Kwestionariusz preaudytu podmiotu przetwarzającego

Lista pytań w ramach preaudytu potencjalnego podmiotu przetwarzającego

Dane podmiotu przetwarzającego

[FIRMA]

Cybernetyczne Rozwiązania Sp. z o.o.

[NIP]/[REGON]/[KRS]

1234567890/123456789/0000123456

[ADRES]

ul. Kwiatowa 1, 00-001 Warszawa

[ADRES](jeżeli inny niż powyżej)

ul. Słoneczna 22/4, 80-001 Gdańsk

[TELEFON]

+48 500 123 456

Pytania wstępne

Lp.

Pytanie

Tak/Nie

Uwagi/komentarze

1.

Czy podmiot przetwarzający przyjął zatwierdzony kodeks postępowania (art. 40 RODO)?

2.

Czy podmiot przetwarzający jest certyfikowany zgodnie z zatwierdzonym mechanizmem certyfikacji (art. 42 RODO)?

3.

Czy podmiot przetwarzający jest certyfikowany innymi certyfikatami jakości lub w myśl norm ISO? Jeżeli tak, proszę w uwagach podać jakimi i na jaki okres obowiązuje certyfikacja.

ISO 27001, ważny do 2025-12-31

Organizacja wewnętrzna – osoby funkcyjne

Lp.

Pytanie

Tak/Nie

Uwagi/komentarze

4.

Czy podmiot przetwarzający powołał lub wyznaczył Inspektora Ochrony Danych (IOD)? Jeżeli nie – proszę przejść do pytania 10.

5.

Czy IOD został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych?

6.

Czy dane IOD zostały opublikowane na stronie podmiotu przetwarzającego?

7.

Czy IOD posiada zastępcę? Jeżeli nie – proszę przejść do pytania 10.

8.

Czy zastępca IOD został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych?

9.

Czy dane zastępcy IOD zostały opublikowane na stronie podmiotu przetwarzającego?

10.

Czy podmiot przetwarzający powołał lub wyznaczył inną osobę, która zajmuje się monitorowaniem przestrzegania przepisów dotyczących przetwarzania i ochrony danych osobowych u podmiotu przetwarzającego?

11.

Czy podmiot przetwarzający powołał lub wyznaczył Administratora Systemów Informatycznych (ASI) lub inną osobę, która opiekuje się infrastrukturą i siecią u podmiotu przetwarzającego z technicznego punktu widzenia?

Zabezpieczenia organizacyjne – dokumentacja wewnętrzna

Lp.

Pytanie

Tak/Nie

Uwagi/komentarze

12.

Czy podmiot przetwarzający przeprowadził analizę ryzyka w zakresie podatności i zagrożeń związanych z wykorzystywanymi przez siebie zasobami (aktywami), które będą wykorzystywane przy przetwarzaniu powierzonych danych osobowych? Jeżeli tak, w uwagach proszę wskazać okres badania.

Ostatnia analiza: 2023-06-15

13.

Czy podmiot przetwarzający przeprowadził analizę ryzyka w zakresie zagrożeń dla praw i wolności podmiotów danych w związku z powierzanymi czynnościami? Jeżeli tak, w uwagach proszę wskazać okres badania.

Ostatnia analiza: 2023-06-15

14.

Czy podmiot przetwarzający posiada i wdrożył polityki ochrony danych osobowych, o których mowa w art. 24 ust. 2 RODO? Jeżeli tak, w uwagach proszę wskazać jakie.

Polityka bezpieczeństwa informacji, Polityka czystego biurka, Instrukcja zarządzania hasłami

15.

Czy podmiot przetwarzający posiada i wdrożył (w ramach innych polityk/procedur lub jako indywidualny dokument) procedury postępowania w przypadku incydentów bezpieczeństwa i naruszeń ochrony danych osobowych?

16.

Czy podmiot przetwarzający posiada i wdrożył plany ciągłości działania?

17.

Czy istnieją inne formalne procedury wspierające zgodne z prawem i bezpieczne przetwarzanie danych osobowych u podmiotu przetwarzającego? Czy procedury te zostały wdrożone i będą miały zastosowanie do przetwarzania powierzonych danych osobowych?

18.

Czy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania?

Zabezpieczenia organizacyjno-techniczne – upoważnienia i uprawnienia

Lp.

Pytanie

Tak/Nie

Uwagi/komentarze

19.

Czy osobom, które będą przetwarzały powierzone dane osobowe, nadano upoważnienia do przetwarzania danych?

20.

Czy osoby, które będą przetwarzały powierzone dane osobowe, zostały przeszkolone z zakresu bezpieczeństwa informacji i danych osobowych?

21.

Czy podmiot przetwarzający opracował i realizuje program szkoleń cyklicznych lub uzupełniających dla osób upoważnionych?

22.

Czy osoby, któr