.            Analiza dokonywanej dotychczas analizy ryzyka przy stwierdzonych naruszeniach.

7.    Zabezpieczenie serwerowni    Wydzielenie pomieszczenia.            System kontroli dostępu.            Klimatyzacja i/lub pomiar temperatury oraz wilgotności.

Funkcjonowanie zabezpieczeń systemowych

Tryb i częstotliwość tworzenia kopii zapasowych    Procedury wykonywania i odtwarzania kopii zapasowych.            Przechowywanie kopii w innej lokalizacji.            Testowanie kopii - protokoły z testowania.

Plany ciągłości działania systemów    Plany odzyskania danych po awarii.            Plany utrzymania ciągłości działania systemów informatycznych.

Inwentaryzacja sprzętu i oprogramowania    Częstotliwość przeprowadzania inwentaryzacji.            Analiza raportu z inwentaryzacji sprzętu.            Analiza raportu z inwentaryzacji oprogramowania.            Zasady wydawania i zwrotu sprzętu.

Dziennik administratora systemu informatycznego.    Czy są dokumentowane czynności z zakresu eksploatacji, aktualizacji i monitoringu systemów i oprogramowania?

Rejestr incydentów    Analiza incydentów teleinformatycznych.            Analiza procedur wykrywania i postępowania przy incydentach.            Rejestr incydentów bezpieczeństwa i działań korygujących i zapobiegawczych.

Proces uwierzytelniania i identyfikacji użytkowników w systemach informatycznych    Procedury nadawania uprawnień do systemów.            Zasady przydawania loginów.            Czy jest Polityka haseł?

Rozliczalność w systemach teleinformatycznych    Czy każdy użytkownik ma indywidulany login?            Czy każdy system umożliwia rozliczalność operacji wykonywanych przez użytkowników?            Czy są systemy analizujące dziwne działania w ramach systemów (np. nadmierny transfer)?

Zmiana uprawnień w przypadku zmiany zadań osób upoważnionych lub ustania upoważnienia    Zasady blokowania haseł i kont byłego pracownika.            Zasady zwrotu sprzętu i innych aktywów.            Postępowanie przy dłuższej nieobecności pracownika.

Środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy,    Legalność i aktualność programu antywirusowego.            Czy oprogramowanie antywirusowe jest zainstalowane na każdym urządzeniu (komputery stacjonarne, przenośne, smartfony, serwery)?            Czy użytkownik może wyłączyć antywirus?            Czy wszystkie nośniki i nowe pliki są skanowane automatycznie?            Czy urządzenia są skanowane okresowo?            Czy został zastosowany firewall do ochrony dostępu do sieci komputerowej?            Czy jest stosowany system IDS/IPS?            W jaki sposób jest nadzorowany ruch sieciowy?            Czy zostały wydzielone podsieci (np. dla gości, dla laptopów)?

Zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość    Jakie zabezpieczenia laptopów i innych urządzeń mobilnych wprowadzono?            Czy w przypadku kradzieży urządzenia jest ono wystarczająco zabezpieczone przed dostępem osób trzecich?            Czy w przypadku pracy zdalnej stosuje się szyfrowane połączenia i protokoły w celu połączenia z firmowymi zasobami?            Czy urządzenia są odpowiednio zabezpieczone na okoliczność korzystania z HotSpot?

Minimalizowanie ryzyka utraty informacji w wyniku awarii    Czy są stosowane: UPS, generator prądu, listwy przepięciowe?            Jaki jest czas odzyskania danych z kopii zapasowych?

Ochrona przed błędami, utratą, nieuprawnioną modyfikacją    Analiza integralności danych i systemów rozumiana jako brak możliwości nieuprawnionych zmian, kopiowania, usuwania.

Stosowanie mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa    Analiza czy są i muszą być stosowane: Szyfrowany protokół SSL, VPN, pseudonimizacja, itp.

Zasady bezpiecznego korzystania z Internetu i poczty elektronicznej    Blokowanie zbędnych i groźnych stron oraz treści.            Przeszkolenie pracowników z typowych socjotechnik stosowanych przez cyberprzestępców.            Monitoring sieci i poczty - czy jest i czy nie narusza prywatności użytkowników.

