Wzór 2. Plan sprawdzeń opracowany przez ABI
Plan sprawdzeń XXX Sp. z o.o.
______________________
(miejscowość, data)
Plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych
|
Imię i nazwisko administratora bezpieczeństwa informacji |
|
|
Okres objęty planem sprawdzeń |
|
|
Liczba sprawdzeń objętych planem |
|
Przedmiot i zakres sprawdzenia:
procesy zbierania i dalszego przetwarzania danych osobowych w obszarach działalności spółki, takich jak: zatrudnianie pracowników, marketing i sprzedaż produktów i usług, świadczenie usług na rzecz klientów, nawiązywanie współpracy z kontrahentami, IT, windykacja, rozpatrywanie reklamacji i skarg, prowadzenie bieżącego kontaktu, prowadzenie postępowań sądowych czy pozasądowych itd.;
weryfikacja zbiorów danych osobowych (w szczególności: zakres danych, cele przetwarzania danych w zbiorze, podmioty, którym powierzono przetwarzanie danych, aktualność wykazu zbiorów zawartego w polityce bezpieczeństwa);
weryfikacja systemów informatycznych służących do przetwarzania danych osobowych (sprawdzenie pod kątem wymogów dotyczących uwierzytelnienia i odnotowywania operacji dokonywanych na danych osobowych, możliwości sporządzenia i wydrukowania raportu o operacjach wykonanych na danych osobowych w systemie);
weryfikacja zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych (dalej: uodo) dotyczącymi: podstaw prawnych przetwarzania i spełniania obowiązku informacyjnego (art. 23–27 uodo), powierzania przetwarzania danych (art. 31 uodo), zabezpieczenia danych osobowych (art. 36 oraz 37–39 uodo), przekazywania danych do państw trzecich (art. 47–48 uodo), obowiązku zgłoszenia do GIODO zbiorów danych zawierających tzw. dane wrażliwe niepodlegające zwolnieniu z obowiązku rejestracji.
Termin przeprowadzenia sprawdzenia:
(data rozpoczęcia – data zakończenia)
Sposób i zakres dokumentowania sprawdzeń:
utrwalenie danych z systemu informatycznego służącego do przetwarzania danych osobowych lub dokonanie wydruku tych danych;
sporządzanie notatek z czynności dokonanych podczas sprawdzenia, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych;
odebranie wyjaśnień osoby, której czynności objęto sprawdzeniem;
sporządzenie kopii otrzymanego dokumentu;
sporządzenie kopii obrazu wyświetlonego na ekranie komputera użytkownika, tzw. zrzutu ekranu.