Strefa wiedzy

Najczęstsze nieprawidłowości wykryte w audytach ODO

11.04.2016

Audyt ochrony danych osobowych ma na celu sprawdzenie czy proces przetwarzania danych osobowych w danej organizacji przebiega zgodnie z wymogami Ustawy o ochronie danych osobowych oraz czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają wymogi Rozporządzenia MSWiA.

Dokumentacja systemu ochrony danych osobowych

Podczas audytu sprawdzana jest dokumentacja systemu ochrony danych osobowych – Polityka Bezpieczeństwa Danych Osobowych oraz Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych. W rzeczywistości często okazuje się, że dokumentacja taka nie istnieje w ogóle, natomiast ta, która jest, wymaga uzupełnienia.

Ponadto istotną kwestią jest również zweryfikowanie czy opisane w dokumentacji procedury zostały faktyczne wdrożenie. Zwykle przyczyną jest brak ich znajomości wśród pracowników.

Klauzule informacyjne i klauzule zgody

Ocenie zgodności z wymaganiami prawnymi poddawane są także stosowane podczas zbierania danych osobowych przez organizację klauzule informacyjne i klauzule zgody. W większości przypadków klauzule te wymagają zmiany lub uzupełnienia, bądź nie są w ogóle stosowane.

Rejestracja zbiorów w rejestrze GIODO/ABI

Kolejną nieprawidłowością, identyfikowaną podczas audytu, jest brak rejestracji zbiorów danych w rejestrze GIODO lub ABI (jeśli takowy jest w organizacji powołany). Ponadto zdarza się, iż zbiory, które nie podlegają rejestracji, jak np. zbiór danych pracowników, nie są opisywane w dokumentacji, a tym samym nie podlegają zabezpieczeniu.

Umowy powierzenia przetwarzania danych

Audyt niejednokrotnie wykazuje także brak zawartych umów powierzenia przetwarzania danych między organizacją audytowaną, a firmą zewnętrzną lub brak odpowiednich zapisów o powierzeniu w umowach z kontrahentami, np. w umowach outsoursingowych w obszarze HR czy księgowości.

Szkolenia z zakresu ochrony danych osobowych

Jednym ze słabych punktów audytowanych organizacji jest brak prowadzenia szkoleń z zakresu ochrony danych osobowych, co w rzeczywistości przekłada się na niewiedzę pracowników odnośnie właściwego postępowania z danymi osobowymi. W praktyce skutkuje to wyciekami danych lub dostępem do nich osób niepowołanych.

Zabezpieczenia danych osobowych

W trakcie audytu odnotowywane są również liczne przypadki uchybień w zakresie zabezpieczenia danych osobowych, zarówno od strony fizycznej, jak i organizacyjnej. Głównie dotyczą one:

  • niewłaściwego przechowywania dokumentów papierowych lub pozostawiania takich dokumentów w miejscu widocznym dla osób postronnych;
  • stosowania identyfikatorów użytkowników nieprzypisanych do jednej osoby,
  • brak procedury lub wymuszenia z poziomu systemu zmiany hasła co 30 dni;
  • braku upoważnień do przetwarzania danych dla pracowników;
  • braku mechanizmu szyfrującego dane użytkownika na stronach internetowych;
  • niekontrolowanego dostępu pracowników do baz danych.

Autor: Joanna Peryt

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.