Problemy kancelarii prawnych z ochroną danych osobowych

Generalny Inspektor Ochrony Danych Osobowych w okresie od września do grudnia 2016 r. przeprowadził kontrolę sektorową w wybranych dziesięciu kancelariach prawnych: dwóch prowadzonych przez adwokatów, sześciu przez radców prawnych oraz dwóch prowadzonych w formie spółki z ograniczoną odpowiedzialnością.

Co badano

Kontroli poddano dwie kwestie, tj.: jak kancelarie prawne zabezpieczają oraz udostępniają dane osobowe klientów.

Badano m.in.:

- w jaki sposób są zbierane i udostępniane dane osobowe;

- czy przetwarzanie danych osobowych jest powierzane innym podmiotom;

- czy zostały zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a zwłaszcza, czy dane zostały zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

- czy prowadzona jest dokumentacja dotycząca kwestii związanych z zabezpieczaniem danych osobowych;

- w jaki sposób realizowany jest obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;

- czy osobom dopuszczonym do przetwarzania danych osobowych nadane zostały stosowne upoważnienia oraz czy prowadzona jest ewidencja tych osób;

- czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają określone przepisami prawa wymogi.

Ustalenia kontrolerów GIODO

Jak podaje GIODO - przeprowadzone kontrole wykazały pewne nieprawidłowości w procesie przetwarzania danych osobowych.

Polegały one przede wszystkim na:

- nieodpowiednim zabezpieczeniu danych;

- braku niezbędnych elementów dokumentacji przetwarzania danych;

- niezawarciu stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych.

Jako przykładowe braki dotyczące polityki bezpieczeństwa wymienić można niezawarcie w niej takich elementów, jak: opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi czy sposób przepływu danych pomiędzy poszczególnymi systemami, a także nieuwzględnienie informacji o podmiocie, który serwisuje system informatyczny.

Inny przykład stwierdzonych nieprawidłowości to nietworzenie kopii zapasowych plików zawierających dane osobowe, które są przetwarzane na komputerach użytkowanych w kancelarii.