I. Nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych poprzez uzupełnienie dokumentu o opis przepływu danych pomiędzy poszczególnymi systemami oraz wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, uwzględniające system informatyczny o nazwie (wykorzystywany do przetwarzania danych osobowych osób, które założyły konto w ww. systemie)

Kontrola GIODO objęła przetwarzanie przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd (przewóz).

Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych.

 

Zarzuty:

1. Umożliwienie dostępu do modułu administracyjnego systemu „[…]” o nazwie „[…]” bez odpowiednich zabezpieczeń, tj. niezastosowanie protokołu http (art. 36 ust. 1 ustawy).

2. Nieuwzględnienie systemu w opisie przepływu danych pomiędzy poszczególnymi systemami oraz w wykazie zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (§ 3 ust. 2 oraz § 4 pkt 2 i 4 rozporządzenia).

3. Niewskazanie w zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zgody na przetwarzanie danych osobowych jako podstawy prawnej upoważniającej administratora danych do prowadzenia zbioru danych oraz podanie niepełnego zakresu danych przetwarzanych w ramach ww. Zbioru oraz wszystkich celów przetwarzania tych danych (art. 41 ust. 1 pkt 2, 3 i 3a ustawy).

4. Niezmienianie przez użytkowników haseł dostępu do systemu.

 

Wskazówki GIODO:

1. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być wymieniony w pytaniu protokół szyfrowania danych SSL, jak również inne środki ochrony kryptograficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy.

2. Polityka bezpieczeństwa powinna zawierać informacje czy istnieje możliwość wyeksportowania plików z jednego systemu i zaimportowania do drugiego. Gdy jest przepływ danych, należy opisać procedurę: czy odbywa się to automatycznie, czy użytkownik dokonuje ręcznie przeniesienia plików z jednego systemu do drugiego. Jakie dane biorą udział w przepływie? Czy wszystkie, czy określonej grupy lub w określonym zakresie?

3. W przypadku wysokiego poziomu bezpieczeństwa hasło składa się co najmniej z 8 znaków, zawiera małe i wielkie litery a zmiana hasła ma następować nie rzadziej niż co 30 dni.

 

Podsumowanie

Spółka pozostając administratorem danych osobowych powinna usunąć wskazane przez GIODO naruszenia stosując się do opisanych powyżej wskazówek oraz unikać uchybień w procesie administrowania danymi w przyszłości.

 

DIS/DEC-1077/14/87970

http://www.giodo.gov.pl/292/id_art/8572/j/pl/

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?