GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Dokument do samooceny wdrożenia RODO organu z Liechtensteinu

Dokument do samooceny wdrożenia RODO organu z Liechtensteinu

Na stronie internetowej Organu Ochrony Danych Księstwa Liechtenstein, pojawił się ciekawy dokument, służący do samo-ewaluacji w obszarze ochrony danych, który w języku niemieckim jest dostępny: tutaj.

Zawiera on kilkanaście pytań i według informacji podanej przez organ został wysłany do różnych przedsiębiorstw, w ramach pełnionej przez niego funkcji nadzorczej.  Teraz organ zdecydował się opublikować ten dokument dla wszystkich, aby mogli oni dokonać samooceny w zakresie ochrony danych oraz mogli zidentyfikować ewentualne braki w tym zakresie. Poniżej znajduje się tłumaczenie praktycznie całego dokumentu (bez pewnych elementów, które były ewidentnie skierowane do audytowanych przedsiębiorstw z Liechtensteinu. Pozostawiono natomiast sformułowania takie jak: „proszę przekazać nam treść obowiązku informacyjnego” – po to aby podkreślić konieczność ich sprawdzenia, gdyby ktoś zdecydował się dokonać samooceny na podstawie poniższych pytań).

 Ankieta dotycząca wdrożenia RODO

  1. W oparciu o którą podstawę prawną przetwarza Pani/Pan dane osobowe (możliwe jest wybranie kilku odpowiedzi)?
  • 6 ust. 1 lit. a) RODO – zgoda

Jeżeli tak, prosimy o przekazanie wzoru oświadczenia zgody wykorzystywanego przez Panią/ Pana.

  • 6 ust. 1 lit. b) RODO – wykonanie umowy

Jeżeli tak, proszę wymienić rodzaje umów, które w Państwa przypadku stanowią podstawę prawną (np. umowa o pracę, umowa najmu).

  • 6 ust. 1 lit. c) RODO – wypełnienie obowiązku prawnego

Proszę wymienić obowiązki prawne, na których opiera Pani/Pan przetwarzanie.

  • 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy

Proszę uzasadnić na czym konkretnie polegają te interesy oraz jakie operacje przetwarzania nimi Pani/Pan uzasadnia.

  • Inne podstawy prawne (np. art. 9 ust. 2 RODO)
  1. W jaki sposób spełniany jest obowiązek informacyjny, zgodnie z art. 13 RODO
    w Pani/Pana przedsiębiorstwie?

Proszę opisać sposób realizacji oraz przekazać wykorzystywaną przez Panią/Pana treść obowiązku wraz z oświadczeniem dot. ochrony danych na Pani/Pana stronie internetowej.

  1. Czy w Pani/ Pana przedsiębiorstwie istnieje udokumentowany proces postępowania
    w odniesieniu do praw osób, których dane dotyczą, o których mowa w art. 12 do 22 RODO?
  • Proszę go hasłowo opisać.
  • Nie
  1. Czy zapewnia Pani/ Pan, że przy zmianie lub rozwoju nowych produktów lub usług wymogi ochrony danych są uwzględniane od początku, zgodnie z art. 25 RODO?
  • Proszę hasłowo opisać procedurę.
  • Nie
  1. Czy w Pani/ Pana przedsiębiorstwie dane są powierzane podmiotowi przetwarzającemu?
  • Proszę wymienić kategorie wykorzystywanych podmiotów przetwarzających (np. usługi IT, biuro księgowe).

Proszę przesłać nam przykładową kopię umowy powierzenia!

  • Nie
  1. Czy ustawił/a Pani/ Pan pełny rejestr czynności przetwarzania, zgodnie z art. 30 RODO?
  • Proszę nam przesłać kopię swojego rejestru przetwarzania!
  • Nie
  1. W jaki sposób zapewnia Pan/ Pani, że zostały przyjęte odpowiednie środki techniczne oraz organizacyjne, w celu zapewnienia w szczególności dostępności, poufności, integralności oraz odporności danych, zgodnie z art. 32 RODO (Bezpieczeństwo przetwarzania)?

(można zaznaczyć wiele odpowiedzi)

  • Kieruje się Pani/ Pan uznanymi standardami czy normami, jak np. zestaw standardów ISO/IEC 27000.

Proszę wymienić konkretny standard, względnie normę.

  • Może się Pani/ Pan wykazać certyfikacją w obszarze bezpieczeństwa danych lub informacji.

Proszę wymienić certyfikację.

  • W zaplanowaniu oraz wdrożeniu środków technicznych i organizacyjnych wspiera Pana/Panią zewnętrzny usługodawca.
  • Inne metody lub przyjęte środki. Proszę je hasło opisać.

