Kwestionariusz audytu zgodności przetwarzania danych z RODO
- Prawo
dane
- Kategoria
kwestionariusz
- Instrukcja
Wypełnij nazwę firmy administratora danych w polu [FIRMA] na początku dokumentu. Następnie w sekcji "Dane podmiotu przetwarzającego" uzupełnij nazwę, adres i datę wypełnienia dokumentu w odpowiednich polach [FIRMA], [ADRES] i [DATA]. W tabeli z pytaniami udziel wyczerpujących odpowiedzi na każde pytanie, odnosząc się do specyfiki przetwarzania danych w Twojej firmie. Jeżeli pytanie wymaga dołączenia załącznika, pamiętaj o jego dodaniu. W przypadku pytań dotyczących Inspektora Ochrony Danych, podaj jego dane kontaktowe lub uzasadnienie niewyznaczenia IOD. Opisz szczegółowo wdrożone procedury i zasady dotyczące ochrony danych osobowych, takie jak analiza ryzyka, szkolenia, realizacja praw podmiotów danych, polityka ochrony danych, zarządzanie systemami informatycznymi, wybór podprocesorów oraz zasady bezpiecznej pracy zdalnej. W sekcji dotyczącej inwentaryzacji danych i RKCP, potwierdź przeprowadzenie inwentaryzacji i istnienie RKCP, a następnie podaj treść wpisów w RKCP dotyczących firmy administratora danych. W części dotyczącej naruszenia ochrony danych osobowych, opisz procedurę zarządzania incydentami, zasady zgłaszania naruszeń do administratora danych oraz podaj liczbę wpisów w rejestrze incydentów dotyczących firmy administratora. W sekcji dotyczącej dalszego powierzenia i udostępnienia danych, opisz zasady powiadamiania administratora o dalszym powierzeniu, podaj podmioty, którym powierzasz dane administratora, a także kraje trzecie, do których dane są przekazywane oraz podmioty, którym dane są udostępniane. W ostatniej sekcji, dotyczącej środków ochrony danych, opisz wdrożone środki organizacyjne i techniczne, w tym te dotyczące bezpieczeństwa fizycznego i środowiskowego, planu ciągłości działania oraz testowania skuteczności wdrożonych środków. Na końcu dokumentu, w sekcji "Osoba uczestnicząca w audycie", wpisz imię, nazwisko i datę osoby reprezentującej podmiot przetwarzający. W sekcji "Osoba zatwierdzająca audyt" wpisz imię, nazwisko i datę osoby zatwierdzającej audyt po stronie administratora. Na samym końcu dokumentu wpisz datę zatwierdzenia raportu.
- Dane
adres, data, firma, imię, nazwisko
Dokument 'Kwestionariusz audytu zgodności przetwarzania danych z RODO' zawiera listę kontrolną umożliwiającą weryfikację zgodności z przepisami RODO. Skupia się na obszarach związanych z ochroną danych osobowych oraz wymaganiami dotyczącymi przetwarzania danych. Omawia m.in. działania organizacyjne, inwentaryzację danych, procedury zarządzania incydentami bezpieczeństwa oraz środki ochrony danych.
Administrator: [FIRMA]
Informacja chroniona
Audyt podmiotu przetwarzającego zgodnie z art. 28 RODO
Dane podmiotu przetwarzającego
Nazwa: [FIRMA]
Adres: [ADRES]
Data wypełnienia dokumentu: [DATA]
[FIRMA] jest zobligowana do wdrożenia i stosowania mechanizmów pozwalających wykazać zgodność z RODO. Poniższa lista kontrolna umożliwi weryfikację wybranych obszarów oraz wdrożonych zasad przetwarzania danych w kontekście zgodności z RODO.
Uprzejmie prosimy o udzielenie wyczerpujących odpowiedzi na pytania w poniższej tabeli oraz dołączenie załączników, jeżeli jest to konieczne.
Lp. Pytanie Odpowiedź
1. Działania organizacyjne
a. Czy wyznaczono Inspektora Ochrony Danych (IOD) lub osobę odpowiedzialną za obszar ochrony danych? Jeżeli IOD nie został wyznaczony, czy dokonano analizy pod kątem obowiązku wyznaczenia IOD i czy analiza ta została udokumentowana?
Podaj kontakt do IOD, a w razie niewyznaczenia IOD wskaż uzasadnienie jego niewyznaczenia.
b. Czy stosowana jest zasada ochrony danych w fazie projektowania oraz zasada domyślnej ochrony danych dla wprowadzanych zmian?
Podaj, w jaki sposób organizacja wykazuje stosowanie zasad.
c. Czy wdrożono proces analizy ryzyka naruszenia praw lub wolności osób fizycznych?
Podaj ogólne zasady działania procesu.
d. Czy przeprowadzane są dla pracowników i innych osób przetwarzających dane osobowe szkolenia zwiększające świadomość z zakresu ochrony danych osobowych?
