Dokument do samooceny wdrożenia RODO organu z Liechtensteinu

Na stronie internetowej Organu Ochrony Danych Księstwa Liechtenstein, pojawił się ciekawy dokument, służący do samo-ewaluacji w obszarze ochrony danych, który w języku niemieckim jest dostępny: tutaj.

Zawiera on kilkanaście pytań i według informacji podanej przez organ został wysłany do różnych przedsiębiorstw, w ramach pełnionej przez niego funkcji nadzorczej.  Teraz organ zdecydował się opublikować ten dokument dla wszystkich, aby mogli oni dokonać samooceny w zakresie ochrony danych oraz mogli zidentyfikować ewentualne braki w tym zakresie. Poniżej znajduje się tłumaczenie praktycznie całego dokumentu (bez pewnych elementów, które były ewidentnie skierowane do audytowanych przedsiębiorstw z Liechtensteinu. Pozostawiono natomiast sformułowania takie jak: „proszę przekazać nam treść obowiązku informacyjnego” – po to aby podkreślić konieczność ich sprawdzenia, gdyby ktoś zdecydował się dokonać samooceny na podstawie poniższych pytań).

 Ankieta dotycząca wdrożenia RODO

1. W oparciu o którą podstawę prawną przetwarza Pani/Pan dane osobowe (możliwe jest wybranie kilku odpowiedzi)?

• 6 ust. 1 lit. a) RODO – zgoda

Jeżeli tak, prosimy o przekazanie wzoru oświadczenia zgody wykorzystywanego przez Panią/ Pana.

• 6 ust. 1 lit. b) RODO – wykonanie umowy

Jeżeli tak, proszę wymienić rodzaje umów, które w Państwa przypadku stanowią podstawę prawną (np. umowa o pracę, umowa najmu).

• 6 ust. 1 lit. c) RODO – wypełnienie obowiązku prawnego

Proszę wymienić obowiązki prawne, na których opiera Pani/Pan przetwarzanie.

• 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy

Proszę uzasadnić na czym konkretnie polegają te interesy oraz jakie operacje przetwarzania nimi Pani/Pan uzasadnia.

• Inne podstawy prawne (np. art. 9 ust. 2 RODO)

2. W jaki sposób spełniany jest obowiązek informacyjny, zgodnie z art. 13 RODO
   w Pani/Pana przedsiębiorstwie?

Proszę opisać sposób realizacji oraz przekazać wykorzystywaną przez Panią/Pana treść obowiązku wraz z oświadczeniem dot. ochrony danych na Pani/Pana stronie internetowej.

3. Czy w Pani/ Pana przedsiębiorstwie istnieje udokumentowany proces postępowania
   w odniesieniu do praw osób, których dane dotyczą, o których mowa w art. 12 do 22 RODO?

• Proszę go hasłowo opisać.
• Nie

4. Czy zapewnia Pani/ Pan, że przy zmianie lub rozwoju nowych produktów lub usług wymogi ochrony danych są uwzględniane od początku, zgodnie z art. 25 RODO?

• Proszę hasłowo opisać procedurę.
• Nie

5. Czy w Pani/ Pana przedsiębiorstwie dane są powierzane podmiotowi przetwarzającemu?

• Proszę wymienić kategorie wykorzystywanych podmiotów przetwarzających (np. usługi IT, biuro księgowe).

Proszę przesłać nam przykładową kopię umowy powierzenia!

• Nie

6. Czy ustawił/a Pani/ Pan pełny rejestr czynności przetwarzania, zgodnie z art. 30 RODO?

• Proszę nam przesłać kopię swojego rejestru przetwarzania!
• Nie

7. W jaki sposób zapewnia Pan/ Pani, że zostały przyjęte odpowiednie środki techniczne oraz organizacyjne, w celu zapewnienia w szczególności dostępności, poufności, integralności oraz odporności danych, zgodnie z art. 32 RODO (Bezpieczeństwo przetwarzania)?

(można zaznaczyć wiele odpowiedzi)

• Kieruje się Pani/ Pan uznanymi standardami czy normami, jak np. zestaw standardów ISO/IEC 27000.

Proszę wymienić konkretny standard, względnie normę.

• Może się Pani/ Pan wykazać certyfikacją w obszarze bezpieczeństwa danych lub informacji.

Proszę wymienić certyfikację.

• W zaplanowaniu oraz wdrożeniu środków technicznych i organizacyjnych wspiera Pana/Panią zewnętrzny usługodawca.
• Inne metody lub przyjęte środki. Proszę je hasło opisać.