Następujące twierdzenia mają zastosowanie do bezpieczeństwa danych w Pani/ Pana przedsiębiorstwie:

I. Istnieją wytyczne dotyczące bezpieczeństwa danych, udostępnione przez kierownictwo.

☐ Tak ☐ Nie  ☐ Nie stosuje się

II. Aktywa, takie jak np. sprzęt (notebooki, serwery, telefony komórkowe, itd.), jak również oprogramowanie oraz inna infrastruktura techniczna jest zinwentaryzowana, a ich dopuszczalne wykorzystanie uregulowane.

☐ Tak ☐ Nie  ☐ Nie stosuje się

III. Istnieją dedykowane wytyczne dotyczące wykorzystania urządzeń mobilnych (notebooków, telefonów komórkowych, itd.).

☐ Tak ☐ Nie  ☐ Nie stosuje się

IV. Odpowiedzialność oraz role związane z bezpieczeństwem danych są jasno określone oraz udokumentowane w przedsiębiorstwie.

☐ Tak ☐ Nie  ☐ Nie stosuje się

V. Ustalono role oraz upoważnienia.

☐ Tak ☐ Nie  ☐ Nie stosuje się

VI. Istnieje procedura ochrony danych osobowych poprzez ich szyfrowanie a zarządzanie kluczami jest uregulowane oraz udokumentowane.

☐ Tak ☐ Nie  ☐ Nie stosuje się

VII. Ustanowiono procedurę/mechanizm usuwania oraz kopie zapasowe danych.

☐ Tak ☐ Nie  ☐ Nie stosuje się

VIII. Wprowadzono zarządzanie podatnościami.

☐ Tak ☐ Nie  ☐ Nie stosuje się

IX. Zdarzenia systemowe są protokołowane oraz nadzorowane.

☐ Tak ☐ Nie  ☐ Nie stosuje się

X. Poufność oraz integralność danych, które są przekazywane wewnątrz przedsiębiorstwa lub wymieniane z zewnętrznym podmiotem lub przygotowane do pobrania są zapewnione oraz istnieją odpowiednie wytyczne w tym zakresie.

☐ Tak ☐ Nie  ☐ Nie stosuje się

XI. Testy bezpieczeństwa informacji są regularnie przeprowadzane:

☐ Tak ☐ Nie  ☐ Nie stosuje się

XII. Współpracownicy są regularnie szkoleni oraz uwrażliwiani.

☐ Tak ☐ Nie  ☐ Nie stosuje się

  1. Ile dokonał/a Pani/ Pan zgłoszeń/ powiadomień o naruszeniach ochrony danych, zgodnie z art. 33 oraz 34 RODO, od jego wejścia w życie (20 lipca 2018 r. – ta data dotyczy naturalnie Liechtensteinu a nie Polski)?
  • Ilość: ………..
  • Żadnych
  1. Czy istnieje (udokumentowany) proces zgłaszania naruszeń ochrony danych do organu w terminie 72 godzin?
  • Tak
  • Nie
  1. Czy został powołany oraz zgłoszony organowi inspektor ochrony danych?
  • Data zgłoszenia:……..

Sposób zgłoszenia: formularz online, pismo, e-mail, inny

  • Nie
  1. Jakie są zadania Pani/ Pana Inspektora Ochrony Danych (można zaznaczyć więcej odpowiedzi)?
  • Doradzanie Kierownictwu;
  • Doradzenie wydziałom merytorycznym;
  • Uwrażliwianie współpracowników;
  • Przeprowadzanie audytów/kontroli wewnętrznych;
  • Odpowiadanie na/ wyjaśnianie skarg;
  • Odpowiedzi na pytania, dotyczące praw osób, których dane dotyczą;
  • Planowanie zadań wydziałów merytorycznych;
  • Dokonywanie zgłoszeń naruszeń ochrony danych (Art. 33 oraz 34 RODO);
  • Doradzanie w odniesieniu do Oceny Skutków dla Ochrony Danych (Art. 35 RODO);
  • Inne;
  • Nie powołaliśmy inspektora ochrony danych.
  1. W przypadku powołania inspektora ochrony danych, czy dostępne są sprawozdania z (dwóch) ostatnich audytów przeprowadzonych przez inspektora ochrony danych oraz czy posiadają one spójną metodologię?
  • Proszę załączyć kopie sprawozdania.
  • Nie
  1. Czy w przedsiębiorstwie istnieje podział kto jest za co odpowiedzialny w odniesieniu do ochrony danych (np. szkolenie pracowników, zgłaszanie naruszeń ochrony danych)?
  • Proszę przesłać kopię takiego schematu (o ile istnieje) lub opisać go hasłowo.
  • Nie
  1. Czy zapewnia Pani/ Pan, że przetwarzania, z przewidywanym wysokim ryzykiem dla praw oraz wolności osób są rozpoznawane i jest w odniesieniu do nich przeprowadzana ocena skutków dla ochrony danych?
  • Tak
  • Nie

 

Autor: Redakcja
Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter