Plan audytu zgodności z RODO

PLAN AUDYTU RODO

Szablon przygotowany przez CyberSec Solutions Sp. z o.o.

 

Warszawa, dn. 2023-10-26

 

PLAN AUDYTU SYSTEMU

OCHRONY DANYCH OSOBOWYCH

w

Firma Handlowa "XYZ" Sp. z o.o.

 

Administrator danych:

Firma Handlowa "XYZ" Sp. z o.o.

Zakres audytu: Zespół audytorów:

system ochrony danych Anna Kowalska

osobowych Wiodący:

Spotkanie Jan Nowak

Otwierające:

Spotkanie

Zamykające:

Przedstawiciel Maria Wiśniewska

Organizacji:

Język Audytu: PL

DOKUMENT WEWNĘTRZNY Strona 1 z 5

 

WSTĘP

Planowany audyt będzie miał charakter audytu pierwszej strony, tj. zostanie wykonany przez wykwalifikowanych, niezależnych audytorów. Działania audytowe mają za zadanie w sposób obiektywny sformułować opinię dotyczącą funkcjonującego systemu ochrony danych osobowych w kontekście zgodności z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane dalej „RODO”).

Audyt zostanie przeprowadzony z uwzględnieniem zasad określonych w normie ISO 19011:2018 Wytyczne dotyczące audytowania systemów zarządzania.

DZIAŁANIA AUDYTOWE

Terminy sprawdzeń:

Lp. Lokalizacja Termin

1. ul. Polna 1, 00-001 Warszawa 2023-11-15

2. ul. Kwiatowa 2, 00-002 Warszawa 2023-11-16

PRZEDMIOT SPRAWDZENIA

Przedmiot sprawdzenia dotyczy określenia poziomu zgodności przetwarzania danych osobowych z przepisami RODO, dobrymi praktykami w zakresie bezpieczeństwa informacji oraz postanowieniami zawartych umów.

KRYTERIA AUDYTU

1. przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych

DOKUMENT WEWNĘTRZNY Strona 2 z 5

i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

DOKUMENT WEWNĘTRZNY Strona 3 z 5

ZAKRES AUDYTU

Zakres audytu wyznacza funkcjonujący system ochrony danych osobowych. W ramach audytu weryfikacji zostaną poddane następujące obszary:

1. zidentyfikowane procesy przetwarzania danych osobowych w zakresie zgodności z:

a) zasadami przetwarzania danych osobowych,

b) zgodności przetwarzania z prawem,

c) realizacji obowiązku przejrzystego informowania i przejrzystej komunikacji oraz tryb wykonywania praw przez osobę, której dane dotyczą,

d) realizacji obowiązku informacyjnego,

e) realizacji prawa umożliwienia dostępu do danych osobowych osobie, której dane dotyczą

f) dopełnieniem względem osób, których dane dotyczą obowiązku informacyjnego

g) realizacją prawa sprostowania i usuwania danych

h) realizacji prawa do ograniczenia przetwarzania

i) realizacji prawa do przenoszenia danych

j) realizacji prawa do sprzeciwu oraz zasad zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach

k) uregulowaniem powierzania danych do przetwarzania

l) zasadami dotyczącymi zabezpieczenia danych osobowych (w tym m.in. realizowanie przez administratora danych obowiązku regularnego testowania, mierzenia i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania)

m) zasadami przekazywania danych do USA lub Kanady

n) uwzględniania ochrony danych w fazie projektowania oraz ich domyślnej ochrony

o) rejestrowania czynności przetwarzania,

p) przetwarzania danych z upoważnienia administratora danych,

2. bezpieczeństwo danych osobowych w zakresie:

a) adekwatności stosowanych zabezpieczeń,

b) funkcjonujących zasad zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu

DOKUMENT WEWNĘTRZNY Strona 4 z 5

c) funkcjonujących zasad zgłaszania osobie, której dane dotyczą, o naruszeniu ochrony danych osobowych,

d) prowadzenia oceny skutków przetwarzania,

e) zasadności wyznaczenia inspektora ochrony danych.

3. systemy informatyczne służące do przetwarzania danych osobowych wykorzystywanych przez administratora danych w zakresie zdolności do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

ZESPÓŁ AUDYTOWY

SPOSÓB I ZAKRES DOKUMENTOWANIA CZYNNOŚCI

Dokumentowanie czynności w toku sprawdzenia, w zależności od rodzaju przeprowadzanych działań, będzie polegało na utrwaleniu danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych na informatycznym nośniku danych lub dokonaniu wydruku tych danych oraz na:

a) sporządzeniu notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych,

b) odebraniu wyjaśnień osoby, której czynności objęto sprawdzeniem;

c) sporządzeniu kopii otrzymanego dokumentu;

d) sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;

e) sporządzeniu kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu

f) wykonaniu zdjęcia dokumentującego powzięte ustalenia.

Wskazane materiały zostaną sporządzone w postaci elektronicznej.

DOKUMENT WEWNĘTRZNY Strona 5 z 5