Blog


  • Sprawozdanie GIODO za 2010 rok

    Roczne sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych stanowiły zawsze bardzo ciekawe źródło wiedzy dla osób zajmujących się ochroną danych. Nie inaczej jest w wypadku sprawozdania za rok 2010 (dostępne pod adresem – http://www.giodo.gov.pl/1520113/j/pl/). Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO i w związku z jakimi problemami Generalny Inspektor kierował wystąpienia. Sprawozdanie zawiera informacje, z czym mieli najczęściej problemy Administratorzy danych skontrolowani przez GIODO.

    Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2010 rok:

    • Niespełnianie przez systemy służące do przetwarzania danych wymogów określonych w §7 rozporządzenia.
    • Nieodnotowywanie przekazywania dokumentów pomiędzy jednostkami organizacyjnymi Administratora danych.
    • Nieodnotowywanie wynoszenia dokumentów poza obszar przetwarzania.
    • Brak rejestru pobierania i zdawania kluczy do pomieszczeń.
    • Brak szyfrowania danych przesyłanych w sieci publicznej.
    • Nieprzestrzeganie zasady ograniczenia czasowego.
    • Niestosowanie haseł o wymaganej złożoności oraz niezmienianie haseł z wymaganą częstotliwością.
    • Ustawienie monitorów umożliwiające zapoznanie się danymi przez osoby nieupoważnione.
    • Przesyłanie niezaszyfrowanych danych pocztą elektroniczną.
    • Niekompletna dokumentacja.
    • Brak procedur przechowywania danych archiwalnych.
    • Niewyznaczenie ABI.
    • Dopuszczenie do przetwarzania danych osób nieupoważnionych.
    • Brak umów powierzenia.
    • Brak opisów struktur zbiorów i przepływu danych pomiędzy systemami.
    • Brak swobody wyrażenia zgody na przetwarzanie danych – zgody zawierające różne cele, niewskazanie celu.
    • Pozyskiwanie zgody na marketing własnych produktów.
    • Niedopełnienie obowiązku informacyjnego.
    • Niezarejestrowanie zbioru.
    • Niedołożenie szczególnej staranności, a w szczególności niezapewnienie, aby dane były przetwarzane zgodnie z prawem – przetwarzanie danych w szerszym zakresie niż to wynika z przepisów prawa.
    • Stosowanie procedur zgodnie z którymi hasła są znane osobom innym niż użytkownicy.
    • Zatrzymywanie dowodów i legitymacji jako zastawu.
    • Przesyłanie przez bank karty kredytowej, bez zawarcia umowy o kartę kredytową.
    • Nieprzestrzeganie trzydziestodniowego terminu udzielenia informacji wynikających z obowiązku informacyjnego.
    • Publikowanie danych osobowych na stronie internetowej parafii.
    • Stosowanie monitoringu w sposób naruszający prywatność osób.
    • Naruszenie prywatności w trakcie programu „Uwaga Pirat”.
    • Zatrzymanie przez izbę wytrzeźwień, telefonu komórkowego z kartą pamięci jako zastawu.
    • Wymaganie zgody na przetwarzanie danych osobowych w wypadkach, gdy dane są przetwarzane w celu realizacji obowiązku wynikającego z przepisów prawa.
    • Naruszenie prywatności polegające na głośnym podawaniu danych osobowych w rejestracji przychodni.
    • Przesyłanie ofert do osób, których dane zostały zebrane w innym celu.
    • Wykraczający poza określony w ustawie, zakres danych zbieranych przez przedszkola na podstawie uchwał rady gminy.
    • Udostępnianie przez pracodawców, danych pracowników związkom zawodowym.
    • Naruszanie prywatności, przez instalowanie na osiedlach mieszkaniowych kamer.
    • Udostępnianie danych zgromadzonych na komputerze firmie serwisowej.

     

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*