Podaj zasady i podaj datę ostatniego szkolenia.
e. Czy wdrożono zasady realizacji praw podmiotów danych (do informacji o przetwarzaniu, dostępu do danych oraz ich kopii, do sprostowania lub uzupełnienia danych, do usunięcia danych, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do niepodlegania wyłącznie zautomatyzowanym decyzjom ostatecznym)?
Opisz proces realizacji prawa.
f. Czy wdrożono politykę ochrony danych i zasady zarządzania systemami informatycznymi?
Jeśli wprowadzono inne polityki lub procedury z zakresu ochrony danych osobowych, podaj ich nazwy.
g. Czy osoby przetwarzające dane zostały poinformowane o konieczności stosowania dokumentów wskazanych w poprzednim punkcie?
Podaj, w jaki sposób.
h. Czy wdrożono zasady wyboru podmiotu, któremu dalej powierza się dane?
Opisz krótko, jak wybierani są i weryfikowani subprocesorzy.
i. Czy wprowadzono zasady bezpiecznej pracy zdalnej/hybrydowej?
Podaj jakie.
2. Inwentaryzacja danych oraz Rejestr Kategorii Czynność Przetwarzania (RKCP)
a. Czy dokonano inwentaryzacji danych osobowych poprzez np. przeprowadzenie audytu?
b. Czy istnieje RKCP i czy jest on zgodny z art. 30 RODO?
Podaj treść zawartych w RKCP wpisów dotyczących [FIRMA].
3. Naruszenie ochrony danych osobowych i jego zgłoszenie do [FIRMA]
a. Czy wdrożona została procedura zarządzania incydentami bezpieczeństwa i naruszeniami ochrony danych osobowych?
Załącz procedurę lub opisz zasady badania źródła incydentu oraz jego zgłaszania do [FIRMA] (m.in. czas zgłoszenia po wykryciu zdarzenia).
b. Czy prowadzony jest wewnętrzny rejestr incydentów bezpieczeństwa i naruszeń ochrony danych osobowych? (incydent poufności, integralności oraz dostępności danych)
Podaj ilość wpisów dotyczących incydentów [FIRMA].
4. Dalsze powierzenie i udostępnienie danych, których administratorem jest [FIRMA]
a. Czy wprowadzano zasadę powiadamiania [FIRMA] o dalszym powierzeniu jego danych osobowych?
Podaj, kto jest za to odpowiedzialny.
b. Czy prowadzony jest rejestr umów podmiotów, którym dane są dalej powierzane?
Podaj podmioty, którym powierzasz dane, dla których [FIRMA] jest administratorem.
c. Czy dane, których administratorem jest [FIRMA], są przekazywane do państwa trzeciego?
Jeżeli tak, to podaj nazwy państw.
d. Czy dane [FIRMA] są udostępniane innym podmiotom?
Jeżeli tak, to podaj jakim.
5. Środki ochrony danych adekwatne do ryzyka prywatności
a. Czy w oparciu o analizę ryzyka wdrożono adekwatne środki organizacyjne i techniczne zapewniające odpowiedni poziom bezpieczeństwa dla poufności, integralności, dostępności i odporności systemów oraz usług?
Podaj stosowane organizacyjne i techniczne środki bezpieczeństwa.
b. Czy stosowane są adekwatne do ryzyka techniczne środki zabezpieczeń, np. IDS, firewalle, monitoring sieci?
Podaj jakie.
c. Czy stosowana jest pseudonimizacja lub/i szyfrowanie danych osobowych?
Jeżeli tak, podaj, jakie techniki/rozwiązania są stosowane dla danych [FIRMA].
d. Czy stosowane są zasady bezpieczeństwa fizycznego i środowiskowego?
Podaj jakie.
e. Czy opracowano plan ciągłości działania dla utrzymania zdolności do szybkiego przywrócenia dostępności danych w razie incydentu fizycznego lub technicznego?
Podaj datę ostatniego testu planu ciągłości działania.
f. Czy stosowane jest regularne testowanie i ocenianie skuteczności wdrożonych środków organizacyjnych i technicznych mających zapewnić odpowiedni poziom bezpieczeństwa przetwarzania?
Podaj, jak wygląda proces.
Osoba uczestnicząca w audycie po stronie Podmiotu Przetwarzającego – [FIRMA]:
[IMIĘ] [NAZWISKO]
[DATA]
Osoba zatwierdzająca audyt po stronie Administratora – [FIRMA]:
[IMIĘ] [NAZWISKO]
[DATA]
Raport został zatwierdzony w dniu: [DATA]
Dokument 'Kwestionariusz audytu zgodności przetwarzania danych z RODO' to kompleksowe narzędzie pomocne w weryfikacji zgodności z RODO. Zawiera szczegółowe pytania dotyczące działań organizacyjnych, inwentaryzacji danych, procedur zarządzania incydentami oraz środków ochrony danych. Dzięki niemu możliwe jest skuteczne monitorowanie i dostosowywanie procesów związanych z przetwarzaniem danych.