Raport z audytu ochrony danych osobowych
- Prawo
dane
- Kategoria
raport
- Klucze
administrator danych osobowych, audyt, obowiązki informacyjne, ochrona danych osobowych, procesor danych, raport, umowy o dofinansowanie, zalecenia
Raport z audytu ochrony danych osobowych zawiera szczegółową analizę bieżącego stanu zabezpieczeń danych osobowych w organizacji. Na podstawie przeprowadzonych kontroli oraz oceny procesów i procedur określone zostały obszary wymagające poprawy i wzmocnienia. Dokument ten stanowi cenne źródło informacji dla kadry zarządzającej oraz działu IT, umożliwiając identyfikację luk w ochronie danych i opracowanie planów działania w celu zwiększenia bezpieczeństwa informacji osobowych.
Raport z audytu ochrony danych osobowych w Wydziale Pozyskiwania Środków Pozabudżetowych
I. Umowy o dofinansowanie
Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia
---|---|---|---|
Postanowienia umowy | Czy Fundacja "Wspieramy Rozwój" zawarła umowę na dofinansowanie? | Tak |
| Czy podstawą dofinansowania jest decyzja o dofinansowaniu projektu (w sytuacji gdy Fundacja "Wspieramy Rozwój" jest jednocześnie instytucją udzielającą dofinansowania oraz wnioskodawcą) | Nie dotyczy |
| Czy umowa precyzuje, kto jest Administratorem Danych Osobowych? | Tak |
| Czy umowa precyzuje, kto jest Podmiotem Przetwarzającym? | Nie | Obszar do doskonalenia
| Czy umowa określa, kto jest osobą upoważnioną do przetwarzania danych osobowych? | Tak |
| Czy przetwarzanie i ochrona danych osobowych w umowie odbywa się na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)? | Tak |
| Czy umowa zobowiązuje odebranie przez Fundację "Wspieramy Rozwój" od Uniwersytetu Warszawskiego "Oświadczenia o powierzeniu przetwarzania danych osobowych"? | Tak |
Określenie celów przetwarzania | Jakie cele przetwarzania danych przez Fundację "Wspieramy Rozwój" określa umowa o dofinansowanie: | |
| - Realizacja projektu "Edukacja dla przyszłości"- Monitorowanie postępów projektu- Sprawozdawczość finansowa- Ewaluacja projektu- Promocja projektu- Kontakt z uczestnikami projektu- Archiwizacja dokumentacji projektowej- Przeprowadzenie badań ankietowych wśród uczestników- Analiza efektywności projektu- Współpraca z partnerami projektu | |
| Czy Fundacja "Wspieramy Rozwój" zawarła porozumienie lub umowę z Uniwersytetem Warszawskim? | Tak |
| Czy Fundacja "Wspieramy Rozwój" zawarła porozumienie lub umowę z firmą "Analizy Danych Sp. z o.o."? | Tak |
| Jakie cele przetwarzania danych przez Uniwersytet Warszawski określa umowa powierzenia danych: | |
| - Gromadzenie danych uczestników projektu- Przechowywanie danych uczestników projektu- Udostępnianie danych Fundacji "Wspieramy Rozwój"- Zapewnienie bezpieczeństwa danych- Usuwanie danych po zakończeniu projektu- Wsparcie techniczne w zakresie przetwarzania danych- Przeprowadzenie szkoleń z zakresu ochrony danych osobowych- Przygotowanie raportów z przetwarzania danych- Monitorowanie zgodności z przepisami o ochronie danych osobowych | |
II. Administrator Danych Osobowych w projektach unijnych
Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia
---|---|---|---|
Określenie i zadania Administratora w projektach unijnych | Czy Administrator został określony na podstawie Statutu Fundacji "Wspieramy Rozwój"? | Tak |
| Czy Administrator wskazał podstawę prawną przetwarzania danych? | Tak |
| Czy Administrator jest określony zgodnie z umową o dofinansowanie? | Tak |
| Czy umowy określają więcej niż jednego administratora danych osobowych? | Nie |
| Czy Administratorzy: - opracowali i wdrożyli politykę bezpieczeństwa informacji? - wyznaczyli Inspektora Ochrony Danych? - prowadzą rejestr czynności przetwarzania? - zapewniają bezpieczeństwo danych osobowych? - przestrzegają praw osób, których dane dotyczą? - stosują odpowiednie środki techniczne i organizacyjne? | Tak |
Zakres przetwarzanych danych | Jakie kategorie danych osobowych przetwarzają Administratorzy: | |
| - imię i nazwisko - adres zamieszkania - adres korespondencyjny - nazwa firmy i adres siedziby - imię (w przypadku osób fizycznych prowadzących działalność gospodarczą) - numer telefonu stacjonarnego - numer telefonu komórkowego - PESEL (w uzasadnionych przypadkach) - NIP - REGON - data urodzenia - wykształcenie - doświadczenie zawodowe - dane kontaktowe osoby do powiadamiania w nagłych wypadkach | |
| Czy Administratorzy przetwarzają dane z systemów informatycznych? | Tak |
| Czy Administratorzy przetwarzają dane z dokumentacji papierowej? | Tak |
| Czy w przypadku przetwarzania danych z systemów informatycznych osoby upoważnione do ich przetwarzania są zobowiązane do zachowania danych w poufności? | Tak |
III. Procesor w projektach unijnych
Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia
---|---|---|---|
Określanie Procesora i jego zadania | Czy umowa o dofinansowanie określa Uniwersytet Warszawski jako Podmiot Przetwarzający? | Tak |
| Czy Uniwersytet Warszawski przed zawarciem umowy powierzenia został zweryfikowany pod kątem bezpieczeństwa przetwarzania danych osobowych? | Tak |
| Czy Uniwersytet Warszawski korzysta z usług firmy "Bezpieczne Dane Sp. z o.o."? | Tak |
| Czy Uniwersytet Warszawski został zobowiązany do uzyskania pisemnej zgody od Administratora na korzystanie z usług firmy "Bezpieczne Dane Sp. z o.o."? | Tak |
| Czy Uniwersytet Warszawski został zobowiązany w umowie do prowadzenia rejestru czynności przetwarzania? | Tak |
| Czy rejestr zawiera wszystkie elementy wymagane Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679? | Tak |
IV. Stosowanie obowiązków informacyjnych
Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia
---|---|---|---|
Klauzule informacyjne | Czy umowa o dofinansowanie danych określa wzory obowiązków informacyjnych? | Tak |
| Czy każdy z Administratorów jest zobowiązany do samodzielnego określenia wzoru klauzul informacyjnych? | Nie |
| Czy klauzule informacyjne stosowane są zgodnie z określonym wzorem? | Tak |
| Czy stosowane klauzule zawierają wymagane Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 informacje? | Tak |
W jaki sposób przekazywany jest obowiązek informacyjny: | | |
| - pisemnie - ustnie - elektronicznie - za pomocą formularza | | |
| Czy obowiązek informacyjny przekazywany jest w formie zrozumiałej, przejrzystej, a także napisany jest prostym i jasnym językiem? | Tak |
| Czy Administrator informuje osoby fizyczne w przypadku pozyskiwania ich danych z innych źródeł? | Tak |
| Czy Administrator informuje osoby fizyczne w przypadku zmiany celu przetwarzania? | Tak |
V. Inspektor Ochrony Danych
Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia
---|---|---|---|
Konsultacje z IOD | Czy Inspektor Ochrony Danych otrzymuje umowy o dofinansowanie w celu weryfikacji postanowień dot. ochrony danych? | Tak |
| Czy Inspektor Ochrony Danych otrzymuje umowy w terminie umożliwiającym wniesienie uwag w zakresie ochrony danych do umowy? | Tak |
| Czy Inspektor Ochrony Danych ma zapewnione wsparcie Prezesa Zarządu i Kierownika Działu Projektów przy weryfikacji umowy? | Tak |
| Czy klauzule informacyjne są weryfikowane przez Inspektora Ochrony Danych? | Tak |
| Czy Inspektor Ochrony Danych jest informowany o wszystkich zmianach w umowie o dofinansowanie, które mogą mieć wpływ na ochronę danych osobowych? | Tak |
Podsumowując, raport z audytu ochrony danych osobowych wskazał istotne zagrożenia oraz możliwości usprawnienia działań związanych z ochroną danych osobowych. Zalecenia i wnioski zawarte w dokumencie stanowią podstawę do podejmowania działań naprawczych i wdrażania nowych rozwiązań mających na celu zwiększenie poziomu zabezpieczeń danych osobowych w organizacji.