Przeprowadzona przez GIODO kontrola sektorowa w kancelariach prawnych wykazała pewne – typowe również dla innych administratorów – uchybienia związane z zabezpieczaniem danych osobowych

Generalny Inspektor Ochrony Danych Osobowych (GIODO) od września do grudnia 2016 r. przeprowadził kontrolę sektorową w wybranych dziesięciu kancelariach prawnych, w tym dwóch prowadzonych przez adwokatów, sześciu prowadzonych przez radców prawnych i dwóch prowadzonych w formie spółki z ograniczoną odpowiedzialnością.

Co badano

Kontroli poddano dwie zasadnicze kwestie – jak kancelarie prawne zabezpieczają oraz udostępniają dane osobowe klientów.

Badano więc m.in. to:

w jaki sposób są zbierane i udostępniane dane osobowe,

czy przetwarzanie danych osobowych jest powierzane innym podmiotom,

czy zostały zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a zwłaszcza, czy dane zostały zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,

czy prowadzona jest dokumentacja dotycząca kwestii związanych z zabezpieczaniem danych osobowych,w jaki sposób realizowany jest obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane

czy osobom dopuszczonym do przetwarzania danych osobowych nadane zostały stosowne upoważnienia

oraz

czy prowadzona jest ewidencja tych osób,czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają określone przepisami prawa wymogi.

Ustalenia kontrolerów GIODO

Przeprowadzone w kancelariach prawnych kontrole wykazały pewne nieprawidłowości w procesie przetwarzania danych osobowych. Polegały one przede wszystkim na nieodpowiednim zabezpieczeniu danych, braku niezbędnych elementów dokumentacji przetwarzania danych, a także na niezawarciu stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych.

Jako przykładowe braki dotyczące polityki bezpieczeństwa wymienić można niezawarcie w niej takich elementów, jak: opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi czy sposób przepływu danych pomiędzy poszczególnymi systemami, a także nieuwzględnienie informacji o podmiocie, który serwisuje system informatyczny.

Inny przykład stwierdzonych nieprawidłowości to nietworzenie kopii zapasowych plików zawierających dane osobowe, które są przetwarzane na komputerach użytkowanych w kancelarii.

Efekty

Większość stwierdzonych nieprawidłowości dotyczyła tylko pewnych elementów związanych z zabezpieczaniem danych, co powodowało, że można je było szybko wyeliminować, często jeszcze przed zakończeniem kontroli. Wobec tego wobec większości kontrolowanych podmiotów nie wszczęto postępowania administracyjnego. Objęto nim jedynie dwie kancelarie, które w tym czasie nie przywróciły stanu zgodnego z prawem. Postępowania te są jeszcze w toku.

LS

GIODO