Podstawa prawna naruszenia
Art. 13 ust. 1 lit. e), art. 32 ust. 1 RODO.
Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.
Przyczyna naruszenia
Ministerstwo Spraw Zagranicznych zostało ukarane za brak wystarczającego informowania osób ubiegających się o wizy Schengen oraz brak wystarczającego zabezpieczenia przetwarzania danych osobowych w systemie NVIS.
Opis wydarzeń
- Czynności kontrolne: Holenderski organ nadzorczy (AP) przeprowadziło postępowanie kontrolne, która wykazało liczne nieprawidłowości w procesie przetwarzania danych osobowych przez Ministerstwo.
- Naruszenia: Stwierdzono brak planu zabezpieczeń, niewystarczające środki ochrony fizycznej danych, niekompletne procedury dotyczące kontroli dostępu do systemu NVIS, braki w logach oraz niepełne procedury zgłaszania incydentów bezpieczeństwa. Ponadto, osoby ubiegające się o wizy nie były odpowiednio informowane o przetwarzaniu ich danych osobowych, w tym o przekazywaniu danych do podmiotów zewnętrznych.
Źródło
Pełna treść decyzji organu nadzorczego
Aby uniknąć podobnych naruszeń, zalecamy:
- Opracowanie planu zabezpieczeń: Należy stworzyć i regularnie aktualizować plan zabezpieczeń dla systemów informatycznych i aplikacji, uwzględniając wszystkie wymagane środki ochrony.
- Zabezpieczenie fizyczne danych: Wprowadzenie odpowiednich środków ochrony fizycznej danych, w tym planów awaryjnych na wypadek zakłóceń w dostawach mediów.
- Kontrola dostępu: Ustanowienie formalnych procedur przyznawania, zmiany i cofania uprawnień dostępu do systemów informatycznych i aplikacji oraz regularne kontrole tych uprawnień.
- Logowanie i monitorowanie: Zapewnienie, że wszystkie działania w systemach informatycznych i aplikacjach są odpowiednio logowane, a logi są regularnie analizowane pod kątem nieprawidłowości.
- Zgłaszanie incydentów: Opracowanie i wdrożenie pełnych procedur zgłaszania i zarządzania incydentami bezpieczeństwa.
Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu