Protokół audytu ochrony danych osobowych

Audyt organizacyjno-prawny zbioru danych Klienci / procesu przetwarzania Realizacja zamówień (należy wskazać, czego audyt dotyczy, zwykle audyt obejmuje zbiory danych lub procesy przetwarzania)

Lp. Zagadnienia audytowe Ustalenia audytowe (wskazane poniżej zagadnienia audytowe mają charakter orientacyjny, (w zależności od przyjętego zalecany jest wybór zagadnień adekwatnych w konkretnym audycie lub schematu działania w tym miejscu uszczegółowienie zagadnień bądź dodanie nowych) adnotacji dokonuje osoba przeprowadzająca audyt albo członek personelu samodzielnie)

1. Opis charakteru, zakresu, kontekstu i celów przetwarzania danych

2. Wskazanie kategorii Klientów, których dane są przetwarzane

3. Wskazanie kategorii Imię, nazwisko, adres, numer telefonu, adres e-mail podlegających przetwarzaniu

4. Określenie podstaw przetwarzania Danych osobowych na podstawie art. 6 i 9 RODO

5. Jeśli Dane osobowe przetwarza się na podstawie zgody, należy określić jej treść, a ponadto wskazać sposób jej pozyskiwania, np. Formularz online, formularz papierowy, zgoda ustna itp.

6. Jeśli Dane osobowe przetwarza się dla prawnie uzasadnionego interesu, należy scharakteryzować ten interes

7. Sposób spełnienia obowiązku informacyjnego na podstawie art. 13 lub 14 RODO, w załączeniu można przedłożyć treść klauzul informacyjnych

8. Określenie źródła pochodzenia Danych osobowych, np. Formularz rejestracyjny, kontakt telefoniczny, strona internetowa itp.

9. Czy dane zostały powierzone do przetwarzania? (jeśli tak, to 2 lata i firmie Hosting Solutions; przedłożyć treść umowy)

10. Komu dane są udostępniane – należy wskazać firmie kurierskiej oraz podstawy prawne udostępnienia

11. Czy Dane osobowe przekazywane są do podmiotów mających siedziby w Stanach Zjednoczonych? (jeśli tak, wskazać, w jakich)

12. Czy Pracownik została upoważniona do przetwarzania danych, czy polecono jej przetwarzanie danych i w jakiej formie dokonano tych czynności?

13. Czy Pracownik została zobowiązana do zachowania tajemnicy Danych osobowych i sposobów ich zabezpieczenia (treść i forma) lub jest zobowiązana do zachowania tajemnicy zawodowej?

14. Czy Pracownik została przeszkolona w zakresie ochrony Danych osobowych (corocznie, szkolenie online)?

15. Jak zabezpieczone są dane przetwarzane w formie elektronicznej, jak wygląda dostęp do dokumentów i ich zabezpieczenie?

16. Jak wygląda usuwanie dokumentów papierowych (niszczenie w niszczarce, ich archiwum, okres przechowywania itp.)?

17. Jak długo przetwarza się Dane osobowe?

18. W jaki sposób zapewnia się realizację praw Klienta, których dane dotyczą, czy Klient zna procedurę realizacji tych praw?

19. Czy Pracownik zna procedurę postępowania w razie naruszenia ochrony Danych osobowych? Komu są zgłaszane naruszenia?

20. Czy Pracownik wie, kogo zawiadomić w przypadku planowanych lub koniecznych zmian dotyczących procedur przetwarzania Danych osobowych lub nowo planowanych zadań wymagających przetwarzania Danych osobowych?