Raport z audytu ochrony danych osobowych w USC

Ocena spełniania obowiązków w zakresie ochrony danych osobowych w Urzędzie Stanu Cywilnego w Gdańsku

I. Organizacja systemu ochrony danych osobowych

Badany obszar Pytania kontrolne Stosowanie

Wyznaczenie IOD Czy Kierownik USC wyznaczył IOD? Tak

Czy IOD jest wspólny dla USC w Gdańsku i USC w Sopocie? Nie

Czy w przypadków wspólnego IOD dla USC w Gdańsku i USC w Gdyni zostały określone zasady dotyczące zapewnienia IOD wystarczającej ilości czasu na wypełnianie jego obowiązków? Nie dotyczy

Czy powołanie wspólnego IOD zostało oficjalnie uregulowane? Nie dotyczy

Czy osoba wyznaczona na IOD posiada odpowiednie kwalifikacje zawodowe oraz fachową wiedzę z zakresu ochrony danych osobowych? Tak

Czy dopełniono obowiązku zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o powołaniu IOD? Tak

Czy IOD ma zapewnione środki na utrzymanie wiedzy fachowej (szkoleń i podnoszenia kompetencji)? Tak

Czy IOD wykonuje inne obowiązki w jednostce i czy nie powodują one konfliktu interesów? Nie

Czy Kierownik USC angażuje IOD we wszystkie procesy związane z ochroną danych osobowych? Tak

Polityka oraz procedury w zakresie ochrony Czy opracowano i wdrożono osobną politykę Tak danych osobowych ochrony danych osobowych w USC w Gdańsku?

Czy polityka ochrony danych osobowych jest wspólna dla USC w Gdańsku i USC w Gdyni? Nie

W jaki sposób uregulowano wspólną politykę Zarządzenie nr 123/2023 ochrony danych dla USC w Gdańsku i USC w Gdyni?

Czy w polityka określa uprawnienia i obowiązki administratora danych, IOD i ASI oraz innych osób upoważnionych do przetwarzania? Tak

Czy polityka jest okresowo przeglądana i aktualizowana? Tak

Czy dokumentacja określa zastosowane środki techniczne i organizacyjne ochrony danych osobowych? Tak

Czy USC w Gdańsku posiada procedurę postępowania w przypadku naruszenia ochrony danych/incydentu mającego wpływ na ochronę danych osobowych? Tak

W jaki sposób została wdrożona procedura Instrukcja postępowania nr 5/2024 postępowania w przypadku naruszenia ochrony danych/incydentu mającego wpływ na ochronę danych osobowych?

Czy Kierownik USC przeprowadził przegląd dotychczasowych procedur i dostosował zapisy do aktualnych przepisów prawa? Tak

Upoważnienie do przetwarzania danych Czy dane osobowe są przetwarzane wyłącznie Tak osobowych przez osoby/podmioty działające na polecenie i z upoważnienia Kierownika USC?

W jaki sposób Kierownik USC dokumentuje proces Tak upoważniania do przetwarzania danych osobowych w sposób, który umożliwia ustalenie wszystkich osób zaangażowanych w procesy przetwarzania?

Czy polityka ochrony danych osobowych określa Tak sposób i tryb nadawania upoważnienia?

Czy Kierownik USC prowadzi rejestr wydanych Tak upoważnień?

Czy osoby upoważnione są formalnie zobowiązane do zachowania poufności danych osobowych? Tak

Upoważnienia nadawane przez Kierownika USC W jaki sposób Kierownik USC upoważnił Pisemnie Zastępcę Kierownika USC do Przetwarzania danych osobowych, Wydawania odpisów aktów stanu cywilnego, Udzielania informacji o danych osobowych?

Upoważnienia nadawane przez Zastępcę Kierownika USC W jaki sposób Zastępca Kierownika USC Pisemnie /Kierownika USC upoważnił innych pracowników do Rejestrowania urodzeń Sporządzania aktów zgonu, Wydawania zaświadczeń Przyjmowania wniosków o wydanie odpisów?

II. Administrator Danych Osobowych

Badany obszar Pytania kontrolne Stosowanie

Określenie i zadania Administratora w USC w Gdańsku Czy Kierownik USC został prawidłowo określony, Tak jako Administrator Danych Osobowych (art. 4 pkt 7 RODO)

Czy Kierownik USC został określony, jako Tak Administrator Danych Osobowych odpowiadający za przetwarzanie danych w USC?

Czy Zastępca Kierownika USC Tak został określony, jako Administrator Danych Osobowych odpowiadający za nadzorowanie przetwarzania danych osobowych?

III. Przetwarzanie danych osobowych

Badany obszar Pytania kontrolne Stosowanie

Procesy przetwarzania danych osobowych Czy Kierownik USC prowadzi rejestr czynności Tak przetwarzania danych?

Czy Kierownik USC prowadzi rejestr kategorii Tak przetwarzania danych?

Czy dla wszystkich procesów przetwarzania Tak danych zidentyfikowano podstawę prawną? Czy zostało to udokumentowane w rejestrze czynności przetwarzania danych?

Czy zidentyfikowano określone w prawie cele Tak przetwarzania?

Czy w USC w Gdańsku zidentyfikowano procesy Tak przetwarzania danych osobowych, które są przekazywane do systemów centralnych lub Ministerstwa Cyfryzacji?

III. Powierzenie przetwarzania danych osobowych

Badany obszar Pytania kontrolne Stosowanie

Archiwizacja danych w USC w Gdańsku Czy w USC w Gdańsku powierzane są Tak dane innym podmiotom?

Czy Kierownik USC przed podpisaniem umowy powierzenia Tak weryfikuje podmiot przetwarzający?

Czy Kierownik USC zawarł umowy powierzenia ze Tak wszystkimi podmiotami przetwarzającymi?

Czy wypracowano wzory umów powierzenia albo klauzul umownych Tak związanych ze świadczeniem usług przetwarzania danych osobowych? Czy są one prawidłowe?

Czy umowa powierzenia zawiera wszystkie Tak elementy z art. 28 RODO?

Czy zobowiązano podmiot przetwarzający do zachowania Tak tajemnicy?

Czy podmiot przetwarzający jest zobowiązany do wykazania się Tak odpowiednim środkami technicznymi i organizacyjnymi, aby zapewnić adekwatny stopień bezpieczeństwa dla powierzonych danych osobowych?

Czy prowadzony jest rejestr umów powierzenia? Tak

Czy umowy powierzenia są weryfikowane pod Tak kątem ich aktualności?

Czy podmiot przetwarzający jest zobowiązany do sporządzenia Tak protokołu zniszczenia danych w przypadku usunięcia danych , gdy ustanie okres ich przetwarzania?

IV. Stosowanie obowiązków informacyjnych

Badany obszar Pytania kontrolne Stosowanie

Klauzule informacyjne Czy klauzule informacyjne stosowane są zgodnie z Tak określonym wzorem dostarczonym przez Prezesa UODO do publikacji na stronie internetowej?

Czy stosowane klauzule informacyjne zawierają wymagane Tak przepisami RODO elementy?

W jaki sposób przekazywany j jest obowiązek Tak informacyjny:  Pisemnie  Ustnie  Elektronicznie  Na stronie internetowej  W siedzibie USC

Czy obowiązek informacyjny przekazywany jest w Tak zwięzłej, przejrzystej i łatwo dostępnej formie, a także napisany jest jasnym i prostym językiem?

Czy Kierownik USC informuje osoby fizyczne w Tak przypadku pozyskiwania ich danych z innych źródeł?

Czy Kierownik USC informuje osoby fizyczne w Tak przypadku zmiany celu przetwarzania?

V. Zabezpieczenie akt stanu cywilnego dokumentów w postaci papierowej

Badany obszar Pytania kontrolne Stosowanie

Ochrona dokumentów Czy dokumenty zabezpiecza się przed zniszczeniem, Tak zagubieniem, uszkodzeniem oraz przed nieuprawnionym dostępem do nich osób trzecich?

