Roczne sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych stanowiły zawsze bardzo ciekawe źródło wiedzy dla osób zajmujących się ochroną danych. Nie inaczej jest w wypadku sprawozdania za rok 2010 (dostępne pod adresem – http://www.giodo.gov.pl/1520113/j/pl/). Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO i w związku z jakimi problemami Generalny Inspektor kierował wystąpienia. Sprawozdanie zawiera informacje, z czym mieli najczęściej problemy Administratorzy danych skontrolowani przez GIODO.
Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2010 rok:
- Niespełnianie przez systemy służące do przetwarzania danych wymogów określonych w §7 rozporządzenia.
- Nieodnotowywanie przekazywania dokumentów pomiędzy jednostkami organizacyjnymi Administratora danych.
- Nieodnotowywanie wynoszenia dokumentów poza obszar przetwarzania.
- Brak rejestru pobierania i zdawania kluczy do pomieszczeń.
- Brak szyfrowania danych przesyłanych w sieci publicznej.
- Nieprzestrzeganie zasady ograniczenia czasowego.
- Niestosowanie haseł o wymaganej złożoności oraz niezmienianie haseł z wymaganą częstotliwością.
- Ustawienie monitorów umożliwiające zapoznanie się danymi przez osoby nieupoważnione.
- Przesyłanie niezaszyfrowanych danych pocztą elektroniczną.
- Niekompletna dokumentacja.
- Brak procedur przechowywania danych archiwalnych.
- Niewyznaczenie ABI.
- Dopuszczenie do przetwarzania danych osób nieupoważnionych.
- Brak umów powierzenia.
- Brak opisów struktur zbiorów i przepływu danych pomiędzy systemami.
- Brak swobody wyrażenia zgody na przetwarzanie danych – zgody zawierające różne cele, niewskazanie celu.
- Pozyskiwanie zgody na marketing własnych produktów.
- Niedopełnienie obowiązku informacyjnego.
- Niezarejestrowanie zbioru.
- Niedołożenie szczególnej staranności, a w szczególności niezapewnienie, aby dane były przetwarzane zgodnie z prawem – przetwarzanie danych w szerszym zakresie niż to wynika z przepisów prawa.
- Stosowanie procedur zgodnie z którymi hasła są znane osobom innym niż użytkownicy.
- Zatrzymywanie dowodów i legitymacji jako zastawu.
- Przesyłanie przez bank karty kredytowej, bez zawarcia umowy o kartę kredytową.
- Nieprzestrzeganie trzydziestodniowego terminu udzielenia informacji wynikających z obowiązku informacyjnego.
- Publikowanie danych osobowych na stronie internetowej parafii.
- Stosowanie monitoringu w sposób naruszający prywatność osób.
- Naruszenie prywatności w trakcie programu „Uwaga Pirat”.
- Zatrzymanie przez izbę wytrzeźwień, telefonu komórkowego z kartą pamięci jako zastawu.
- Wymaganie zgody na przetwarzanie danych osobowych w wypadkach, gdy dane są przetwarzane w celu realizacji obowiązku wynikającego z przepisów prawa.
- Naruszenie prywatności polegające na głośnym podawaniu danych osobowych w rejestracji przychodni.
- Przesyłanie ofert do osób, których dane zostały zebrane w innym celu.
- Wykraczający poza określony w ustawie, zakres danych zbieranych przez przedszkola na podstawie uchwał rady gminy.
- Udostępnianie przez pracodawców, danych pracowników związkom zawodowym.
- Naruszanie prywatności, przez instalowanie na osiedlach mieszkaniowych kamer.
- Udostępnianie danych zgromadzonych na komputerze firmie serwisowej.