استانداردهامسئولیت‌های حرفه‌ای و مسئولیت حقوقی

چک لیست حسابرسی GDPR: راهنمای کامل انطباق (بر اساس گارتنر)

تصویر از مدیریت مدیریت ارسال به ایمیل آبان 21, 1404
0 7 زمان تقریبی مطالعه 4 دقیقه

مقدمه‌ای بر چک لیست حسابرسی GDPR

این چک لیست حسابرسی GDPR که توسط گارتنر تهیه شده است، به سازمان‌ها کمک می‌کند تا برای حسابرسی‌های داخلی و خارجی انطباق با مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) آماده شوند. پیروی از این چک‌لیست گام به گام، به شما اطمینان می‌دهد که تمامی جنبه‌های کلیدی این قانون مهم حریم خصوصی را پوشش داده‌اید.

دستورالعمل استفاده:

  • وضعیت تمام موارد چک‌لیست را تا رسیدن به انطباق کامل پیگیری کنید.
  • در صورت نیاز، از صفحه یادداشت‌ها برای ثبت نظرات در مورد پیشرفت کار استفاده کنید.
  • برای هر الزام، ماده مربوطه در GDPR برای ارجاع آسان ذکر شده است.

کلید وضعیت: FC = کاملاً منطبق | IP = در حال پیشرفت | NC = عدم انطباق | NA = غیر قابل اعمال

حاکمیت و پاسخگویی (Accountability Governance)

  • آیا یک خط‌مشی کلی حفاظت از داده‌ها را حفظ می‌کنید که انطباق با الزامات، از جمله پردازش، حریم خصوصی در طراحی (Privacy by Design) و نگهداری سوابق را نشان دهد؟ (ماده 5(2))
  • آیا تمام کارمندان را در مورد الزامات و اصول GDPR – از جمله فعالیت‌های پردازش، کنترل‌ها، ارزیابی‌های تأثیر حریم خصوصی، حسابرسی‌ها، حقوق سوژه داده، خطوط گزارش‌دهی و حریم خصوصی در طراحی – و تأثیر بالقوه عدم انطباق آموزش می‌دهید؟ (ماده 5(2))
  • آیا به طور منظم کارمندانی که با داده‌های شخصی سروکار دارند را در مورد درکشان از الزامات GDPR آزمایش، بازآموزی و سوابق آموزشی آن‌ها را نگهداری می‌کنید؟ (ماده 5(2))
  • اگر به یک مسئول حفاظت از داده (DPO) نیاز دارید، آیا او اختیار گزارش‌دهی به بالاترین سطح مدیریت، منابع لازم، استقلال و اختیار برای اطمینان از انطباق با GDPR و سایر قوانین حفاظت از داده را دارد؟ (ماده 7(1)، 38(1-4,6))
  • آیا DPO در خصوص انجام وظایف خود ملزم به رازداری یا محرمانگی است؟ (ماده 38(5))
  • اگر DPO مسئولیت‌های دیگری نیز دارد، آیا این مسئولیت‌ها برای جلوگیری از تضاد منافع ارزیابی شده‌اند؟ (ماده 38(6))
  • آیا DPO دانش و توانایی لازم برای انجام وظایف ذکر شده در ماده 39 را دارد؟ (ماده 37(5)، 39(1,2))
  • آیا اطلاعات تماس DPO را به صورت داخلی، عمومی و با مقامات نظارتی مربوطه به اشتراک گذاشته‌اید؟ (ماده 37(7))

اصول پردازش داده‌ها (Processing Principles)

