Wnioski GIODO po kontrolach w kancelariach prawnych

Dodano: 23 maja 2017
Wnioski GIODO po kontrolach w kancelariach prawnych

Generalny Inspektor Ochrony Danych Osobowych przeprowadził kontrole sektorowe w kanelariach prawnych. Główne zarzuty to nieodpowiednie zabezpieczenie danych, brak niezbędnych elementów dokumentacji przetwarzania danych, a także niezawieranie stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych (GIODO) od września do grudnia 2016 roku przeprowadził kontrolę sektorową w wybranych dziesięciu kancelariach prawnych. Dwie z nich były prowadzone przez adwokatów, sześć przez radców prawnych i dwie prowadzone w formie spółki z ograniczoną odpowiedzialnością.

Jakie kwestie sprawdzał GIODO

Generalny Inspektor Ochrony Danych Osobowych badał dwie zasadnicze kwestie – jak kancelarie prawne zabezpieczają oraz udostępniają dane osobowe klientów.mOrgan nadzorczy sprawdzał więc więc m.in.:

  • w jaki sposób są zbierane i udostępniane dane osobowe,
  • czy przetwarzanie danych osobowych jest powierzane innym podmiotom,
  • czy zostały zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a zwłaszcza, czy dane zostały zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
  • czy prowadzona jest dokumentacja dotycząca kwestii związanych z zabezpieczaniem danych osobowych,
  • w jaki sposób realizowany jest obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
  • czy osobom dopuszczonym do przetwarzania danych osobowych nadane zostały stosowne upoważnienia oraz czy prowadzona jest ewidencja tych osób,
  • czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają określone przepisami prawa wymogi.

Co ustalili kontrolerzy GIODO

Przeprowadzone w kancelariach prawnych kontrole wykazały pewne nieprawidłowości w procesie przetwarzania danych osobowych. Polegały one przede wszystkim na:

  • nieodpowiednim zabezpieczeniu danych,
  • braku niezbędnych elementów dokumentacji przetwarzania danych, a także na
  • niezawarciu stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych.

Jako przykładowe braki dotyczące polityki bezpieczeństwa organ nadzorczy wymienia brak w niej takich elementów, jak: opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi czy sposób przepływu danych pomiędzy poszczególnymi systemami, a także nieuwzględnienie informacji o podmiocie, który serwisuje system informatyczny.

Inny przykład stwierdzonych nieprawidłowości to nietworzenie kopii zapasowych plików zawierających dane osobowe, które są przetwarzane na komputerach użytkowanych w kancelarii czy niezabezpieczenie danych osobowych przesyłanych w plikach w formacie DOC i PDF zapośrednictwem skrzynki poczty elektronicznej przed ich udostępnieniem osobom nieupoważnionym.

Jedna kancelaria nie zawarła z podmiotem, na serwerach którego utrzymywana jest poczta elektroniczna kancelarii, umowy powierzenia przetwarzania danych osobowych. Inna nie podpisała takiej umowy z podmiotem serwisującym system informatyczny.

W jednej kancelarii dysk sieciowy zawierający dane osobowe klientów nie był zabezpieczony przed dostępem osób nieupoważnionych oraz przed zabraniem przez osobę nieuprawnioną  – znajdował się w niezamykanej na klucz szafie ustawionej w korytarzu, w którym przebywają osoby postronne.

Postępowania administracyjne tylko wobec dwóch kancelarii

Większość stwierdzonych nieprawidłowości dotyczyła tylko pewnych elementów związanych z zabezpieczaniem danych, co powodowało, że można je było szybko wyeliminować, często jeszcze przed zakończeniem kontroli.

Wobec tego wobec większości kontrolowanych podmiotów nie wszczęto postępowania administracyjnego. Objęto nim jedynie dwie kancelarie, które w tym czasie nie przywróciły stanu zgodnego z prawem. Postępowania te są jeszcze w toku.

Źródło:

GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel