Najczęstsze nieprawidłowości wykryte w audytach ochrony danych osobowych – ODO

11.04.2016

Audyt ochrony danych osobowych ma na celu sprawdzenie czy proces przetwarzania danych osobowych w danej organizacji przebiega zgodnie z wymogami Ustawy o ochronie danych osobowych oraz czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają wymogi Rozporządzenia MSWiA.

Dokumentacja systemu ochrony danych osobowych

Podczas audytu sprawdzana jest dokumentacja systemu ochrony danych osobowych – Polityka Bezpieczeństwa Danych Osobowych oraz Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. W rzeczywistości często okazuje się, że dokumentacja taka nie istnieje w ogóle, natomiast ta, która jest, wymaga uzupełnienia.

Ponadto istotną kwestią jest również zweryfikowanie czy opisane w dokumentacji procedury zostały faktyczne wdrożenie. Zwykle przyczyną jest brak ich znajomości wśród pracowników.

Klauzule informacyjne i klauzule zgody

Ocenie zgodności z wymaganiami prawnymi poddawane są także stosowane podczas zbierania danych osobowych przez organizację klauzule informacyjne i klauzule zgody. W większości przypadków klauzule te wymagają zmiany lub uzupełnienia, bądź nie są w ogóle stosowane.

Rejestracja zbiorów w rejestrze GIODO/ABI

Kolejną nieprawidłowością, identyfikowaną podczas audytu, jest brak rejestracji zbiorów danych w rejestrze GIODO lub ABI (jeśli takowy jest w organizacji powołany). Ponadto zdarza się, iż zbiory, które nie podlegają rejestracji, jak np. zbiór danych pracowników, nie są opisywane w dokumentacji, a tym samym nie podlegają zabezpieczeniu.

Umowy powierzenia przetwarzania danych

Audyt niejednokrotnie wykazuje także brak zawartych umów powierzenia przetwarzania danych między organizacją audytowaną, a firmą zewnętrzną lub brak odpowiednich zapisów o powierzeniu w umowach z kontrahentami, np. w umowach outsoursingowych w obszarze HR czy księgowości.

Szkolenia z zakresu ochrony danych osobowych

Jednym ze słabych punktów audytowanych organizacji jest brak prowadzenia szkoleń z zakresu ochrony danych osobowych, co w rzeczywistości przekłada się na niewiedzę pracowników odnośnie właściwego postępowania z danymi osobowymi. W praktyce skutkuje to wyciekami danych lub dostępem do nich osób niepowołanych.

Zabezpieczenia danych osobowych

W trakcie audytu odnotowywane są również liczne przypadki uchybień w zakresie zabezpieczenia danych osobowych, zarówno od strony fizycznej, jak i organizacyjnej. Głównie dotyczą one:

• niewłaściwego przechowywania dokumentów papierowych lub pozostawiania takich dokumentów w miejscu widocznym dla osób postronnych;
• stosowania identyfikatorów użytkowników nieprzypisanych do jednej osoby,
• brak procedury lub wymuszenia z poziomu systemu zmiany hasła co 30 dni;
• braku upoważnień do przetwarzania danych dla pracowników;
• braku mechanizmu szyfrującego dane użytkownika na stronach internetowych;
• niekontrolowanego dostępu pracowników do baz danych.

Autor: Joanna Peryt