Zlecenie 8048475 - Przeprowadzenie usługi trzech audytów wraz ze...

sz Pomerania Sp. z o.o. powierzył dane osobowe na podstawie zawartej umowy powierzenia. Podmiotami audytowanymi będą:
1. firma świadcząca usługi księgowe dla Funduszu Pomerania Sp. z o.o. w zakresie: prowadzenia spraw ogólno-podatkowych oraz ksiąg rachunkowych,
2. firma świadcząca usługi kadrowo-płacowe dla Funduszu Pomerania Sp. z o.o. w zakresie: obsługa spółki w obszarze kadrowo-płacowym,
3. Firma świadcząca usługi informatyczne dla Funduszu Pomerania Sp. z o.o. w zakresie: serwisu technicznego systemu informatycznego spółki;
Zakres przeprowadzanego audytu:
Podmiot przetwarzający udostępnia administratorowi informacje niezbędne do wykazania spełnienia obowiązków wynikających z przepisu art. 28 ust. 2, 3 oraz 4 RODO. Sprawdzeniu podlegają następujące informacje:
1. Czy podmiot przetwarzający korzysta z podwykonawców (subprocesorów) przetwarzających dane powierzone przez administratora na zasadach określonych pomiędzy stronami oraz zgodnie z art. 28 ust. 2 i 4.? Czy umowy podpisywane z podwykonawcami w sposób odpowiedni regulują kwestie związane z przetwarzaniem danych powierzonych przez administratora?
2. Czy podmiot przetwarzający wdrożył odpowiednie środki techniczne i organizacyjne, które umożliwiają procesorowi wsparcie administratora w odpowiadaniu na żądania osób, których dane dotyczą, w zakresie realizacji ich praw wynikających z RODO?
3. Czy osoby biorące udział przy przetwarzaniu zostały zobowiązane do zachowania tajemnicy?
4. Czy podmiot przetwarzający nadaje upoważnienia do przetwarzania danych osobowych?
5. Czy podmiot przetwarzający prowadzi dokumentację ochrony danych osobowych?
6. Czy podmiot przetwarzający wdrożył mechanizmy/procedury, umożliwiające bezzwłoczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
7. Czy dane nie są przekazywane przez podmiot przetwarzający do państw trzecich?
8. Czy pracownicy zostali odpowiednio przeszkoleni w zakresie realizacji przepisów o ochronie danych osobowych?
9. Czy podmiot przetwarzający prowadzi rejestry: kategorii czynności przetwarzania (RKCP) i czynności przetwarzania (RCP)?
10. Czy podmiot przetwarzający w prawidłowy sposób - w imieniu ADO- realizuje obowiązki informacyjne i prawa osób, których dane są przetwarzane?
11. Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń /obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych oraz odpowiednie zabezpieczenia systemu IT?
12. Czy podmiot przetwarzający powołał inspektora ochrony danych? Jeżeli nie to czy w kontrolowanym podmiocie w ogóle jest osoba, która odpowiada za procesy przetwarzania danych osobowych?