Jak podkreśla GIODO, przeprowadzona kontrola sektorowa w kancelariach prawnych wykazała pewne – typowe również dla innych administratorów – uchybienia związane z zabezpieczaniem danych osobowych.
 Generalny Inspektor Ochrony Danych Osobowych (GIODO) od września do grudnia 2016 r. przeprowadził kontrolę sektorową w wybranych dziesięciu kancelariach prawnych, w tym dwóch prowadzonych przez adwokatów, sześciu prowadzonych przez radców prawnych i dwóch prowadzonych w formie spółki z ograniczoną odpowiedzialnością.
Kontroli poddano dwie zasadnicze kwestie – jak kancelarie prawne zabezpieczają oraz udostępniają dane osobowe klientów.
Badano więc m.in. to:
•    w jaki sposób są zbierane i udostępniane dane osobowe,
•    czy przetwarzanie danych osobowych jest powierzane innym podmiotom,
•    czy zostały zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a zwłaszcza, czy dane zostały zabezpieczone przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
•    czy prowadzona jest dokumentacja dotycząca kwestii związanych z zabezpieczaniem danych osobowych,
•    w jaki sposób realizowany jest obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
•    czy osobom dopuszczonym do przetwarzania danych osobowych nadane zostały stosowne upoważnienia oraz czy prowadzona jest ewidencja tych osób,
•    czy systemy informatyczne, w których przetwarzane są dane osobowe, spełniają określone przepisami prawa wymogi.

Z raportu po badaniu wynika, że w kancelariach prawnych kontrole wykazały pewne nieprawidłowości w procesie przetwarzania danych osobowych. Polegały one przede wszystkim na nieodpowiednim zabezpieczeniu danych, braku niezbędnych elementów dokumentacji przetwarzania danych, a także na niezawarciu stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych.

Jako przykładowe braki dotyczące polityki bezpieczeństwa GIODO wymienia niezawarcie w niej takich elementów, jak: opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi czy sposób przepływu danych pomiędzy poszczególnymi systemami, a także nieuwzględnienie informacji o podmiocie, który serwisuje system informatyczny.

Czytaj: Przyszły urząd ochrony danych musi być bardzo kompetentny>>