Kancelarie prawne mają problemy z ochroną danych osobowych
Autor: Wioleta Szczygielska
Nieodpowiednie zabezpieczanie danych osobowych klientów, braki w dokumentacji ochrony danych osobowych i niezawieranie umów powierzenia przetwarzania danych – to najważniejsze uchybienia, jakie wykrył GIODO podczas kontroli w kancelariach prawnych.
Generalny Inspektor Ochrony Danych Osobowych od września do grudnia 2016 roku przeprowadził kontrolę sektorową w wybranych dziesięciu kancelariach prawnych. GIODO badał dwie zasadnicze kwestie – jak kancelarie prawne zabezpieczają oraz udostępniają dane osobowe klientów.
Przeprowadzone w kancelariach prawnych kontrole wykazały nieprawidłowości w procesie przetwarzania danych osobowych. Polegały one przede wszystkim na:
- nieodpowiednim zabezpieczeniu danych,
- braku niezbędnych elementów dokumentacji przetwarzania danych, a także na
- niezawarciu stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych.
Jako przykładowe braki dotyczące polityki bezpieczeństwa organ nadzorczy wymienia brak w niej takich elementów, jak: opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi czy sposób przepływu danych pomiędzy poszczególnymi systemami, a także nieuwzględnienie informacji o podmiocie, który serwisuje system informatyczny.
Inny przykład stwierdzonych nieprawidłowości to nietworzenie kopii zapasowych plików zawierających dane osobowe, które są przetwarzane na komputerach użytkowanych w kancelarii czy niezabezpieczenie danych osobowych przesyłanych w plikach w formacie DOC i PDF za pośrednictwem skrzynki poczty elektronicznej przed ich udostępnieniem osobom nieupoważnionym.
Jedna kancelaria nie zawarła z podmiotem, na serwerach którego utrzymywana jest poczta elektroniczna kancelarii, umowy powierzenia przetwarzania danych osobowych. Inna nie podpisała takiej umowy z podmiotem serwisującym system informatyczny.
W jednej kancelarii dysk sieciowy zawierający dane osobowe klientów nie był zabezpieczony przed dostępem osób nieupoważnionych oraz przed zabraniem przez osobę nieuprawnioną – znajdował się w niezamykanej na klucz szafie ustawionej w korytarzu, w którym przebywają osoby postronne.
Większość stwierdzonych nieprawidłowości dotyczyła tylko pewnych elementów związanych z zabezpieczaniem danych, co powodowało, że można je było szybko wyeliminować, często jeszcze przed zakończeniem kontroli. Wobec tego wobec większości kontrolowanych podmiotów nie wszczęto postępowania administracyjnego. Objęto nim jedynie dwie kancelarie, które w tym czasie nie przywróciły stanu zgodnego z prawem. Postępowania te są jeszcze w toku.
Tagi: ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
