Sprawozdanie z audytu ochrony danych osobowych

SPRAWOZDANIE Z AUDYTU

ochrony danych osobowych w zakresie zgodności z przepisami Rozporządzenia 2016/679

Nazwa administratora: Firma "Przykładowy Biznes" Sp. z o.o.

Adres administratora: ul. Kwiatowa 12, 00-001 Warszawa

Przekazane do:..........................................................

(kierownictwo jednostki)

Cel audytu: Ocena stanu zgodności wewnętrznych procedur dotyczących

ochrony danych osobowych z wymaganiami przepisów RODO

oraz innymi przepisami mającymi wpływ na sposób

przetwarzania danych przez administratora

Zakres audytu:¹ • Środki techniczne

• Środki organizacyjne

• Dokumentacja ochrony danych

• Sposób realizowania obowiązków przez osoby

upoważnione

Audytor: Jan Kowalski

Okres przeprowadzania

audytu: 01.03.2024 - 31.03.2024

Data przekazania

sprawozdania: 15.04.2024

Termin przeprowadzenia

zadania: 01.03.2024 - 31.03.2024

Najważniejsze wnioski i • Należy zaktualizować upoważnienia do przetwarzania

zalecenia:² danych osobowych

• Należy podpisać umowę powierzenia z podwykonawcą "Bezpieczne Dane" Sp. z o.o.

• Należy wdrożyć procedurę tworzenia i odzyskiwania

kopii zapasowych

• itd., itp.

¹ Wskazać ogólnie zakres audytu

² Sprawozdania z audytów są zazwyczaj dość obszernymi dokumentami, a ich analiza może trwać kilka dni.

Zdecydowanym ułatwieniem dla kierownictwa, a także przejawem profesjonalizmu audytora jest wyróżnienie na

początku sprawozdania najważniejszych wniosków i zaleceń.

Rozdział I

Szczegółowy zakres audytu³

Dokumentacja ochrony danych osobowych, w tym:

1. Procedury realizacji praw osób, których dane dotyczą.

2. Rejestr czynności przetwarzania danych osobowych w oparciu o zidentyfikowane operacje i

procesy przetwarzania danych.

3. Rejestr kategorii przetwarzania danych osobowych.

4. Polityki prywatności.

5. Treść klauzul informacyjnych i klauzul zgody na przetwarzanie danych osobowych.

6. Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych, w tym oceny

ryzyka naruszenia, obowiązku zgłaszania naruszenia do urzędu ochrony danych osobowych,

obowiązku zawiadamiania osoby, której dotyczy naruszenie, a także dokumentowania

naruszenia.

7. Ocena skutków dla ochrony danych.

8. Plany kontroli zapewniające regularne testowanie, mierzenie i ocenianie skuteczności środków

technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych.

9. Regulacja zasad dotyczących współpracy z podmiotami zewnętrznymi w zakresie powierzania

danych do przetwarzania.

10. Procedura nadawania i odbierania upoważnień do przetwarzania danych.

11. Polityka kopii zapasowych.

12. Plan ciągłości działania systemu informatycznego.

13. Procedura upoważniania do przetwarzania danych osobowych.

14. Obligowanie do zapewnienia poufności.

15. Procedury niszczenia danych.

16. Polityka czystego biurka.

17. Procedury przesyłania danych osobowych drogą elektroniczną.

18. Procedura pracy zdalnej.

19. Procedura udostępniania sprzętu służbowego.

20. Stosowanie zasad privacy by design / privacy by default.

Analiza procesów przetwarzania danych:

1. Analiza przetwarzania danych osobowych przy użyciu zautomatyzowanych narzędzi

podejmowania decyzji - w tym profilowania, czyli oceny czynników osobowych osoby

fizycznej.

2. Transgraniczne przetwarzanie danych - czy dane są przetwarzane poza EOG, czy i jakie

rozwiązania chmur obliczeniowych są stosowane.

3. Weryfikacja bezpieczeństwa osobowego na etapie rekrutacji, zatrudnienia, zakończenia

zatrudnienia.

4. Analiza technicznych możliwości wypełnienia żądań osób, których dane dotyczą.

5. Sprawdzenie czy osoby zaangażowane w proces przetwarzania informacji posiadają stosowne

uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie

zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.

Organizacyjne środki ochrony danych:

1. Organizacja nadzoru nad przestrzeganiem zasad i przepisów ochrony danych.

2. Status Inspektora ochrony danych.

3. Zakres i sposób wykonywania zadań przez IOD.

³ Należy pozostawić te elementy, które będą podlegały audytowi

4. Analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz działania

minimalizujące ryzyko, stosownie do wyników przeprowadzonej analizy.

5. Zapewnienie przeszkolenia i zaznajomienia osób zatrudnionych przy przetwarzaniu danych z

przepisami i procedurami dotyczącymi ochrony danych osobowych.

Techniczne środki ochrony danych

1. Analiza środków technicznych niezbędnych do zapewnienia ochrony przetwarzanych danych

zastosowanych w siedzibie administratora.

2. Analiza zastosowanych środków w celu zapewnienia bezpieczeństwa teleinformatycznego.

3. Kontrola dostępu.

4. Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności

systemów i usług przetwarzania.

5. Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w

razie incydentu fizycznego lub technicznego.

