Audyt procesora

LISTA KONTROLNA – ANKIETA DLA PODMIOTU PRZETWARZAJĄCEGO

Czy osobom delegowanym do przetwarzania powierzonych danych osobowych nadano upoważnienia do przetwarzania danych osobowych?

Czy i w jaki sposób podmiot przetwarzający zapewnia kontrolę nad tym, jakie dane osobowe, kiedy, przez kogo oraz komu są przekazywane?

Czy podmiot przetwarzający prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych?

Czy osoby mające dostęp do danych osobowych zostały zobowiązane do zachowania danych w tajemnicy?

Czy przeprowadzane są szkolenia z zakresu ochrony danych osobowych? Proszę podać datę ostatniego szkolenia.

Czy podmiot przetwarzający posiada wdrożoną Politykę ochrony danych osobowych?

Czy podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora (rejestr, o którym mowa w art. 30 ust. 2 RODO)?

Czy podmiot przetwarzający posiada wdrożoną procedurę realizacji praw osób, których dane dotyczą?

Czy podmiot przetwarzający posiada wdrożoną procedurę postępowania w przypadku naruszenia ochrony danych osobowych?

Czy jest prowadzony jest rejestr naruszeń ochrony danych osobowych? W jaki sposób podmiot przetwarzający wybiera subprocesorów – podmioty, którym chciałby podpowierzyć przetwarzanie danych osobowych – i jak weryfikowane są te podmioty?

Czy jest prowadzony rejestr umów powierzenia przetwarzania danych osobowych? Proszę wskazać podmioty, którym podmiot przetwarzający podpowierza przetwarzanie danych osobowych, których administratorem jest „…”. Czy dane osobowe, których administratorem jest „…” są przekazywane poza Europejski Obszar Gospodarczy?

W jaki sposób, w jakiej formie przesyłane są pliki zawierające dane osobowe?

Czy na wszystkich stacjach zainstalowane jest oprogramowanie antywirusowe? Czy jest ono automatycznie aktualizowane?

Czy jest stosowany firewall?

Czy jest stosowana polityka dot. wykonywania kopii zapasowych? Gdzie są przechowywane? Jaka jest częstotliwość wykonywania kopii zapasowych? Czy kopia zapasowa jest weryfikowana? Czy wykonywane są cykliczne próby jej odtworzenia?

Czy stosowana jest pseudonimizacja i szyfrowanie danych osobowych?

Czy stosowana jest tzw. Polityka czystego biurka i Polityka czystego ekranu?

Czy pracownicy zostali zobowiązani do wygaszania ekranu lub wylogowania się z systemu, gdy opuszczają stanowisko pracy?

Czy jest jakaś polityka co do tego po jakim czasie braku aktywności na komputerze służbowym powinno następować automatyczne wygaszanie się ekranów w organizacji?

Proszę wymienić środki techniczne i organizacyjne aktualnie stosowane przez podmiot przetwarzający celem zapewnienia ochrony danych osobowych.

Czy środki techniczne i organizacyjne poddawane są przeglądom i uaktualnieniom?

Czy podmiot przetwarzający wyznaczył Inspektora Ochrony Danych (IOD) lub osobę odpowiedzialną za kwestie związane z ochroną danych osobowych w organizacji? W sytuacji braku wyznaczenia Inspektora Ochrony Danych: czy podmiot przetwarzający dokonał analizy obowiązku wyznaczenia Inspektora Ochrony Danych w organizacji?

Czy w organizacji przeprowadzany był audyt  z zakresu ochrony danych osobowych? Proszę podać datę ostatniego audytu.

Czy podmiot przetwarzający stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 Rozporządzenia lub zatwierdzony mechanizm certyfikacji, o którym mowa w art. 42 Rozporządzenia?

Czy stosowane są urządzenia mobilne i czy zastosowano w nich systemy zabezpieczające dane osobowe – np. zdalne blokowanie w przypadku zagubienia, hasło, oprogramowanie antywirusowe?

Czy podmiot przetwarzający prowadzi ocenę skutków dla ochrony danych?