Kwestionariusz audytu zgodności przetwarzania danych z RODO
- Prawo
dane
- Kategoria
kwestionariusz
- Klucze
audyt, ciągłość działania, inwentaryzacja danych, ochrona danych, powierzenie danych, procedury zarządzania incydentami, przetwarzanie danych, rodo, zabezpieczenia techniczne, zgodność, środki ochrony danych
Kwestionariusz audytu zgodności przetwarzania danych z RODO jest narzędziem pozwalającym na sprawdzenie, czy firma przestrzega postanowień RODO w zakresie przetwarzania danych osobowych. Dokument ten zawiera pytania dotyczące zabezpieczeń danych, wykonywania analizy ryzyka oraz dokumentacji przetwarzania. Jest istotnym narzędziem wsparcia dla działów odpowiedzialnych za ochronę danych osobowych w organizacji.
Administrator: Firma Przykładowa Sp. z o.o.
Informacja chroniona
Audyt podmiotu przetwarzającego zgodnie z art. 28 RODO
Dane podmiotu przetwarzającego
Nazwa: Usługi Informatyczne "Nowoczesne Rozwiązania" S.A.
Adres: ul. Kwiatowa 123, 00-000 Miasto
Data wypełnienia dokumentu: 2023-10-27
Firma Przykładowa Sp. z o.o. jest zobligowana do wdrożenia i stosowania mechanizmów pozwalających wykazać zgodność z RODO. Poniższa lista kontrolna umożliwi weryfikację wybranych obszarów oraz wdrożonych zasad przetwarzania danych w kontekście zgodności z RODO.
Uprzejmie prosimy o udzielenie wyczerpujących odpowiedzi na pytania w poniższej tabeli oraz dołączenie załączników, jeżeli jest to konieczne.
Lp. Pytanie Odpowiedź
1. Działania organizacyjne
a. Czy wyznaczono Inspektora Ochrony Danych (IOD) lub osobę odpowiedzialną za obszar ochrony danych? Jeżeli IOD nie został wyznaczony, czy dokonano analizy pod kątem obowiązku wyznaczenia IOD i czy analiza ta została udokumentowana? Podaj kontakt do IOD, a w razie niewyznaczenia IOD wskaż uzasadnienie jego niewyznaczenia.
Tak, wyznaczono Inspektora Ochrony Danych. Kontakt: [email protected]
b. Czy stosowana jest zasada ochrony danych w fazie projektowania oraz zasada domyślnej ochrony danych dla wprowadzanych zmian? Podaj, w jaki sposób organizacja wykazuje stosowanie zasad.
Tak, zasady te są stosowane poprzez wdrożenie odpowiednich procedur i szkoleń dla pracowników. Dokumentacja dostępna jest w wewnętrznej bazie wiedzy.
c. Czy wdrożono proces analizy ryzyka naruszenia praw lub wolności osób fizycznych? Podaj ogólne zasady działania procesu.
Tak, proces analizy ryzyka obejmuje identyfikację zagrożeń, ocenę ryzyka oraz wdrożenie środków zaradczych. Analiza przeprowadzana jest co roku.
d. Czy przeprowadzane są dla pracowników i innych osób przetwarzających dane osobowe szkolenia zwiększające świadomość z zakresu ochrony danych osobowych? Podaj zasady i podaj datę ostatniego szkolenia.
Tak, szkolenia odbywają się co roku. Ostatnie szkolenie odbyło się 2023-09-15.
e. Czy wdrożono zasady realizacji praw podmiotów danych (do informacji o przetwarzaniu, dostępu do danych oraz ich kopii, do sprostowania lub uzupełnienia danych, do usunięcia danych, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do niepodlegania wyłącznie zautomatyzowanym decyzjom ostatecznym)? Opisz proces realizacji prawa.
Tak, wdrożono procedurę obsługi żądań podmiotów danych, dostępną na stronie internetowej firmy.
f. Czy wdrożono politykę ochrony danych i zasady zarządzania systemami informatycznymi? Jeśli wprowadzono inne polityki lub procedury z zakresu ochrony danych osobowych, podaj ich nazwy.
Tak, wdrożono Politykę Ochrony Danych Osobowych oraz Instrukcję Zarządzania Systemami Informatycznymi.
g. Czy osoby przetwarzające dane zostały poinformowane o konieczności stosowania dokumentów wskazanych w poprzednim punkcie? Podaj, w jaki sposób.
Tak, poprzez szkolenia i podpisanie oświadczeń o zapoznaniu się z dokumentami.
h. Czy wdrożono zasady wyboru podmiotu, któremu dalej powierza się dane? Opisz krótko, jak wybierani są i weryfikowani subprocesorzy
Tak, wybór subprocesorów odbywa się na podstawie weryfikacji ich zgodności z RODO.
i. Czy wprowadzono zasady bezpiecznej pracy zdalnej/hybrydowej? Podaj jakie.
Tak, wdrożono politykę bezpiecznej pracy zdalnej, która reguluje m.in. kwestie dostępu do danych i bezpieczeństwa urządzeń.
2. Inwentaryzacja danych oraz Rejestr Kategorii Czynność Przetwarzania (RKCP)
a. Czy dokonano inwentaryzacji danych osobowych poprzez np. przeprowadzenie audytu?
Tak, inwentaryzacja została przeprowadzona w 2023 roku.
b. Czy istnieje RKCP i czy jest on zgodny z art. 30 RODO? Podaj treść zawartych w RKCP wpisów dotyczących Firma Przykładowa Sp. z o.o.
Tak, RKCP istnieje i jest zgodny z art. 30 RODO. Wpisy dotyczące Firma Przykładowa Sp. z o.o. obejmują dane klientów, pracowników oraz kontrahentów.
3. Naruszenie ochrony danych osobowych i jego zgłoszenie do Firma Przykładowa Sp. z o.o.
a. Czy wdrożona została procedura zarządzania incydentami bezpieczeństwa i naruszeniami ochrony danych osobowych? Załącz procedurę lub opisz zasady badania źródła incydentu oraz jego zgłaszania do Firma Przykładowa Sp. z o.o. (m.in. czas zgłoszenia po wykryciu zdarzenia).
Tak, procedura została wdrożona. Zgłoszenie naruszenia powinno nastąpić w ciągu 72 godzin od jego wykrycia.
b. Czy prowadzony jest wewnętrzny rejestr incydentów bezpieczeństwa i naruszeń ochrony danych osobowych? (incydent poufności, integralności oraz dostępności danych) Podaj ilość wpisów dotyczących incydentów Firma Przykładowa Sp. z o.o.
Tak, rejestr jest prowadzony. W bieżącym roku odnotowano 0 incydentów dotyczących Firma Przykładowa Sp. z o.o.
4. Dalsze powierzenie i udostępnienie danych, których administratorem jest Firma Przykładowa Sp. z o.o.
a. Czy wprowadzano zasadę powiadamiania Firma Przykładowa Sp. z o.o. o dalszym powierzeniu jego danych osobowych? Podaj, kto jest za to odpowiedzialny.
Tak, IOD jest odpowiedzialny za powiadamianie.
b. Czy prowadzony jest rejestr umów podmiotów, którym dane są dalej powierzane? Podaj podmioty, którym powierzasz dane, dla których Firma Przykładowa Sp. z o.o. jest administratorem.
Tak, rejestr jest prowadzony. Dane powierzane są firmie Hostingowa Sp. z o.o.
c. Czy dane, których administratorem jest Firma Przykładowa Sp. z o.o., są przekazywane do państwa trzeciego? Jeżeli tak, to podaj nazwy państw.
Nie.
d. Czy dane Firma Przykładowa Sp. z o.o. są udostępniane innym podmiotom? Jeżeli tak, to podaj jakim.
Nie.
5. Środki ochrony danych adekwatne do ryzyka prywatności
a. Czy w oparciu o analizę ryzyka wdrożono adekwatne środki organizacyjne i techniczne zapewniające odpowiedni poziom bezpieczeństwa dla poufności, integralności, dostępności i odporności systemów oraz usług? Podaj stosowane organizacyjne i techniczne środki bezpieczeństwa.
Tak, wdrożono m.in. szyfrowanie danych, kontrolę dostępu, firewalle.
b. Czy stosowane są adekwatne do ryzyka techniczne środki zabezpieczeń, np. IDS, firewalle, monitoring sieci? Podaj jakie.
Tak, stosowane są firewalle, systemy antywirusowe oraz monitoring sieci.
c. Czy stosowana jest pseudonimizacja lub/i szyfrowanie danych osobowych? Jeżeli tak, podaj, jakie techniki/rozwiązania są stosowane dla danych Firma Przykładowa Sp. z o.o.
Tak, stosowane jest szyfrowanie danych.
d. Czy stosowane są zasady bezpieczeństwa fizycznego i środowiskowego? Podaj jakie.
Tak, m.in. kontrola dostępu do serwerowni, monitoring wizyjny.
e. Czy opracowano plan ciągłości działania dla utrzymania zdolności do szybkiego przywrócenia dostępności danych w razie incydentu fizycznego lub technicznego? Podaj datę ostatniego testu planu ciągłości działania.
Tak, plan został opracowany. Ostatni test odbył się 2023-06-10.
f. Czy stosowane jest regularne testowanie i ocenianie skuteczności wdrożonych środków organizacyjnych i technicznych mających zapewnić odpowiedni poziom bezpieczeństwa przetwarzania? Podaj, jak wygląda proces.
Tak, testy przeprowadzane są co kwartał.
Osoba uczestnicząca w audycie po stronie Podmiotu Przetwarzającego – Usługi Informatyczne "Nowoczesne Rozwiązania" S.A.:
Jan Kowalski
2023-10-27
Osoba zatwierdzająca audyt po stronie Administratora – Firma Przykładowa Sp. z o.o.:
Anna Nowak
2023-10-27
Raport został zatwierdzony w dniu: 2023-10-27
Podsumowując, kwestionariusz audytu zgodności przetwarzania danych z RODO to kluczowe narzędzie w procesie zapewniania zgodności z przepisami dotyczącymi ochrony danych osobowych. Dzięki odpowiedniemu wypełnieniu i analizie uzyskanych informacji możliwe jest skuteczne dostosowanie działań firmy do wymagań RODO oraz minimalizacja ryzyka naruszenia przepisów.