  • آیا خط‌مشی‌های مدیریت سوابق و نگهداری داده‌ها را حفظ می‌کنید؟ (ماده 24(1,2,3))
  • آیا اصولی را برای توجیه دوره‌های نگهداری داده‌ها مستند کرده‌اید؟ (ماده 5(1))
  • آیا داده‌های شخصی به صورت قانونی، منصفانه و شفاف پردازش می‌شوند؟ (ماده 5(1)، 6(1,2,3,4))
  • آیا داده‌های شخصی برای اهداف مشخص، صریح و مشروع جمع‌آوری شده و به روشی مغایر با آن اهداف پردازش نمی‌شوند؟ (ماده 5(1))
  • آیا داده‌های شخصی مرتبط، محدود و به حداقل لازم برای اهداف پردازش، محدود شده‌اند؟ (ماده 5(1))
  • آیا داده‌های شخصی دقیق و به‌روز هستند و آیا هر اقدام معقولی برای اطمینان از حذف و اصلاح فوری داده‌های شخصی نادرست انجام می‌شود؟ (ماده 5(1))
  • آیا داده‌های شخصی فقط تا زمانی که برای اهداف پردازش ضروری است نگهداری می‌شوند؟ (ماده 5(1))
  • آیا داده‌های شخصی به گونه‌ای پردازش می‌شوند که امنیت مناسب آن‌ها، از جمله محافظت در برابر پردازش غیرمجاز یا غیرقانونی و از دست رفتن، تخریب یا آسیب تصادفی، با استفاده از اقدامات فنی یا سازمانی مناسب تضمین شود؟ (ماده 5(1))
  • آیا هدف(های) پردازش داده‌های شخصی را به وضوح مشخص، تفصیلی، مستند و به‌روز نگه داشته‌اید؟ (ماده 5(1))
  • آیا اقدامات فنی یا سازمانی مناسبی را برای تضمین امنیت داده‌های شخصی، از جمله محافظت در برابر پردازش غیرمجاز، از دست رفتن تصادفی، تخریب یا آسیب، اجرا کرده‌اید؟ (ماده 5(1)، 24(1,2))
  • اگر دسته‌های ویژه‌ای از داده‌های حساس را پردازش می‌کنید (مانند نژاد، عقاید سیاسی، باورهای مذهبی و غیره)، آیا با شرایط ماده 9(2) مطابقت دارید؟ (ماده 9(1,2))
  • اگر داده‌های شخصی مربوط به محکومیت‌های کیفری و جرایم را پردازش می‌کنید، آیا این کار تحت کنترل مقامات رسمی یا با مجوز قانون اتحادیه یا کشور عضو انجام می‌شود؟ (ماده 10)

حریم خصوصی در طراحی و به طور پیش‌فرض (Privacy by Design and Default)

  • آیا اطمینان حاصل می‌کنید که فرآیندهایی برای تعبیه حریم خصوصی در طراحی و به طور پیش‌فرض در پروژه‌ها وجود دارد، تا شامل اقداماتی برای تضمین حداقل‌سازی داده‌ها، نام مستعارسازی (pseudonymization)، رمزگذاری و پردازش تنها داده‌های شخصی ضروری برای اهداف مشخص باشد؟ (ماده 25(1,2)، 32(1,4))
  • آیا دسترسی به داده‌های شخصی را فقط به کارمندانی که داده‌ها را پردازش می‌کنند محدود می‌کنید؟ (ماده 24(1)، 25(1,2))
  • آیا سیستم‌ها و خدمات را به طور مکرر برای اطمینان از محرمانگی، یکپارچگی، در دسترس بودن و انعطاف‌پذیری مداوم، حسابرسی و آزمایش می‌کنید؟ (ماده 32(1))
  • آیا اطمینان حاصل می‌کنید که فرآیندها و سیستم‌ها در صورت وقوع حوادث فیزیکی یا فنی قابل بازیابی هستند؟ (ماده 32(1,2))
  • آیا فرآیندی برای آزمایش، ارزیابی و سنجش منظم اثربخشی اقدامات فنی و سازمانی برای تضمین امنیت پردازش دارید؟ (ماده 32(1))
  • آیا روش‌های ذخیره‌سازی و پردازش (مانند ویرایش) را برای نسخه‌های چاپی داده‌های شخصی به کار می‌برید؟ (ماده 24(1,2)، 25(1,2))
  • آیا رویه‌های مستند تخریب داده‌ها را برای اطلاعاتی که دیگر ضروری نیستند، در اختیار دارید و آیا اقداماتی را برای اطمینان از رعایت رویه‌ها توسط کارمندان انجام می‌دهید؟ (ماده 24(1,2)، 25(1,2))

این چک‌لیست بخش‌های دیگری از جمله ارزیابی تأثیر حفاظت از داده‌ها، سوابق پردازش، حقوق سوژه داده، رضایت و اطلاع‌رسانی‌ها، مدیریت نقض داده، پردازش‌کنندگان و انتقال داده‌ها را نیز پوشش می‌دهد که هر سازمان باید برای دستیابی به انطباق کامل با GDPR آن‌ها را به دقت بررسی و اجرا کند.

منبع: این محتوا ترجمه و اقتباسی از چک‌لیست حسابرسی GDPR گارتنر (Gartner GDPR Audit Checklist) است. © 2019 Gartner, Inc. and/or its affiliates.

برچسب ها
تصویر از مدیریت مدیریت ارسال به ایمیل آبان 21, 1404
0 7 زمان تقریبی مطالعه 4 دقیقه
نمایش بیشتر
تصویر از مدیریت

مدیریت

نوشته های مشابه

مدیریت ریسک عملیاتی: راهنمای جامع برای حاکمیت شرکتی

دی 11, 1404

راهنمای کامل منشور کمیته حسابرسی: وظایف و مسئولیت‌ها

دی 8, 1404

مدیریت ریسک سازمانی (ERM): راهنمای جامع ISO 31000 و COSO

دی 6, 1404

اصول راهنمای حاکمیت شرکتی: راهنمای جامع حسابرسان داخلی

دی 3, 1404

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا