Audyt zgodności z RODO
analiza ryzyka i DPIA
wzory dokumentacji RODO

Wzory dokumentacji RODO

Każdy z uczestników warsztatów: Audyt zgodności RODO, analiza ryzyka i DPIA otrzymuje wzory dokumentacji pozwalającej wykazać zgodność z RODO. Dokumentacja została przygotowana w oparciu o zalecenia Prezesa Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/138/273) i obejmuje swoim zakresem zarówno obszar formalny, jak i procedury zarządzania infrastrukturą informatyczną.

Poniżej przedstawiamy najważniejsze dokumenty, które otrzymują uczestnicy wraz ze wskazaniem celu ich prowadzenia.

Arkusz audytowy RODO
Stanowi gotowe narzędzie do przeprowadzenia audytu ochrony danych osobowych. Przejście przez listę kontrolną wymagań stawianych przez RODO pozwoli określić poziom zgodności organizacji z unijnymi przepisami. Na arkusz składają się 4 obszary, weryfikowane w trakcie audytu:

  1. przestrzeganie przepisów ogólnych i zasad dot. przetwarzania danych osobowych,
  2. realizacja praw osób, których dane dotyczą,
  3. status administratora danych, podmiotu przetwarzającego i inspektora ochrony danych oraz ciążące na nich obowiązki, w tym ogólne bezpieczeństwo przetwarzania, zgłaszanie naruszeń ochrony danych organowi nadzorczemu i osobie, której dane dotyczą,
  4. przekazywanie danych do państw trzecich,
Częścią arkusza jest również plan działań korygujących, które organizacja powinna podjąć w oparciu o ustalenia audytowe.

Arkusz oceny skutków dla ochrony danych (DPIA)
Formularz służący do sporządzenia analizy ryzyka i oceny skutków dla ochrony danych (DPIA) zgodnie z procedurą oraz metodyką przedstawioną podczas szkolenia i w oparciu o „Procedurę oceny skutków dla ochrony danych”.

Instrukcja zarządzania zasobami informatycznymi
Określa jednolite zasady zabezpieczeń technicznych i organizacyjnych danych osobowych w organizacji (zgodnie z wymaganiami art. 32 RODO). Zakres przedmiotowy procedury to:

  • procedura wykonywania przeglądów i konserwacji,
  • monitorowanie ryzyka wystąpienia awarii systemów informatycznych,
  • mechanizmy zapewniające ciągłość działania zasobów,
  • ogólne zasady nadawania uprawnień w systemach informatycznych,
  • nadawanie/odbieranie/modyfikacja uprawnień,
  • użytkowanie sprzętu komputerowego,
  • użytkowanie mobilnych nośników danych,
  • zasady korzystania z poczty elektronicznej,
  • zarządzanie dostępem zdalnym,
  • wymagania dotyczące bezpieczeństwa urządzeń mobilnych,
  • zasady telepracy,
  • bezpieczeństwo fizyczne i środowiskowe,
  • dobór i konfiguracja komponentów infrastruktury teleinformatycznej,
  • zakup lub rozwój systemów informatycznych,
  • bezpieczeństwo sieci,
  • weryfikacja mechanizmów kontrolnych, badanie podatności,
  • zasady zarządzania elektronicznymi kopiami danych osobowych,
  • ochrona przed szkodliwym oprogramowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy.

Lista kontrolna podstawowych funkcjonalności systemów informatycznych
Umożliwia weryfikację kluczowych - z punktu widzenia przetwarzania danych i realizacji praw osób, których dane dotyczą - funkcjonalności wykorzystywanych przez administratora danych (podmiot przetwarzający) przy przetwarzaniu danych, takich jak chociażby możliwości gradacji uprawnień czy konfiguracji polityki haseł.

Lista przykładowych procesów przetwarzania
Określenie procesów przetwarzania to punkt wyjścia wdrożenia i utrzymania systemu ochrony danych osobowych w organizacji. Termin „proces przetwarzania”, choć pozornie prosty (proces jest określany jako zbiór wzajemnie powiązanych czynności przetwarzania wykorzystywany do osiągnięcia przez organizację zamierzonego celu) nastręcza bardzo wielu problemów – wychodząc naprzeciw potrzebom, stworzyliśmy listę najczęściej występujących procesów przetwarzania, spośród których administrator może wybrać te, które faktycznie funkcjonują w jego organizacji.

Lista uczestników audytu
A raczej harmonogram audytu ochrony danych osobowych, w oparciu o który zaplanowane mogą zostać czynności audytowe.

Notatka z oględzin
Krótki protokół z obserwacji poczynionych w trakcie realizacji audytu systemu ochrony danych osobowych.

Plan audytu RODO
Opis działań oraz ustaleń organizacyjnych związanych z audytem, w tym kryteria audytu, skład zespołu audytowego, zakres audytu oraz sposób i zakres dokumentowania czynności.

Polityka ochrony danych osobowych
Podstawowy dokument systemu ochrony danych osobowych, definiujący kluczowe aspekty przetwarzania. W polityce znajdują się zapisy dot. zadań administratora danych, inspektora ochrony danych (IOD) oraz administratora systemów informatycznych. Opisane zostały również sposoby realizacji ciążących na administratorze danych obowiązków, takich jak prowadzenie rejestru czynności przetwarzania, dokonywanie sprawdzeń, upoważnianie pracowników czy podpisywanie umów powierzenia. Dokument ten opisuje również środki techniczne i organizacyjne stosowane do zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzanych danych osobowych. Polityka stanowi także centralny dokument, z którym powiązana jest cała dokumentacja ochrony danych.

Procedura oceny skutków przetwarzania dla ochrony danych (DPIA)
Dotyczy nałożonego na administratora obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA), o którym mowa w art. 35 RODO. Stanowi narzędzie z jednej strony umożliwiające identyfikację procesów przetwarzania, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych i tym samym wymagają DPIA, a z drugiej: wskazujące krok po kroku, jak DPIA przeprowadzić oraz jak określić role i odpowiedzialność za jej wykonanie.

Raport z audytu RODO
Wyniki audyty i ustalenia poczynione w „Arkuszu audytowym RODO” powinny znaleźć odzwierciedlenie w raporcie z audytu. Przygotowany projekt raportu uwzględnia takie informacje jak kwestie organizacyjne dot. przeprowadzonego audytu, wykaz czynności podjętych podczas w jego trakcie, stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych oraz planowane lub podjęte działania przywracające stan zgodny z prawem.

Skład Zespołu Wdrożeniowego

Wykaz oprogramowania wspierającego wdrożenie i utrzymanie RODO

Wyniki oceny skutków dla ochrony danych (DPIA)
Raport zawierający ustalenia dokonane w toku analizy ryzyka i oceny skutków dla ochrony danych, zidentyfikowane poziomy ryzyk związanych z przetwarzaniem danych osobowych, rekomendacje, a także plan postępowania z ryzykiem.

Zapraszamy na stronę oferty warsztatów:
Audyt zgodności RODO, analiza ryzyka i DPIA


Nasze szkolenia


Dla inspektorów (otwarte)

Dla pracowników (zamknięte)

Dla pracowników (e-learning)