Kontrola zgodności z RODO

KONTROLA STANU ZGODNOŚCI Z RODO

Wymóg wynikający z przepisów Wnioski

Zadanie do zrealizowania Sposób wykonania zadania

RODO

Administrator wdraża odpowiednie 1. Przegląd i aktualizacja procedur Weryfikacja obecnego

środki techniczne i organizacyjne, aby oraz polityk ochrony danych stopnia zgodności z RODO

przetwarzanie odbywało się zgodnie z osobowych. w odniesieniu do jego

rozporządzeniem i aby móc to 2. Przegląd aktualnych środków poszczególnych wymagań

wykazać. Środki powinny być technicznych służących do ochrony (analiza luk).

przeglądane i uaktualniane – art. 24 danych.

RODO. 3. Przegląd zabezpieczeń

systemowych.

Administrator prowadzi rejestr 1. Inwentaryzacja czynności Przeprowadzanie

czynności przetwarzania danych przetwarzania danych. inwentaryzacji procesów

osobowych, za które odpowiadają, 2. Analiza konieczności prowadzenia związanych z

zawierający informacje, o których przetwarzaniem danych

rejestru czynności.

mowa w art. 30 RODO. osobowych.

3. Aktualizacja rejestru czynności

przetwarzania danych osobowych.

Zapoznanie osób upoważnionych do 1. Zapoznanie kierowników Przeprowadzenie lub

przetwarzania danych osobowych z komórek/jednostek organizacyjnych organizowanie szkoleń.

wymogami ochrony danych z ich zadaniami wynikającymi z

osobowych określonymi w RODO

oraz wewnętrznymi procedurami

ochrony danych - art. 37 ust. 1, art. 32 ochrony danych.

RODO. 2. Cykliczna publikacja informacji o

nowych wymogach ochrony danych

i o zadaniach wynikających z tych

wymogów.

3. Cykliczne szkolenia pracowników w

zakresie ochrony danych

osobowych.

4. Prowadzenie szkoleń wstępnych dla

1

pracowników.

Administrator podejmuje działania w Działania zapewniające, że osoby Przegląd i sprawdzenie

celu zapewnienia, by każda osoba zaangażowane w proces przetwarzania procedury nadawania

fizyczna działająca z upoważnienia informacji posiadają stosowne upoważnień, przegląd

administratora, która ma dostęp do ewidencji osób

upoważnienia do przetwarzania danych

danych osobowych, przetwarzała je upoważnionych do

wyłącznie na polecenie administratora w zakresie adekwatnym do przetwarzania danych

– art. 29, 32 ust. 4 RODO. realizowanych przez nie zadań. osobowych.

Przegląd uprawnień do

systemów informatycznych.

Analiza zgodności zakresu

nadawanych upoważnień z

rejestrem czynności i

zakresem obowiązków

pracowników.

Przetwarzanie danych osobowych w 1. Przegląd i identyfikacja podmiotów Zawarcie aktualnych oraz

imieniu administratora (powierzenie zewnętrznych przetwarzających aneksowanie umów

przetwarzania danych osobowych) dane w imieniu administratora. powierzenia przetwarzania

powinno wypełniać wymagania danych, identyfikacja

2. Stosowanie ustalonego wzorca

określone w art. 28 RODO. podmiotów przetwarzających

umowy powierzenia przetwarzania i podprzetwarzających.

danych osobowych.

3. Przegląd i aneksowanie, jeśli jest to

niezbędne, zawartych umów

powierzenia przetwarzania danych

osobowych.

Administrator, który zbiera dane 1. Przegląd treści klauzul Weryfikacja poprawności

osobowe od osoby, której dane informacyjnych. wzorów umów, zgód i

dotyczą lub pozyskuje dane osobowe 2. Analiza sposobu realizowania klauzul informacyjnych oraz

w inny sposób niż od osoby, której zaproponowanie konkretnych

obowiązków informacyjnych wobec

dane dotyczą przekazuje tym osobom zapisów w sytuacji

informacje określone w art. 13 lub 14 poszczególnych kategorii osób. wystąpienia niezgodności,

RODO. 3. Aktualizacja treści klauzul analiza czy obowiązki

informacyjnych. informacyjne są realizowane

2

poprawnie, wdrożenie

niezbędnych zmian.

