Raport GIODO: Ochrona danych klientów w kancelariach prawniczych

626

Selektywna kontrola Generalnego Inspektora Ochrony Danych Osobowych w kancelariach wykazała pewne uchybienia  w zabezpieczaniu tych danych typowe również dla innych administratorów – informuje Biuro GIODO.

Od września do grudnia 2016 r. w wybranych dziesięciu kancelariach prawniczych GIODO przeprowadził kontrolę zabezpieczania i udostępniania danych klientów objętych tajemnicą adwokacką i radcowską. Osiem z nich naruszyło przepisy ustawy o ochronie danych osobowych.

Uchybienia w ośmiu na dziesięć

Jak wynika ze sprawozdania Biura GIODO podczas kontroli inspektorzy natrafili na następujące nieprawidłowości:

  • niezabezpieczenie danych przesyłanych pocztą elektronicznej w plikach w formatach DOC i PDF przed ich udostępnieniem osobom nieupoważnionym; nie były zabezpieczone przed otwarciem w jednej kancelarii.
  • niezawarcie w polityce bezpieczeństwa informacji o podmiotach, na serwerach których utrzymywana jest poczta elektroniczna oraz o podmiocie, na którego serwerach dane są przetwarzane w aplikacji w pięciu kancelariach
  • niezawarcie w polityce bezpieczeństwa informacji o podmiocie, który serwisuje system informatyczny w jednej kancelarii
  • niezawarcie w polityce bezpieczeństwa opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi oraz sposobu przepływu danych pomiędzy poszczególnymi systemami – w czterech kancelariach
  • nietworzenie kopii zapasowych plików zawierających dane, które są przetwarzane na użytkowanych komputerach w jednej kancelarii
  • niezawarcie z podmiotem, na serwerach którego utrzymywana jest poczta elektroniczna kancelarii, umowy powierzenia przetwarzania danych w jednej kancelarii
  • niezawarcie z podmiotem serwisującym system informatyczny umowy powierzenia przetwarzania danych – w jednej kancelarii
  • niezabezpieczenie dysku sieciowego z danymi klientów kancelarii przed dostępem osób nieupoważnionych oraz przed zabraniem przez osobę nieuprawnioną – w jednej kancelarii.

Większość nieprawidłowości dotyczyła tylko pewnych elementów związanych z zabezpieczaniem danych, toteż można je było szybko wyeliminować. W przeważającej liczbie skontrolowanych kancelarii są one obecnie prawidłowo zabezpieczone. Dlatego postępowania administracyjne GIODO wszczął tylko wobec dwóch, które nie przywróciły stanu zgodnego z prawem.

Bez szyfrowania ani rusz

W sprawozdaniu GIODO podkreśla się istotne w działalności kancelarii zagadnienie specyfiki działania poczty elektronicznej. Przesyłanie danych za jej pośrednictwem, poprzez sieć publiczną, jaką jest Internet, bez zastosowania odpowiednich zabezpieczeń, może skutkować zagrożeniem poufności korespondencji, w postaci możliwego „podsłuchu” w sieci, a także podglądu ze strony operatorów serwerów pocztowych i innych urządzeń pośredniczących w przesyłaniu.

Innym zagrożeniem jest możliwość ujawnienia informacji podczas działania niektórych programów pocztowych. Po wystąpieniu błędu, mogą one tworzyć raport i automatycznie przesyłać go do działu wsparcia technicznego producenta programu. Razem z raportem może być dostarczana część przesyłki, która spowodowała błąd.

Zaszyfrowanie załączników do wiadomości przesyłanych pocztą elektroniczną może chronić kancelarię przed udostępnieniem danych osobie nieupoważnionej, np. w razie pomyłki w adresie odbiorcy.

Zaleca się zatem wdrożenie formalnych polityk przesyłania informacji, procedur i zabezpieczeń. Powinny one uwzględniać przed wszystkim:

  • ochronę przesyłanej informacji przed przechwyceniem, kopiowaniem, modyfikacją, błędnym routingiem i zniszczeniem
  • ochronę wrażliwych informacji przekazywanych w formie załączników
  • korzystanie z technik kryptograficznych do ochrony poufności, integralności i autentyczności informacji.

Przy  korzystaniu z usług poczty elektronicznej oferowanych przez podmioty zewnętrzne za pośrednictwem tzw. chmury obliczeniowej (cloud computing) należy mieć świadomość potencjalnych zagrożeń wynikających z braku kontroli nad danymi oraz niewystarczających informacji dotyczących operacji przetwarzania.

Opracowanie: Ireneusz Walencik

i.walencik@rynekprawniczy.pl