Raport z audytu ochrony danych osobowych

Prawo

dane

Kategoria

raport

Klucze

administrator danych osobowych, audyt, obowiązki informacyjne, ochrona danych osobowych, procesor danych, raport, umowy o dofinansowanie, zalecenia

Raport z audytu ochrony danych osobowych zawiera szczegółową analizę bieżącego stanu zabezpieczeń danych osobowych w organizacji. Na podstawie przeprowadzonych kontroli oraz oceny procesów i procedur określone zostały obszary wymagające poprawy i wzmocnienia. Dokument ten stanowi cenne źródło informacji dla kadry zarządzającej oraz działu IT, umożliwiając identyfikację luk w ochronie danych i opracowanie planów działania w celu zwiększenia bezpieczeństwa informacji osobowych.

Raport z audytu ochrony danych osobowych w Wydziale Pozyskiwania Środków Pozabudżetowych

 

I. Umowy o dofinansowanie

 

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

---|---|---|---|

Postanowienia umowy | Czy Fundacja "Wspieramy Rozwój" zawarła umowę na dofinansowanie? | Tak |

| Czy podstawą dofinansowania jest decyzja o dofinansowaniu projektu (w sytuacji gdy Fundacja "Wspieramy Rozwój" jest jednocześnie instytucją udzielającą dofinansowania oraz wnioskodawcą) | Nie dotyczy |

| Czy umowa precyzuje, kto jest Administratorem Danych Osobowych? | Tak |

| Czy umowa precyzuje, kto jest Podmiotem Przetwarzającym? | Nie | Obszar do doskonalenia

| Czy umowa określa, kto jest osobą upoważnioną do przetwarzania danych osobowych? | Tak |

| Czy przetwarzanie i ochrona danych osobowych w umowie odbywa się na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)? | Tak |

| Czy umowa zobowiązuje odebranie przez Fundację "Wspieramy Rozwój" od Uniwersytetu Warszawskiego "Oświadczenia o powierzeniu przetwarzania danych osobowych"? | Tak |

Określenie celów przetwarzania | Jakie cele przetwarzania danych przez Fundację "Wspieramy Rozwój" określa umowa o dofinansowanie: | |

| - Realizacja projektu "Edukacja dla przyszłości"- Monitorowanie postępów projektu- Sprawozdawczość finansowa- Ewaluacja projektu- Promocja projektu- Kontakt z uczestnikami projektu- Archiwizacja dokumentacji projektowej- Przeprowadzenie badań ankietowych wśród uczestników- Analiza efektywności projektu- Współpraca z partnerami projektu | |

| Czy Fundacja "Wspieramy Rozwój" zawarła porozumienie lub umowę z Uniwersytetem Warszawskim? | Tak |

| Czy Fundacja "Wspieramy Rozwój" zawarła porozumienie lub umowę z firmą "Analizy Danych Sp. z o.o."? | Tak |

| Jakie cele przetwarzania danych przez Uniwersytet Warszawski określa umowa powierzenia danych: | |

| - Gromadzenie danych uczestników projektu- Przechowywanie danych uczestników projektu- Udostępnianie danych Fundacji "Wspieramy Rozwój"- Zapewnienie bezpieczeństwa danych- Usuwanie danych po zakończeniu projektu- Wsparcie techniczne w zakresie przetwarzania danych- Przeprowadzenie szkoleń z zakresu ochrony danych osobowych- Przygotowanie raportów z przetwarzania danych- Monitorowanie zgodności z przepisami o ochronie danych osobowych | |

 

II. Administrator Danych Osobowych w projektach unijnych

 

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

---|---|---|---|

Określenie i zadania Administratora w projektach unijnych | Czy Administrator został określony na podstawie Statutu Fundacji "Wspieramy Rozwój"? | Tak |

| Czy Administrator wskazał podstawę prawną przetwarzania danych? | Tak |

| Czy Administrator jest określony zgodnie z umową o dofinansowanie? | Tak |

| Czy umowy określają więcej niż jednego administratora danych osobowych? | Nie |

| Czy Administratorzy: - opracowali i wdrożyli politykę bezpieczeństwa informacji? - wyznaczyli Inspektora Ochrony Danych? - prowadzą rejestr czynności przetwarzania? - zapewniają bezpieczeństwo danych osobowych? - przestrzegają praw osób, których dane dotyczą? - stosują odpowiednie środki techniczne i organizacyjne? | Tak |

Zakres przetwarzanych danych | Jakie kategorie danych osobowych przetwarzają Administratorzy: | |

| - imię i nazwisko - adres zamieszkania - adres korespondencyjny - nazwa firmy i adres siedziby - imię (w przypadku osób fizycznych prowadzących działalność gospodarczą) - numer telefonu stacjonarnego - numer telefonu komórkowego - PESEL (w uzasadnionych przypadkach) - NIP - REGON - data urodzenia - wykształcenie - doświadczenie zawodowe - dane kontaktowe osoby do powiadamiania w nagłych wypadkach | |

| Czy Administratorzy przetwarzają dane z systemów informatycznych? | Tak |

| Czy Administratorzy przetwarzają dane z dokumentacji papierowej? | Tak |

| Czy w przypadku przetwarzania danych z systemów informatycznych osoby upoważnione do ich przetwarzania są zobowiązane do zachowania danych w poufności? | Tak |

III. Procesor w projektach unijnych

 

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

---|---|---|---|

Określanie Procesora i jego zadania | Czy umowa o dofinansowanie określa Uniwersytet Warszawski jako Podmiot Przetwarzający? | Tak |

| Czy Uniwersytet Warszawski przed zawarciem umowy powierzenia został zweryfikowany pod kątem bezpieczeństwa przetwarzania danych osobowych? | Tak |

| Czy Uniwersytet Warszawski korzysta z usług firmy "Bezpieczne Dane Sp. z o.o."? | Tak |

| Czy Uniwersytet Warszawski został zobowiązany do uzyskania pisemnej zgody od Administratora na korzystanie z usług firmy "Bezpieczne Dane Sp. z o.o."? | Tak |

| Czy Uniwersytet Warszawski został zobowiązany w umowie do prowadzenia rejestru czynności przetwarzania? | Tak |

| Czy rejestr zawiera wszystkie elementy wymagane Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679? | Tak |

 

IV. Stosowanie obowiązków informacyjnych

 

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

---|---|---|---|

Klauzule informacyjne | Czy umowa o dofinansowanie danych określa wzory obowiązków informacyjnych? | Tak |

| Czy każdy z Administratorów jest zobowiązany do samodzielnego określenia wzoru klauzul informacyjnych? | Nie |

| Czy klauzule informacyjne stosowane są zgodnie z określonym wzorem? | Tak |

| Czy stosowane klauzule zawierają wymagane Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 informacje? | Tak |

W jaki sposób przekazywany jest obowiązek informacyjny: | | |

| - pisemnie - ustnie - elektronicznie - za pomocą formularza | | |

| Czy obowiązek informacyjny przekazywany jest w formie zrozumiałej, przejrzystej, a także napisany jest prostym i jasnym językiem? | Tak |

| Czy Administrator informuje osoby fizyczne w przypadku pozyskiwania ich danych z innych źródeł? | Tak |

| Czy Administrator informuje osoby fizyczne w przypadku zmiany celu przetwarzania? | Tak |

V. Inspektor Ochrony Danych

 

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

---|---|---|---|

Konsultacje z IOD | Czy Inspektor Ochrony Danych otrzymuje umowy o dofinansowanie w celu weryfikacji postanowień dot. ochrony danych? | Tak |

| Czy Inspektor Ochrony Danych otrzymuje umowy w terminie umożliwiającym wniesienie uwag w zakresie ochrony danych do umowy? | Tak |

| Czy Inspektor Ochrony Danych ma zapewnione wsparcie Prezesa Zarządu i Kierownika Działu Projektów przy weryfikacji umowy? | Tak |

| Czy klauzule informacyjne są weryfikowane przez Inspektora Ochrony Danych? | Tak |

| Czy Inspektor Ochrony Danych jest informowany o wszystkich zmianach w umowie o dofinansowanie, które mogą mieć wpływ na ochronę danych osobowych? | Tak |

Podsumowując, raport z audytu ochrony danych osobowych wskazał istotne zagrożenia oraz możliwości usprawnienia działań związanych z ochroną danych osobowych. Zalecenia i wnioski zawarte w dokumencie stanowią podstawę do podejmowania działań naprawczych i wdrażania nowych rozwiązań mających na celu zwiększenie poziomu zabezpieczeń danych osobowych w organizacji.