Przetwarzanie jest zgodne z prawem Sprawdzenie spełnienia warunków Przeprowadzenie analizy w

wyłącznie w przypadkach, gdy – i w legalizujących przetwarzanie danych oparciu o rejestr czynności

takim zakresie, w jakim – spełniony zwykłych. przetwarzania i informacje

jest co najmniej jeden z warunków uzyskane od osób

określonych w art. 6 RODO. przetwarzających dane.

Zabrania się przetwarzania danych Sprawdzenie spełnienia warunków Przeprowadzenie analizy w

osobowych ujawniających legalizujących przetwarzanie danych oparciu o rejestr czynności

pochodzenie rasowe lub etniczne, szczególnych kategorii. przetwarzania i informacje

poglądy polityczne, przekonania uzyskane od osób

religijne lub światopoglądowe, przetwarzających dane.

przynależność do związków

zawodowych oraz przetwarzania

danych genetycznych, danych

biometrycznych w celu

jednoznacznego zidentyfikowania

osoby fizycznej lub danych

dotyczących zdrowia, seksualności

lub orientacji seksualnej tej osoby,

chyba że jest spełniony jeden z

warunków legalizujących

przetwarzanie, określonych w art. 9

RODO.

Przetwarzania danych osobowych Sprawdzenie, czy takie kategorie Przeprowadzenie analizy w

dotyczących wyroków skazujących danych są przetwarzane przez oparciu o rejestr czynności

oraz naruszeń prawa lub powiązanych administratora, jeśli tak, analiza przetwarzania i informacje

środków bezpieczeństwa na podstawie uzyskane od osób

spełnienia warunków legalizujących

art. 6 ust. 1 wolno dokonywać przetwarzających dane.

wyłącznie pod nadzorem władz przetwarzanie tych danych.

publicznych lub jeżeli przetwarzanie

jest dozwolone prawem Unii lub

prawem państwa członkowskiego

przewidującymi odpowiednie

zabezpieczenia praw i wolności osób,

których dane dotyczą – art. 10 RODO.

Administrator, który przetwarza dane 1. Przegląd treści klauzul zgody na Aktualizacja treści zgód.

osobowe na podstawie zgody osoby, przetwarzanie danych osobowych. Sprawdzenie mechanizmu

której dane dotyczą powinien 2. Przegląd mechanizmów i zasad ich odnotowania.

3

warunkami wyrażenia zgody udzielania zgód. Uproszczenie sposobów

określonych w art. 4, 7 i 8 RODO. 3. Wykazanie uzyskania zgody. pozyskiwania. Sprawdzenie,

4. Analiza, czy zgody są pozyskiwane czy zgody są

od małoletnich. dokumentowane i

5. Jeżeli zgody dotyczą przechowywane do czasu

rozpowszechniania wizerunku, ustania przetwarzania lub

analiza zgodności z przepisami wycofania zgody. Ustalenie,

prawa autorskiego. czy w przypadku małoletnich

6. Analiza procedury wycofania zgody. zgody są pozyskiwane w

sposób prawidłowy.

Sprawdzenie, czy wycofanie

zgody jest równie łatwe jak

jej wyrażenie.

Dane są przechowywane przez okres Procedura ustalania czasu przetwarzania Sprawdzenie, czy

nie dłuższy, niż jest to niezbędne do danych, przeglądu danych i ich administrator poprawnie

celów, w których dane te są usuwania. identyfikuje okresy

przetwarzane – art. 5 RODO. przechowywania danych i

stosuje zasadę ograniczonego

celu przetwarzania.

Sprawdzenie, czy jest

stosowana odpowiednia

procedura niszczenia danych

po ustaniu celu

przetwarzania.

Osoba, której dane dotyczą jest 1. Przegląd procedur udostępniania Sprawdzenie, czy

uprawniona do uzyskania od informacji o danych i/lub kopii obowiązują i są poprawnie

administratora potwierdzenia, czy danych osobie, której dane dotyczą stosowane procedury

przetwarzane są dane osobowe jej jej danych osobowych. realizacji żądań z art. 15

dotyczące, a jeżeli ma to miejsce, jest 2. Przegląd ewidencji udostępnień. RODO.

uprawniona do uzyskania dostępu do 3. Analiza sposobu weryfikowania

nich oraz do informacji o celu, tożsamości osoby, której dane

zakresie przetwarzania i o ich dotyczą.

przekazywaniu innym podmiotom – 4. Analiza sposobu udostępniania

4

art. 15 RODO. danych.

Osoba, której dane dotyczą, ma prawo 1. Przegląd procedur sprostowania Sprawdzenie, czy

żądania od administratora danych osobowych osoby, której obowiązują i są poprawnie

niezwłocznego sprostowania dane dotyczą oraz poinformowania stosowane procedury

dotyczących jej danych osobowych – jej o sprostowaniu. realizacji żądań z art. 16 i 19

art. 16 i 19 RODO. 2. Odnotowywanie informacji o RODO.

sprostowaniu i sposób

poinformowania o sprostowaniu.

3. Analiza sposobu weryfikowania

tożsamości osoby, której dane

dotyczą.

4. Analiza sposobu udostępniania

danych.

Osoba, której dane dotyczą, ma prawo 1. Przegląd procedur usuwania danych Sprawdzenie, czy

żądania od administratora osoby, której dotyczą. obowiązują i są poprawnie

niezwłocznego usunięcia dotyczących 2. Odnotowywanie informacji o stosowane procedury

jej danych osobowych – art. 17 usunięciu. realizacji żądań z art. 17.

RODO. 3. Analiza sposobu weryfikowania

tożsamości osoby, której dane

dotyczą.

4. Analiza sposobu usuwania danych.

Osoba, której dane dotyczą, ma prawo 1. Przegląd procedury ograniczenia Sprawdzenie, czy

żądania od administratora, w przetwarzania danych osobowych obowiązują i są poprawnie

określonych przypadkach, osoby, której dane dotyczą oraz stosowane procedury

ograniczenia przetwarzania danych poinformowania jej o ograniczeniu realizacji żądań z art. 18 i 19

osobowych jej dotyczących – art. 18 i przetwarzania. RODO.

19 RODO. 2. Odnotowywanie informacji o

ograniczeniu i sposób

poinformowania o ograniczeniu.

3. Analiza sposobu weryfikowania

tożsamości osoby, której dane

dotyczą.

4. Analiza sposobu udostępniania

danych.

Osoba, której dane dotyczą ma prawo 1. Przegląd procedury przenoszenia Sprawdzenie, czy

5

otrzymać w ustrukturyzowanym, danych osobowych osoby, której obowiązują i są poprawnie

powszechnie używanym formacie dane dotyczą. stosowane procedury

nadającym się do odczytu 2. Odnotowywanie informacji o realizacji żądań z art. 20

maszynowego dane osobowe jej przeniesieniu danych. RODO.

dotyczące – art. 20 RODO (prawo do 3. Analiza sposobu weryfikowania

przenoszenia danych). tożsamości osoby, której dane

dotyczą.

4. Analiza sposobu udostępniania

danych.

Osoba, której dane dotyczą, ma prawo 1. Przegląd procedur realizowania Sprawdzenie, czy

w dowolnym momencie wnieść prawa sprzeciwu. obowiązują i są poprawnie

sprzeciw wobec przetwarzania 2. Odnotowywanie informacji o stosowane procedury

dotyczących jej danych osobowych – sprzeciwie wobec przetwarzania realizacji żądań z art. 21

art. 21 RODO. danych. RODO.

3. Analiza sposobu weryfikowania

tożsamości osoby, której dane

dotyczą.

4. Analiza sposobu realizowania

prawa sprzeciwu.