6. Sposób uwierzytelniania użytkowników w systemach informatycznych służących do

przetwarzania danych osobowych.

7. Zabezpieczenia kryptograficzne. Analiza możliwości pseudonimizowania i szyfrowania

danych.

8. Przegląd i konserwacja sprzętu.

Rozdział II

Podjęte działania i zastosowane techniki przeprowadzania zadania audytowego

1. Badanie udostępnionych dokumentów i plików.

2. Uzyskanie wyjaśnień od kierownictwa i pracowników administratora danych.

3. Dokonanie oględzin obszarów przetwarzania danych osobowych.

4. Dokonanie oględzin

5. Sporządzenie raportu kontroli zawierającego rekomendacje rozwiązań ewentualnych

niezgodności.

Rozdział III

Szczegółowe przedstawienie przebiegu i wyników sprawdzenia

Należy opisać szczegółowo podjęte działania oraz wnioski z tych działań ze szczególnym

uwzględnieniem naruszeń dla ochrony danych. Opis może być wykonany w odniesieniu do

poszczególnych, wskazanych w zakresie sprawdzenia, w odniesieniu do procesów przetwarzania lub

poszczególnych etapów audytu. Każda ze wskazanych form jest poprawna.

Rozdział IV

Zestawienie wymogów prawnych ze stanem obecnym oraz zalecenia

Wymóg wynikający z przepisów RODO | Ocena zgodności i zalecenia

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki powinny być przeglądane i uaktualniane – art. 24. | Zalecenia: Uzupełnić dokumentację.

Administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiadają, zawierający informacje, o których mowa w art. 30. | Zgodne.

Zapoznanie osób upoważnionych do przetwarzania danych osobowych z wymogami ochrony danych osobowych określonymi w RODO oraz wewnętrznymi procedurami ochrony danych - art. 37 ust. 1, art. 32. | Zalecenia: Przeprowadzić szkolenia.

Administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora – art. 29, 32 ust. 4. | Zgodne.

Przetwarzanie danych osobowych w imieniu administratora (powierzenie przetwarzania danych osobowych) powinno wypełniać wymagania określone w art. 28. | Do weryfikacji.

Administrator, który zbiera dane osobowe od osoby, której dane dotyczą lub pozyskuje dane osobowe w inny sposób niż od osoby, której dane dotyczą przekazuje tym osobom informacje określone w art. 13 lub 14. | Zgodne.

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z warunków określonych w art. 6 | Zgodne.

Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, chyba że jest spełniony jeden z warunków legalizujących przetwarzanie, określonych w art. 9. | Nie dotyczy.

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą – art. 10. | Nie dotyczy.

Administrator, który przetwarza dane osobowe na podstawie zgody osoby, której dane dotyczą powinien wypełnić wymagania związane z warunkami wyrażenia zgody określonymi w art. 4, 7 i 8. | Zgodne.

Dane są przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane – art. 5 RODO | Do weryfikacji.

Osoba, której dane dotyczą jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do informacji o celu, zakresie przetwarzani i o ich przekazywaniu innym podmiotom – art. 15. | Zgodne.

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych – art. 16 i 19. | Zgodne.

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych – art. 17. | Zgodne.

Osoba, której dane dotyczą, ma prawo żądania od administratora, w określonych przypadkach, ograniczenia przetwarzania danych osobowych jej dotyczących – art. 18 i 19. | Zgodne.

Osoba, której dane dotyczą ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące – art. 20 (prawo do przenoszenia danych). | Zgodne.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych – art. 21. | Zgodne.

Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa – art. 22. | Nie dotyczy.

Administrator oceniając czy środki techniczne i organizacyjne są wystarczające aby zapewnić bezpieczeństwo przetwarzania danych, uwzględnia w szczególności ryzyko naruszenia praw i wolności osoby, której dane dotyczą wiążące się z tym przetwarzaniem – art. 24 i 32. | Do weryfikacji.

Administrator, uwzględniając charakter, zakres, kontekst, cele oraz ryzyka przetwarzania wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo przetwarzania danych, w tym pseudonimizację i szyfrowanie danych osobowych – art. 32. | Do weryfikacji.

Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych – art. 25 | Zgodne.

Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych – art. 5 i 25 | Zgodne.

W przypadku naruszenia ochrony danych osobowych, gdy naruszenie skutkuje ryzykiem naruszenia praw i wolności podmiotu danych, administrator, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu – art. 33. | Procedura wdrożona.

W przypadku naruszenia ochrony danych osobowych, gdy naruszenie skutkuje wysokim ryzykiem naruszenia praw i wolności podmiotu danych, administrator bez zbędnej zwłoki powiadamia o naruszeniu osobę, której dane dotyczą– art. 34. | Procedura wdrożona.

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych – art. 35. | Nie dotyczy.

Administrator wyznacza inspektora ochrony danych – art. 37. | Anna Nowak - IOD.

Administrator zapewniają inspektorowi ochrony danych zasoby niezbędne do wykonywania jego zadań – art. 38. | Zapewnione.

Rozdział V

Przyjęcie sprawozdania z audytu przez administratora

Niniejsze sprawozdanie sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla

każdej ze stron, dodatkowo przekazano wersję elektroniczną.

........................................ ...........................

Warszawa15.04.2024

.......................................................................................................

Jan KowalskiAdam Nowak