Procedura audytu zgodności przetwarzania danych

Procedura wewnętrznego audytu dla podmiotu przetwarzającego

Procedura ma na celu dokonanie przez podmiot przetwarzający oceny zgodności realizowanego procesu przetwarzania danych powierzonych przez administratora z umową powierzenia oraz przepisami o ochronie danych osobowych.

Data przeprowadzenia analizy: 2023-10-26

Dane administratora danych: Firma "XYZ Sp. z o.o."

Określenie umowy powierzenia (numer, data zawarcia): Umowa nr 2023/10/01 z dnia 01.10.2023

Imię i nazwisko dokonującego przeglądu: Jan Kowalski

Należy sprawdzić, czy została zawarta umowa powierzenia danych osobowych z administratorem

 

Proces podlegający weryfikacji Wynik oceny Postępowanie w przypadku braku zgodności Uwagi dotyczące podjętych działań w celu uzyskania zgodności

Weryfikacja umowy powierzenia danych

Czy została zawarta umowa powierzenia danych z Należy niezwłocznie podpisać niezbędne dokumenty.

administratora (art. 28 ust. 3)?

Czy umowa obowiązuje? Należy niezwłocznie dokonać przedłużenia umowy, a w przypadku zakończenia powierzenia usunąć lub zwrócić dane osobowe, w zależności od decyzji ADO.

Czy zakres powierzanych danych jest zgodny z tym Należy zweryfikować przyczynę rozbieżności i w zależności od wyniku aneksować umowę powierzenia z ADO lub usunąć niezwłocznie nadmiarowe dane.

określonym w umowie?

Czy cel przetwarzania danych jest zgodny z tym Należy zweryfikować przyczynę rozbieżności i w zależności od wyniku aneksować umowę powierzenia z ADO lub niezwłocznie zaprzestać przetwarzania niezgodnego z umową.

określonym w powierzeniu danych?

Czy spełnione są obowiązki podmiotu Należy niezwłocznie wdrożyć niezbędne, wymagane umową środki techniczne.

przetwarzającego wynikające z umowy powierzenia, np. w zakresie zabezpieczenia danych?

Czy osoby przetwarzające dane zostały zobligowane Należy niezwłocznie wszystkie osoby mające dostęp do danych zobowiązać do zachowania poufności.

do zachowania poufności?

Czy zostały określone zasady postępowania w Należy uregulować tę kwestię, tak aby była zgodna z ustaleniami dokonanymi z ADO.

przypadku otrzymania żądań od osoby, której dane

dotyczą?

Czy zastosowane środki ochrony danych są Należy dokonać analizy ryzyka, a jeśli to niezbędne, także oceny skutków i wdrożyć działania minimalizujące ryzyko.

adekwatne do ryzyk i zagrożeń dla powierzonych

danych?

Czy osoby dopuszczone do przetwarzania danych Należy wdrożyć wstępne i cykliczne szkolenia, a także weryfikować okresowo upoważnienia.

zostały przeszkolone w zakresie przepisów i zasad

ochrony danych oraz upoważnione do przetwarzania

danych.

Czy zostały określone zasady realizowania praw Należy wprowadzić odpowiednie uzgodnienia pomiędzy ADO i podmiotem przetwarzającym.

osób, których dane dotyczą i podmiot

przetwarzający jest w stanie wywiązać się ze swoich

obowiązków w tym zakresie?

Czy w umowie zostały określone zasady Należy uzgodnić z ADO postępowanie w przypadku zakończenia współpracy.

postępowania w przypadku zakończenia umowy

powierzenia (usunięcie/zwrot danych)?

Dalsze powierzenie - należy wypełniać jeśli jest realizowane

Czy wszyscy podprocesorzy zostali zgłoszeni ADO, Dalsze przetwarzanie nie powinno być realizowane do momentu wyrażenia przez ADO zgody na podprocesora.

a dalsze przetwarzanie odbywa się za jego zgodą i

wiedzą?

Czy na dalszy podmiot przetwarzający zostały na Podmiot przetwarzający odpowiada za realizowane przez dalsze podmioty przetwarzające działania, jak za swoje, należy zatem niezwłocznie zawrzeć stosowane umowy/aneksy.

mocy umowy lub innego aktu nałożone te same

obowiązki co na podmiot przetwarzający?

Czy dalszy podmiot przetwarzający został Należy dokonać inspekcji, np. poprzez przekazanie ankiety bezpieczeństwa, weryfikującej przyjęte środki techniczne oraz organizacyjne.

zweryfikowany pod kątem zapewnienia

przetwarzania zgodnie z RODO oraz wymaganiami

umowy powierzenia?

Czy zostały określone zasady postępowania w Należy uregulować tę kwestię, tak aby była zgodna z ustaleniami dokonanymi z ADO.

przypadku otrzymania żądań od osoby, której dane

dotyczą?

Czy zostały określone zasady postępowania przy Należy uregulować tę kwestię, tak aby była zgodna z ustaleniami dokonanymi z ADO.

naruszeniu ochrony danych? Czy te zasady dają

możliwość wywiązania się przez podmiot

przetwarzający z jego zobowiązań wobec ADO?

Transfer danych do państw trzecich lub organizacji międzynarodowych - należy wypełniać jeśli jest realizowane

Jeżeli przekazanie odbywa się na mocy przepisów Należy niezwłocznie poinformować ADO o przekazaniu danych oraz podstawie prawnej obligującej do przetwarzania.

prawa, czy ADO został o tym poinformowany?

Jeżeli przekazanie jest niezbędne do zrealizowania Do czasu wyrażenia zgody przez ADO przekazywanie danych nie powinno być realizowane. Należy niezwłocznie dopełnić obowiązku.

powierzenia, ADO został o tym poinformowany i

wyraził na to zgodę?

Czy została spełniona przynajmniej jedna Przekazywanie nie może być dokonywane do czasu spełnienia warunków legalizujących przetwarzanie. Należy doprowadzić do stanu zgodnego z prawem.

przesłanka legalizująca przekazanie danych

określona w rozdziale V RODO i w dalszym ciągu

jest aktualna?

Rejestr czynności kategorii przetwarzania - należy wypełnić, jeżeli rejestr musi być prowadzony

Czy powierzone czynności zostały wprowadzone do Należy uzupełnić rejestr.

rejestru?

Czy zapisy w rejestrze dotyczące tego powierzenia Należy zaktualizować rejestr.

są aktualne i zgodne ze stanem faktycznym?

Czy została wyznaczona osoba odpowiedzialna za Należy wyznaczyć osobę odpowiedzialną za prowadzenie rejestru.

prowadzenie rejestru?

Zasady ogólne

Czy został wyznaczony IOD lub inna osoba W celu zapewnienia właściwego nadzoru nad procesem, jeżeli nie został wyznaczony IOD, należy dokonać analizy konieczności jego wyznaczenia lub przypisać procesowi właściciela procesu, odpowiedzialnego za jego nadzór.

odpowiedzialna za nadzór nad zgodnością procesów

przetwarzania z RODO oraz zawartymi umowami

powierzenia?

Czy zostały wdrożone niezbędne środki techniczne Należy wprowadzić sformalizowane zasady ochrony danych.

w postaci zasad, polityk i procedur ochrony danych

w celu zapewnienia właściwego przetwarzania

powierzonych danych?

Czy są przeprowadzane audyty zgodności z RODO Należy wprowadzić wewnętrzne lub zewnętrzne audyty, a także zasadę ich przeprowadzania, w celu zapewnienia właściwego nadzoru nad danymi.

oraz zapisami umowy powierzenia?

W przypadku przetwarzania danych w imieniu kilku Ze względu na ograniczanie ryzyka związanego z przetwarzaniem dane powinny być od siebie oddzielone i wyraźne oznaczone.

administratorów, czy dane są wyraźnie od siebie

oddzielone i oznaczone w taki sposób, aby możliwa

była identyfikacja właściciela.

Czy został opracowany i jest testowany plan Należy opracować i regularnie testować plany ciągłości, w celu minimalizowania ryzyk i zagrożeń dla powierzonych danych.

ciągłości działania dla powierzonych danych.

 

Data i podpis dokonującego przeglądu: 2023-10-26 Jan Kowalski

Data i podpis administratora danych: 2023-10-26 Anna Nowak