Osoba, której dane dotyczą, ma prawo 1. Przegląd procesów przetwarzania w Sprawdzenie, czy dane , w

do tego, by nie podlegać decyzji, która celu ustalenia, czy dane osobowe szczególności z

opiera się wyłącznie na podlegają zautomatyzowanemu wykorzystaniem systemów

zautomatyzowanym przetwarzaniu, w przetwarzaniu w tym profilowaniu. informatycznych i nowych

tym profilowaniu, i wywołuje wobec 2. Przegląd stosowanych podstaw technologii podlegają

tej osoby skutki prawne lub w prawnych zautomatyzowanego zautomatyzowanemu

podobny sposób istotnie na nią przetwarzania w tym profilowania. przetwarzaniu, a jeżeli tak,

wpływa – art. 22 RODO. czy spełnione są warunki

legalizujące takie

przetwarzanie.

Administrator oceniając czy środki 1. Przegląd przyjętej metodyki oceny Przeprowadzanie okresowej

6

techniczne i organizacyjne są ryzyka dla ochrony danych oraz analizy ryzyk i zagrożeń dla

wystarczające, aby zapewnić oceny ryzyka naruszenia praw i ochrony danych i naruszenia

bezpieczeństwo przetwarzania praw oraz wolności osób, a

wolności osoby, której dane dotyczą.

danych, uwzględnia w szczególności także dokumentowanie tych

ryzyko naruszenia praw i wolności 2. Przeprowadzenie oceny ryzyka z czynności.

osoby, której dane dotyczą wiążące się wykorzystaniem przyjętej metodyki

z tym przetwarzaniem – art. 24 i 32 oceny ryzyka naruszenia praw i

RODO. wolności osoby, której dane dotyczą.

Administrator, uwzględniając 1. Weryfikacja środków ochrony Przeprowadzanie

charakter, zakres, kontekst, cele oraz danych, z uwzględnieniem inwentaryzacji systemów IT,

ryzyka przetwarzania wdraża stosowania narzędzi pseudonimizacji w których są przetwarzane

odpowiednie środki techniczne i dane osobowe i w kontekście

i szyfrowania.

organizacyjne, aby zapewnić funkcjonalnym

bezpieczeństwo przetwarzania 2. Wdrożenie, stosownie do wyników przygotowanie na wymogi

7

danych, w tym pseudonimizację i weryfikacji, odpowiednich środków RODO w zakresie realizacji

szyfrowanie danych osobowych – art. ochrony danych, z uwzględnieniem prawa do zapomnienia,

32 RODO. narzędzi pseudonimizacji i retencji danych,

rozliczalności, anonimizacji i

szyfrowania.

3. Wprowadzenie procedury przekazywania kopii danych

szyfrowania danych podmiotowi trzeciemu oraz

przekazywanych przez pracowników bezpieczeństwa.

drogą elektroniczną. Sprawdzenie, czy w firmie są

poprawnie stosowane zasady

szyfrowania danych.

Uwzględnianie ochrony danych w Uwzględnianie konieczności ochrony Analiza nowych procesów

fazie projektowania oraz domyślna praw i wolności osób w nowych przetwarzania na przestrzeni

ochrona danych – art. 25 RODO. procesach przetwarzania, w ostatnich 6 miesięcy pod

szczególności przy projektowaniu usług,

kątem tego, czy były

produktów, projektów polegających na wdrażane z uwzględnieniem

przetwarzaniu danych osobowych. zasad „privacy by design”

oraz „privacy by default”.

