Strefa wiedzy

Najczęstsze nieprawidłowości wykryte w audytach ochrony danych osobowych – ODO

11.04.2016

Audyt ochrony danych osobowych ma na celu sprawdzenie czy proces przetwarzania danych osobowych w danej organizacji przebiega zgodnie z wymogami Ustawy o ochronie danych osobowych oraz czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają wymogi Rozporządzenia MSWiA.

Dokumentacja systemu ochrony danych osobowych

Podczas audytu sprawdzana jest dokumentacja systemu ochrony danych osobowych – Polityka Bezpieczeństwa Danych Osobowych oraz Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. W rzeczywistości często okazuje się, że dokumentacja taka nie istnieje w ogóle, natomiast ta, która jest, wymaga uzupełnienia.

Ponadto istotną kwestią jest również zweryfikowanie czy opisane w dokumentacji procedury zostały faktyczne wdrożenie. Zwykle przyczyną jest brak ich znajomości wśród pracowników.

Klauzule informacyjne i klauzule zgody

Ocenie zgodności z wymaganiami prawnymi poddawane są także stosowane podczas zbierania danych osobowych przez organizację klauzule informacyjne i klauzule zgody. W większości przypadków klauzule te wymagają zmiany lub uzupełnienia, bądź nie są w ogóle stosowane.

Rejestracja zbiorów w rejestrze GIODO/ABI

Kolejną nieprawidłowością, identyfikowaną podczas audytu, jest brak rejestracji zbiorów danych w rejestrze GIODO lub ABI (jeśli takowy jest w organizacji powołany). Ponadto zdarza się, iż zbiory, które nie podlegają rejestracji, jak np. zbiór danych pracowników, nie są opisywane w dokumentacji, a tym samym nie podlegają zabezpieczeniu.

Umowy powierzenia przetwarzania danych

Audyt niejednokrotnie wykazuje także brak zawartych umów powierzenia przetwarzania danych między organizacją audytowaną, a firmą zewnętrzną lub brak odpowiednich zapisów o powierzeniu w umowach z kontrahentami, np. w umowach outsoursingowych w obszarze HR czy księgowości.

Szkolenia z zakresu ochrony danych osobowych

Jednym ze słabych punktów audytowanych organizacji jest brak prowadzenia szkoleń z zakresu ochrony danych osobowych, co w rzeczywistości przekłada się na niewiedzę pracowników odnośnie właściwego postępowania z danymi osobowymi. W praktyce skutkuje to wyciekami danych lub dostępem do nich osób niepowołanych.

Zabezpieczenia danych osobowych

W trakcie audytu odnotowywane są również liczne przypadki uchybień w zakresie zabezpieczenia danych osobowych, zarówno od strony fizycznej, jak i organizacyjnej. Głównie dotyczą one:

  • niewłaściwego przechowywania dokumentów papierowych lub pozostawiania takich dokumentów w miejscu widocznym dla osób postronnych;
  • stosowania identyfikatorów użytkowników nieprzypisanych do jednej osoby,
  • brak procedury lub wymuszenia z poziomu systemu zmiany hasła co 30 dni;
  • braku upoważnień do przetwarzania danych dla pracowników;
  • braku mechanizmu szyfrującego dane użytkownika na stronach internetowych;
  • niekontrolowanego dostępu pracowników do baz danych.

Autor: Joanna Peryt

Łańcuch dostaw w praktyce

W ciągu ostatnich dziesięciu lat przeprowadzono wiele projektów dotyczących współpracy w ramach łańcucha dostaw. Takie działanie miało na celu przeanalizowanie,…

26.08.2019

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.