Protokół audytu ochrony danych osobowych
- Prawo
dane
- Kategoria
raport
- Instrukcja
Na początku należy uzupełnić nazwę dokumentu, wpisując "Protokół audytu ochrony danych osobowych". Następnie w treści dokumentu również należy wpisać "Protokół audytu ochrony danych osobowych". W kolejnym wierszu należy określić, czego dotyczy audyt, wpisując nazwę zbioru danych lub nazwę procesu przetwarzania. W tabeli, w kolumnie "Ustalenia audytowe", dla każdego zagadnienia audytowego należy wpisać konkretne ustalenia poczynione podczas audytu. W pierwszym punkcie należy opisać charakter, zakres, kontekst i cele przetwarzania danych. W drugim punkcie należy wskazać kategorie podmiotów danych, których dane są przetwarzane. W trzecim punkcie należy wskazać kategorie rodzajów danych podlegających przetwarzaniu. W czwartym punkcie należy określić podstawy przetwarzania danych osobowych na podstawie artykułu 6 i 9 RODO. W piątym punkcie, jeśli dane przetwarza się na podstawie zgody, należy określić jej treść oraz sposób jej pozyskiwania. W szóstym punkcie, jeśli dane przetwarza się dla prawnie uzasadnionego interesu, należy scharakteryzować ten interes. W siódmym punkcie należy opisać sposób spełnienia obowiązku informacyjnego na podstawie artykułu 13 lub 14 RODO. W ósmym punkcie należy określić źródło pochodzenia danych. W dziewiątym punkcie należy wskazać, czy dane zostały powierzone do przetwarzania, a jeśli tak, to kiedy i komu. W dziesiątym punkcie należy wskazać, komu dane są udostępniane oraz podstawy prawne udostępnienia. W jedenastym punkcie należy wskazać, czy dane są przekazywane do państw trzecich lub organizacji międzynarodowych. W dwunastym punkcie należy określić, czy osoby upoważnione zostały upoważnione do przetwarzania danych. W trzynastym punkcie należy określić, czy osoby upoważnione zostały zobowiązane do zachowania tajemnicy. W czternastym punkcie należy określić, czy osoby upoważnione zostały przeszkolone w zakresie ochrony danych osobowych. W piętnastym punkcie należy opisać, jak zabezpieczone są dane przetwarzane w różnych formach. W szesnastym punkcie należy opisać, jak wygląda usuwanie dokumentów. W siedemnastym punkcie należy określić, jak długo przetwarza się dane osobowe. W osiemnastym punkcie należy opisać, w jaki sposób zapewnia się realizację praw podmiotów danych. W dziewiętnastym punkcie należy opisać procedurę postępowania w razie naruszenia ochrony danych osobowych. W dwudziestym punkcie należy określić, kogo należy zawiadomić w przypadku planowanych lub koniecznych zmian dotyczących procedur przetwarzania danych.
- Dane
czas, forma, lokalizacja, metoda, nazwa procesu, nazwa zbioru, odbiorcy, osoba upoważniona, parametr, podmiot, podmiot danych, rodzaj danych, ustalenia, źródło
Protokół audytu ochrony danych osobowych jest dokumentem oceniającym zgodność procesów przetwarzania danych z wymogami prawnymi. Zawiera szczegółowe ustalenia dotyczące kategorii danych, podstaw przetwarzania, zabezpieczeń danych oraz procedur w razie naruszeń.
