Podmioty lecznicze i sklepy w planie kontroli Generalnego Inspektora Ochrony Danych Osobowych na 2017 rok
09/02/2017
Generalny Inspektor Ochrony Danych Osobowych opublikował informację jakie podmioty będą kontrolowane przez niego w 2017 roku oraz podał plan sprawdzeń sektorowych prowadzonych przez administratorów bezpieczeństwa informacji na wniosek GIODO.
Kontrolami objęte mają zostać następujące kategorie podmiotów:
Sklepy stacjonarne: w zakresie przetwarzania danych osobowych w związku ze stosowaniem monitoringu pozwalającego na profilowanie klientów. Zastrzeżenia pojawiają się odnośnie do monitorowania klientów przez sklepy, które korzystają z narzędzi (w tym kamer), umożliwiających nie tylko liczenie osób odwiedzających daną placówkę, ale pozwalających również na analizę płci i wieku na podstawie twarzy wyświetlonej na monitorze używanego w tym celu urządzenia.
Przychodnie i poradnie lekarskie (publiczne i niepubliczne) funkcjonujące w strukturach podmiotów wykonujących działalność leczniczą: w zakresie przetwarzania danych osobowych w związku z rejestracją pacjentów. Szczególną uwagę GIODO zwróci na problem konieczności podawania przez pacjentów, w obecności innych osób, danych osobowych wymaganych podczas rejestracji w placówkach służby zdrowia oraz na zastosowane środki techniczne i organizacyjne w celu ich zabezpieczenia.
Zapowiadane w sektorze sklepów stacjonarnych oraz w sektorze medycznym kontrole mają być przeprowadzane będą przez inspektorów GIODO.
Ponadto w przypadku podmiotów leczniczych w celu przeprowadzenia kontroli w większej ilości podmiotów Generalny Inspektor Ochrony Danych Osobowych przewiduje zlecanie wykonania sprawdzeń administratorom bezpieczeństwa informacji powołanym w placówkach publicznych i prywatnych (sprawdzenia na żądanie GIODO na podstawie art. 19b ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych).
Ponadto Generalny Inspektor Ochrony Danych Osobowych zapowiedział w 2017 roku kontrole:
Organów i służb uprawnionych do dokonywania wpisów oraz wglądu do danych zawartych w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, w tym audyt bezpieczeństwa SISII/VIS: m.in. Konsulaty, Policja, Straż Graniczna jako podmioty wymienione w ustawie z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, w zakresie przetwarzania danych osobowych w SISII i VIS, w szczególności kontroli logów systemowych. Celem kontroli jest sprawdzenie m.in. tego, w jaki sposób podmioty te używają logów do analizy pracy systemu, aby dostęp do niego zapewnić wyłącznie osobom upoważnionym, wykrywać próby nieuprawnionego dostępu, wszelkie błędy i nieprawidłowości działającego oprogramowania.
Systemu Eurodac: na podstawie art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w zakresie wniosków Europolu i wyznaczonych krajowych organów ścigania o porównanie danych daktyloskopijnych z danymi przechowywanymi w systemie centralnym na potrzeby porządku publicznego (analiza próbek umotywowanych elektronicznych wniosków wskazanych organów). Kontrola zostanie przeprowadzona w Policji.
Europol: w związku z wejściem w życie w dniu 1 maja 2017 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępującego i uchylającego decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW,2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW. Kontrola zostanie przeprowadzona w Policji.
Zapraszamy do zapoznania się z fragmentami książki „Metodyka pracy administratora bezpieczeństwa informacji”, autor Julia Kamińska-Kasjaniuk, Warszawa 2016 r., ISBN 978-83-65364-01-2:
Prowadzenie sprawdzeń na żądanie Generalnego Inspektora Ochrony Danych Osobowych
Kontrola Generalnego Inspektora Ochrony Danych Osobowych