Administrator wdraża odpowiednie 1. Zasady określania celów Identyfikacja celów i

środki techniczne i organizacyjne, aby przetwarzania oraz danych czynności przetwarzania

domyślnie przetwarzane były niezbędnych do realizacji tych danych oraz zakresu

wyłącznie te dane osobowe, które są przetwarzanych danych wraz

celów.

niezbędne dla osiągnięcia każdego z uzasadnieniem

konkretnego celu przetwarzania. 2. Przegląd zakresu danych potwierdzającym, że jest on

Obowiązek ten odnosi się do ilości przetwarzanych w ramach niezbędny dla realizacji tych

zbieranych danych osobowych, konkretnych czynności celów.

zakresu ich przetwarzania, okresu ich przetwarzania w kontekście ich Identyfikacja nadmiarowo

8

przechowywania oraz ich dostępności. adekwatności do celów zbieranych danych

W szczególności środki te zapewniają, przetwarzania. osobowych lub danych,

by domyślnie dane osobowe nie były których cel przetwarzania

udostępniane bez interwencji danej ustał, a w dalszym ciągu są

osoby nieokreślonej liczbie osób przechowywane.

fizycznych – art. 5 i 25 RODO.

W przypadku naruszenia ochrony 1. Przegląd procedury postępowania w Sprawdzenie, czy

danych osobowych, gdy naruszenie przypadku naruszenia ochrony administrator skutecznie

skutkuje ryzykiem naruszenia praw i danych osobowych i zgłoszenia identyfikuje naruszenia

wolności podmiotu danych, ochrony danych i prowadzi

administrator, nie później niż w naruszenia do organu nadzorczego.

terminie 72 godzin po stwierdzeniu 2. Przegląd ewidencji naruszeń. ich ewidencję. Sprawdzenie,

naruszenia zgłasza je organowi 3. Przegląd sprawozdań ze sprawdzeń czy metodyka analizy ryzyk i

nadzorczemu – art. 33 RODO. przeprowadzonych w związku z zagrożeń dla praw i wolności

osób, których dotyczy

naruszeniem. naruszenie, jest stosowana

4. Przegląd analizy ryzyk dla poprawnie. Sprawdzenie, czy

naruszenia praw i wolności osób, każde naruszenie jest

których dotyczyły zmaterializowane naruszenia. dokumentowane.

W przypadku naruszenia ochrony 1. Przegląd procedury postępowania w Sprawdzenie, czy

danych osobowych, gdy naruszenie przypadku naruszenia ochrony administrator skutecznie

skutkuje wysokim ryzykiem danych osobowych wymagającego realizuje procedury

naruszenia praw i wolności podmiotu zawiadamiania osób i czy

zawiadomienia o naruszeniu osoby, której dane dotyczą. procedury są poprawne i

danych, administrator bez zbędnej zgodne z RODO.

zwłoki powiadamia o naruszeniu Sprawdzenie, czy administrator Sprawdzenie, czy metodyka

osoby, której dane dotyczą– art. 34 2. wykorzystuje środki minimalizujące analizy ryzyk i zagrożeń dla

RODO. ryzyko, o których mowa w art. 34 praw i wolności osób,

ust. których dotyczy naruszenie,

3. Sprawdzenie metody szacowania jest stosowana poprawnie.

ryzyka naruszenia praw i wolności

osób, których dotyczy naruszenie.

Jeżeli dany rodzaj przetwarzania – w Przegląd procedury oceny skutków Sprawdzenie, czy

9

szczególności z użyciem nowych planowanych operacji przetwarzania dla administrator wdrożył

technologii – ze względu na swój ochrony danych osobowych. procedurę oraz czy

charakter, zakres, kontekst i cele z uwzględnił w niej wykaz

dużym prawdopodobieństwem może operacji wymagających

powodować wysokie ryzyko oceny skutków ogłoszony

naruszenia praw i wolności osób przez Prezesa UODO.

fizycznych, administrator przed Sprawdzenie, czy dla

rozpoczęciem przetwarzania dokonuje procesów mogących

oceny skutków planowanych operacji powodować wysokie ryzyko

przetwarzania dla ochrony danych została poprawnie

osobowych – art. 35 RODO. przeprowadzona ocena

skutków.

Administrator wyznacza inspektora 1. Analiza konieczności wyznaczenia Sprawdzenie, czy w

ochrony danych – art. 37 RODO. odniesieniu do aktualnych

inspektora ochrony danych. procesów przetwarzania jest

2. Ewentualne zgłoszenie IOD do wymagane wyznaczenie

Prezesa