Następujące twierdzenia mają zastosowanie do bezpieczeństwa danych w Pani/ Pana przedsiębiorstwie:

I. Istnieją wytyczne dotyczące bezpieczeństwa danych, udostępnione przez kierownictwo.

☐ Tak ☐ Nie  ☐ Nie stosuje się

II. Aktywa, takie jak np. sprzęt (notebooki, serwery, telefony komórkowe, itd.), jak również oprogramowanie oraz inna infrastruktura techniczna jest zinwentaryzowana, a ich dopuszczalne wykorzystanie uregulowane.

☐ Tak ☐ Nie  ☐ Nie stosuje się

III. Istnieją dedykowane wytyczne dotyczące wykorzystania urządzeń mobilnych (notebooków, telefonów komórkowych, itd.).

☐ Tak ☐ Nie  ☐ Nie stosuje się

IV. Odpowiedzialność oraz role związane z bezpieczeństwem danych są jasno określone oraz udokumentowane w przedsiębiorstwie.

☐ Tak ☐ Nie  ☐ Nie stosuje się

V. Ustalono role oraz upoważnienia.

☐ Tak ☐ Nie  ☐ Nie stosuje się

VI. Istnieje procedura ochrony danych osobowych poprzez ich szyfrowanie a zarządzanie kluczami jest uregulowane oraz udokumentowane.

☐ Tak ☐ Nie  ☐ Nie stosuje się

VII. Ustanowiono procedurę/mechanizm usuwania oraz kopie zapasowe danych.

☐ Tak ☐ Nie  ☐ Nie stosuje się

VIII. Wprowadzono zarządzanie podatnościami.

☐ Tak ☐ Nie  ☐ Nie stosuje się

IX. Zdarzenia systemowe są protokołowane oraz nadzorowane.

☐ Tak ☐ Nie  ☐ Nie stosuje się

X. Poufność oraz integralność danych, które są przekazywane wewnątrz przedsiębiorstwa lub wymieniane z zewnętrznym podmiotem lub przygotowane do pobrania są zapewnione oraz istnieją odpowiednie wytyczne w tym zakresie.

☐ Tak ☐ Nie  ☐ Nie stosuje się

XI. Testy bezpieczeństwa informacji są regularnie przeprowadzane:

☐ Tak ☐ Nie  ☐ Nie stosuje się

XII. Współpracownicy są regularnie szkoleni oraz uwrażliwiani.

☐ Tak ☐ Nie  ☐ Nie stosuje się

8. Ile dokonał/a Pani/ Pan zgłoszeń/ powiadomień o naruszeniach ochrony danych, zgodnie z art. 33 oraz 34 RODO, od jego wejścia w życie (20 lipca 2018 r. – ta data dotyczy naturalnie Liechtensteinu a nie Polski)?

• Ilość: ………..
• Żadnych

9. Czy istnieje (udokumentowany) proces zgłaszania naruszeń ochrony danych do organu w terminie 72 godzin?

• Tak
• Nie

10. Czy został powołany oraz zgłoszony organowi inspektor ochrony danych?

• Data zgłoszenia:……..

Sposób zgłoszenia: formularz online, pismo, e-mail, inny

• Nie

11. Jakie są zadania Pani/ Pana Inspektora Ochrony Danych (można zaznaczyć więcej odpowiedzi)?

• Doradzanie Kierownictwu;
• Doradzenie wydziałom merytorycznym;
• Uwrażliwianie współpracowników;
• Przeprowadzanie audytów/kontroli wewnętrznych;
• Odpowiadanie na/ wyjaśnianie skarg;
• Odpowiedzi na pytania, dotyczące praw osób, których dane dotyczą;
• Planowanie zadań wydziałów merytorycznych;
• Dokonywanie zgłoszeń naruszeń ochrony danych (Art. 33 oraz 34 RODO);
• Doradzanie w odniesieniu do Oceny Skutków dla Ochrony Danych (Art. 35 RODO);
• Inne;
• Nie powołaliśmy inspektora ochrony danych.

12. W przypadku powołania inspektora ochrony danych, czy dostępne są sprawozdania z (dwóch) ostatnich audytów przeprowadzonych przez inspektora ochrony danych oraz czy posiadają one spójną metodologię?

• Proszę załączyć kopie sprawozdania.
• Nie

13. Czy w przedsiębiorstwie istnieje podział kto jest za co odpowiedzialny w odniesieniu do ochrony danych (np. szkolenie pracowników, zgłaszanie naruszeń ochrony danych)?

• Proszę przesłać kopię takiego schematu (o ile istnieje) lub opisać go hasłowo.
• Nie

14. Czy zapewnia Pani/ Pan, że przetwarzania, z przewidywanym wysokim ryzykiem dla praw oraz wolności osób są rozpoznawane i jest w odniesieniu do nich przeprowadzana ocena skutków dla ochrony danych?

• Tak
• Nie