Czy dokumenty przechowuje się w archiwum, w Tak miejscu zapewniającym ich zabezpieczenie, a w razie potrzeby dokumenty poddaje się digitalizacji?

Czy wynoszenie dokumentów poza archiwum odbywa się za Tak zgodą Kierownika USC wyrażoną w drodze decyzji administracyjnej?

Czy zdarzały się przypadki utraty dokumentów z Nie powodu zdarzenia losowego zagrażającego bezpieczeństwu dokumentów?

Czy w przypadku zgody Kierownika USC, wynoszenie Tak dokumentów odbywa się przez upoważnionego pracownika albo przez przekazanie ich, jako kopii w siedzibie USC w Gdańsku zgodnie z art. 74 ust. 1 ustawy Prawo o aktach stanu cywilnego?

Czy dokumenty wynoszone w przypadku zgody Tak Kierownika USC, umieszcza się w kopertach wykonanych z materiałów chroniących przed zniszczeniem, uszkodzeniem lub zagubieniem, zapewniającym zabezpieczenie dokumentów w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym?

Czy dokumenty wynoszone w przypadku wystąpienia Nie zdarzenia losowego umieszcza się w kopertach wykonanych z materiałów chroniących przed zniszczeniem, uszkodzeniem lub zagubieniem, zapewniającym zabezpieczenie dokumentów w sposób uniemożliwiający dostęp do nich osobom nieuprawnionym?

Bezpieczeństwo Jakie zabezpieczenia stosuje Kierownik USC? Monitoring wizyjny, w którym znajduje się budynek USC oraz jego otoczenie Kontrola dostępu System alarmowy Szyfrowanie danych (na dyskach twardych oraz pendrive'ach) Ograniczony dostęp do systemu informatycznego Autoryzacja użytkowników wymagana minimalna długość hasła i jego okresowa zmiana Zapora sieciowa Antywirus Kopie zapasowe danych Kopie zapasowe są zabezpieczone w innym miejscu niż oryginały Bezpieczne połączenie internetowe Firewall Sieć VPN Niszczarka dokumentów Procedura do przetwarznia danych Umowa powierzenia z firmą Archiwizacja Sp. z o.o. Polityka ochrony danych Zarządzanie uprawnieniami Wydzielone pomieszczenie na serwerownię USC w Gdańsku Szafy metalowe do przechowywania dokumentów dostęp do pomieszczeń USC oraz jego serwerowni mają tylko upoważnieni pracownicy

VI. Przekazywanie akt stanu cywilnego, ksiąg stanu cywilnego do archiwum

Badany obszar Pytania kontrolne Stosowanie

Przekazywanie i Czy Kierownik USC przekazuje do archiwum państwowego Akta stanu cywilnego przekazywanie do archiwum akta stanu cywilnego, księgi stanu cywilnego oraz zgodnie z art. 76 ustawy - dokumenty zgodnie z określonymi terminami? Księgi stanu cywilnego i dokumenty prowadzone przed dniem 1 stycznia 2015 r. po 10 latach od ich sporządzenia

Przekazywanie i Czy w przypadku aktów urodzenia lub aktów małżeństwa Tak przekazywanie do archiwum sporządzonych dla osoby urodzonej/zawarte w USC zgodnie z ustawą prowadzonej przed dniem 1 stycznia 2015 r., a dla której nie sporządzono aktu zgonu lub nie odnotowano informacji o zgonie, to akta urodzenia i akta małżeństwa , mimo upływu 10 lat, przechowuje się do czasu sporządzenia aktu zgonu lub odnotowania informacji o zgonie osoby?

W jaki sposób dokonuje się weryfikacji w systemie PESEL powyższych informacji? Czy po weryfikacji zachowane są okresy Tak przechowywania, wskazane w ustawie?

Przekazywanie Czy zachowano ustawowe terminy? Akta stanu cywilnego i księgi stanu cywilnego dokumentów do archiwum zgodnie po 100 latach z ustawą - prowadzone przed dokumenty dniem 1 stycznia 2015 r. - dla których z dniem 1 stycznia 2015 r. po 25 latach upłynęły okresy ich przechowywania. po 5 latach