Strefa wiedzy

Najczęstsze nieprawidłowości wykryte w audytach ochrony danych osobowych – ODO

11.04.2016

Audyt ochrony danych osobowych ma na celu sprawdzenie czy proces przetwarzania danych osobowych w danej organizacji przebiega zgodnie z wymogami Ustawy o ochronie danych osobowych oraz czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają wymogi Rozporządzenia MSWiA.

Dokumentacja systemu ochrony danych osobowych

Podczas audytu sprawdzana jest dokumentacja systemu ochrony danych osobowych – Polityka Bezpieczeństwa Danych Osobowych oraz Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. W rzeczywistości często okazuje się, że dokumentacja taka nie istnieje w ogóle, natomiast ta, która jest, wymaga uzupełnienia.

Ponadto istotną kwestią jest również zweryfikowanie czy opisane w dokumentacji procedury zostały faktyczne wdrożenie. Zwykle przyczyną jest brak ich znajomości wśród pracowników.

Klauzule informacyjne i klauzule zgody

Ocenie zgodności z wymaganiami prawnymi poddawane są także stosowane podczas zbierania danych osobowych przez organizację klauzule informacyjne i klauzule zgody. W większości przypadków klauzule te wymagają zmiany lub uzupełnienia, bądź nie są w ogóle stosowane.

Rejestracja zbiorów w rejestrze GIODO/ABI

Kolejną nieprawidłowością, identyfikowaną podczas audytu, jest brak rejestracji zbiorów danych w rejestrze GIODO lub ABI (jeśli takowy jest w organizacji powołany). Ponadto zdarza się, iż zbiory, które nie podlegają rejestracji, jak np. zbiór danych pracowników, nie są opisywane w dokumentacji, a tym samym nie podlegają zabezpieczeniu.

Umowy powierzenia przetwarzania danych

Audyt niejednokrotnie wykazuje także brak zawartych umów powierzenia przetwarzania danych między organizacją audytowaną, a firmą zewnętrzną lub brak odpowiednich zapisów o powierzeniu w umowach z kontrahentami, np. w umowach outsoursingowych w obszarze HR czy księgowości.

Szkolenia z zakresu ochrony danych osobowych

Jednym ze słabych punktów audytowanych organizacji jest brak prowadzenia szkoleń z zakresu ochrony danych osobowych, co w rzeczywistości przekłada się na niewiedzę pracowników odnośnie właściwego postępowania z danymi osobowymi. W praktyce skutkuje to wyciekami danych lub dostępem do nich osób niepowołanych.

Zabezpieczenia danych osobowych

W trakcie audytu odnotowywane są również liczne przypadki uchybień w zakresie zabezpieczenia danych osobowych, zarówno od strony fizycznej, jak i organizacyjnej. Głównie dotyczą one:

  • niewłaściwego przechowywania dokumentów papierowych lub pozostawiania takich dokumentów w miejscu widocznym dla osób postronnych;
  • stosowania identyfikatorów użytkowników nieprzypisanych do jednej osoby,
  • brak procedury lub wymuszenia z poziomu systemu zmiany hasła co 30 dni;
  • braku upoważnień do przetwarzania danych dla pracowników;
  • braku mechanizmu szyfrującego dane użytkownika na stronach internetowych;
  • niekontrolowanego dostępu pracowników do baz danych.

Autor: Joanna Peryt

Informacje o usługach Audytel S.A.

Bądź na bieżąco i wyraź zgodę na otrzymywanie informacji o naszych aktualnych działaniach.   Co zyskasz, jeśli zapiszesz się do…

10.09.2020

Zobacz więcej

Rynek data center w Polsce – czy COVID-19 będzie impulsem do przyspieszenia rozwoju?

Podaż powierzchni data center na polskim rynku osiągnęła na koniec 2019 r. poziom 94 tys. m2 co oznacza, że drugi…

12.05.2020

Zobacz więcej

Dobre praktyki przy tworzeniu bezpiecznego łańcucha dostaw zgodnie z ISO 28000:2007

Łańcuch dostaw obecnie można zdefiniować jako „łańcuch wyzwań” związanych z rosnącymi kosztami, niedoborem kapitału ludzkiego, presją na skracanie czasów dostaw,…

15.01.2020

Zobacz więcej

Łańcuch dostaw w praktyce

W ciągu ostatnich dziesięciu lat przeprowadzono wiele projektów dotyczących współpracy w ramach łańcucha dostaw. Takie działanie miało na celu przeanalizowanie,…

26.08.2019

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.