NIK kontroluje podlaskie samorządy: "ochrona danych bez ochrony, wieloletnie zaniedbania"

Fot: pexels.com

Kontrola wykazała liczne nieprawidłowości i wieloletnie zaniedbania

W ostatnim czasie Najwyższa Izba Kontroli prześwietliła 12 jednostek samorządu terytorialnego w województwie podlaskim. Sprawdzono, jak zapewniana jest ochrona i prawidłowość przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej na stronach internetowych, poczcie elektronicznej oraz w związku z odbywającymi się sesjami organów uchwałodawczych. Wynik nie jest dobry.

Kontrola wykazała wieloletnie zaniedbania związane z ochroną danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych – wybrane elementy systemu ochrony danych osobowych w jednostkach samorządowych były złym stanie.

W rezultacie kontroli prowadzonych przez inspektorów NIK wyeliminowano korzystanie (niekiedy kilkunastoletnie) z adresów mailowych utworzonych w domenach komercyjnych bez zawarcia wymaganych rozporządzeniem RODO umów powierzenia przetwarzania danych osobowych. Zmieniono adresy mailowe w 45 jednostkach samorządowych, w tym w 3 urzędach, 8 instytucjach kultury, 10 ośrodkach pomocy społecznej oraz 15 placówkach oświatowych. Łącznie zrezygnowano z używania blisko 250 adresów mailowych wykorzystywanych do celów służbowych, a zlokalizowanych na domenach komercyjnych bez zawarcia stosownych umów gwarantujących odpowiedni poziom bezpieczeństwa.

Analiza szczegółowa wykazała, że w skrzynkach e-mailowych w sposób nieprawidłowy przetwarzano takie rodzaje danych jak:
- dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów),
- dane o ich stanie zdrowia (na przykład wyniki badań lekarskich),
- dane o korzystaniu ze świadczeń opieki społecznej,
- dane o zatrudnieniu i wysokości wynagrodzenia,
- dane o sytuacji rodzinnej (na przykład opisy diagnoz w poradniach psychologiczno-pedagogicznych).

Usunięto ponad 1,3 tys. dokumentów z Biuletynów Informacji Publicznej – były to oświadczenia majątkowe, których okres publikacji wynosi sześć lat, a niektóre z nich dotyczyły roku 2002. Ponadto w 7 samorządach zmieniono zasady transmitowania i publikowania posiedzeń organów stanowiących (pierwotnie były transmitowane na niezabezpieczonych portalach społecznościowych).

Kontroli poddano jednostki na terenie całego kraju

Wielka skala nieprawidłowości wymusiła przeprowadzenie w Najwyższej Izbie Kontroli analizy powszechnego problemu wymagającego natychmiastowej reakcji samorządowców w całym kraju. Jest wysokie prawdopodobieństwo, że nieprawidłowości mogą występować nawet w kilkunastu tysiącach jednostek publicznych w całym kraju, które codziennie wymieniają korespondencję za pośrednictwem skrzynek mailowych, korzystając przy tym z hostingu i domen komercyjnych.

Z analizy wynika, że 43% placówek oświatowych, 32% publicznych zakładów opieki zdrowotnej oraz 28% ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych np. wp.pl, poczta.onet.pl, gmail.com. Może to nie tylko świadczyć o braku zawarcia z właścicielami tych domen stosownych umów zabezpieczających administratorów danych osobowych przed bezpodstawnym przetwarzaniem, ale również może powodować niskie zaufanie do instytucji publicznych.

Ryzyka stwierdzono również w przypadku ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.

Na ich adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym. Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli.

Nieprawidłowości w sądownictwie

Oprócz jednostek samorządowych Najwyższa Izba Kontroli prowadzi rozpoznanie dotyczące innych branż i resortów. Dane uzyskane z 9 sądów apelacyjnych wskazują, że problem może dotyczyć korespondowania za pośrednictwem poczty elektronicznej z biegłymi sądowymi, którzy podają adresy mailowe znajdujące się na bezpłatnych domenach komercyjnych, co może świadczyć o dużym ryzyku, że nie zawarli oni umowy przetwarzania danych osobowych z właścicielem domeny, podobny problem dotyczyć może też tłumaczy przysięgłych, ławników, mediatorów i kuratorów sądowych.

Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa.

Dobre wzorce można czerpać z zagranicy. Dla przykładu w Austrii wszystkie jednostki samorządowe korzystają z domeny gv.at; w Czechach i Portugalii instytucje publiczne mają obowiązek korzystania z własnych wykupionych domen; na Malcie natomiast instytucje samorządowe korzystają z domen rządowych.