[NAZWA DOKUMENTU]
[TREŚĆ DOKUMENTU] (np. Protokół audytu ochrony danych osobowych)
Audyt organizacyjno-prawny zbioru danych [NAZWA ZBIORU] / procesu przetwarzania [NAZWA PROCESU] (należy wskazać, czego audyt dotyczy, zwykle audyt obejmuje zbiory danych lub procesy przetwarzania)
Lp. | Zagadnienia audytowe | Ustalenia audytowe
---|---|---|
1 | Opis charakteru, zakresu, kontekstu i celów przetwarzania danych | [USTALENIA] |
2 | Wskazanie kategorii [PODMIOT DANYCH], których dane są przetwarzane | [USTALENIA] |
3 | Wskazanie kategorii [RODZAJ DANYCH] podlegających przetwarzaniu | [USTALENIA] |
4 | Określenie podstaw przetwarzania [RODZAJ DANYCH] na podstawie art. 6 i 9 RODO | [USTALENIA] |
5 | Jeśli [RODZAJ DANYCH] przetwarza się na podstawie zgody, należy określić jej treść, a ponadto wskazać sposób jej pozyskiwania, np. [METODA], [METODA], [METODA] itp. | [USTALENIA] |
6 | Jeśli [RODZAJ DANYCH] przetwarza się dla prawnie uzasadnionego interesu, należy scharakteryzować ten interes | [USTALENIA] |
7 | Sposób spełnienia obowiązku informacyjnego na podstawie art. 13 lub 14 RODO, w załączeniu można przedłożyć treść klauzul informacyjnych | [USTALENIA] |
8 | Określenie źródła pochodzenia [RODZAJ DANYCH], np. [ŹRÓDŁO], [ŹRÓDŁO], [ŹRÓDŁO] itp. | [USTALENIA] |
9 | Czy dane zostały powierzone do przetwarzania? (jeśli tak, to [CZAS] i [PODMIOT]; przedłożyć treść umowy) | [USTALENIA] |
10 | Komu dane są udostępniane – należy wskazać [ODBIORCY] oraz podstawy prawne udostępnienia | [USTALENIA] |
11 | Czy [RODZAJ DANYCH] przekazywane są do podmiotów mających siedziby w [LOKALIZACJA]? (jeśli tak, wskazać, w jakich) | [USTALENIA] |
12 | Czy [OSOBA UPOWAŻNIONA] została upoważniona do przetwarzania danych, czy polecono jej przetwarzanie danych i w jakiej formie dokonano tych czynności? | [USTALENIA] |
13 | Czy [OSOBA UPOWAŻNIONA] została zobowiązana do zachowania tajemnicy [RODZAJ DANYCH] i sposobów ich zabezpieczenia (treść i forma) lub jest zobowiązana do zachowania tajemnicy zawodowej? | [USTALENIA] |
14 | Czy [OSOBA UPOWAŻNIONA] została przeszkolona w zakresie ochrony [RODZAJ DANYCH] ([CZAS], [METODA])? | [USTALENIA] |
15 | Jak zabezpieczone są dane przetwarzane w formie [FORMA], jak wygląda dostęp do dokumentów i ich zabezpieczenie? | [USTALENIA] |
16 | Jak wygląda usuwanie dokumentów [FORMA] ([METODA], ich [LOKALIZACJA], [PARAMETR] itp.)? | [USTALENIA] |
17 | Jak długo przetwarza się [RODZAJ DANYCH]? | [USTALENIA] |
18 | W jaki sposób zapewnia się realizację praw [PODMIOT DANYCH], których dane dotyczą, czy [OSOBA UPOWAŻNIONA] zna procedurę realizacji tych praw? | [USTALENIA] |
19 | Czy [OSOBA UPOWAŻNIONA] zna procedurę postępowania w razie naruszenia ochrony [RODZAJ DANYCH]? Komu są zgłaszane naruszenia? | [USTALENIA] |
20 | Czy [OSOBA UPOWAŻNIONA] wie, kogo zawiadomić w przypadku planowanych lub koniecznych zmian dotyczących procedur przetwarzania [RODZAJ DANYCH] lub nowo planowanych zadań wymagających przetwarzania [RODZAJ DANYCH]? | [USTALENIA] |
Podsumowując, Protokół audytu ochrony danych osobowych pozwala kompleksowo ocenić zgodność przetwarzania danych z przepisami prawnymi i zabezpieczeniami. Jest niezbędnym narzędziem w monitorowaniu i doskonaleniu procesów ochrony danych.