Bezpieczeństwo danych na dyskach i innych nośnikach informacji przeznaczonych do naprawy lub likwidacji    Czy jest procedura przeglądu urządzeń służących do przetwarzania danych?            Czy urządzenia przeznaczone do naprawy są pozbawiane danych przed naprawą?

Przeglądy urządzeń służących do przetwarzania danych    Czy jest procedura przeglądu?            Jak często są wykonywane przeglądy?            Czy wszystkie urządzenia podlegają regularnym przeglądom?

Funkcjonowanie zastosowanych zabezpieczeń fizycznych

Sposoby zabezpieczenia danych przetwarzanych w formie papierowej    Czy jest stosowana zasada "czystego biurka"?            Czy są stosowane zamykane metalowe i niemetalowe szafy?            Czy są procedury przechowywania kluczy do szaf?

Kontrola dostępu do pomieszczeń    Czy są formalizowane zasady kontroli dostępu?            Jakie zastosowano zabezpieczenia pomieszczeń (klucze, karty)?            Czy są formalne zasady wydawania kluczy i kart oraz zarządzania nimi?

Metody niszczenia dokumentów    Czy są niszczarki?            Czy jest wystarczająca liczba niszczarek?            Czy pracownicy korzystają z niszczarek?            Czy niszczarki niszczą dane w sposób uniemożliwiający ich odtworzenie?            Czy niszczarki umożliwiają niszczenie płyt?

Zabezpieczenia pomieszczeń    Czy są wystarczające zabezpieczenia fizyczne pomieszczeń (drzwi odpowiedniej klasy, alarmy, kraty, monitoring, książka wejść/wyjść itp.)?

Zabezpieczenia ppoż    Czy zostały zapewnione odpowiednie zabezpieczenia ppoż?            Czy do urządzeń w serwerowni zastosowano system gaszenia odpowiedniej klasy?            Czy są plany ewakuacji, wyznaczone miejsca zbiórki dla ludzi i sprzętu?            Czy stosuje się przechowywanie kopii bezpieczeństwa w innej lokalizacji?

Legalność przetwarzania danych

Analiza legalności przetwarzanych danych na podstawie analizy procesu przetwarzania    Analiza wybranych lub wszystkich procesów przetwarzania w oparciu o rejestr czynności oraz wyjaśnienia pracowników i przepisy sektorowe.            Ustalenie właściwej podstawy prawnej dla każdej kategorii przetwarzanych danych.

Realizowanie obowiązków informacyjnych

Treść klauzul informacyjnych.    Sprawdzenie wzoru klauzuli z art. 13 i 14 RODO.

Realizowanie obowiązków informacyjnych    Sposób realizacji obowiązku informacyjnego z uwzględnieniem szczególnych przepisów prawa.

Realizowanie praw osób, których dane dotyczą

Procedura realizowania praw osób, których dane dotyczą    Czy jest procedura realizowania praw osób?            Czy pracownicy wiedzą w jaki sposób postępować z żądaniami?

Udostępnianie danych / wydawanie kopii danych    Czy jest procedura udostępniania danych?            Czy jest prowadzona ewidencja udostępnień?

Powierzanie danych osobowych

8.    Identyfikacja podmiotów, którym administrator powierza dane    Konfrontacja danych z rejestrem czynności.            Uzyskanie informacji o usługach świadczonych przez podwykonawców, które wiążą się z koniecznością powierzenia danych.

9.    Identyfikacja podmiotów, które powierzają dane administratorowi (jako podmiotowi przetwarzającemu)    Konfrontacja danych z rejestrem kategorii.            Uzyskanie informacji o usługach, które wiążą się z koniecznością powierzenia danych i są świadczone przez administratora.

10.    Sprawdzenie czy zostały zawarte niezbędne umowy powierzenia    Analiza treści umów.            Analiza ewidencji umów.

Podsumowując, Plan audytu zgodności z RODO jest kluczowym narzędziem w procesie zapewnienia zgodności działalności firmy z przepisami RODO. Poprzez przeprowadzenie audytu oraz wdrożenie zaleceń wynikających z analizy, firma może minimalizować ryzyko naruszeń przepisów dotyczących ochrony danych osobowych.