NIK skontroluje wszystkie samorządy w Polsce. To efekt miażdżącego raportu o ochronie danych w urzędach

Wieloletnie zaniedbania dotyczące ochrony danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo – to w ocenie NIK sprawia, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. NIK szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji. Biorąc pod uwagę skalę problemu, Izba postanowiła rozszerzyć postępowanie kontrolne na wszystkie samorządy w kraju.

 

W ostatnim czasie Najwyższa Izba Kontroli z niepokojem obserwuje rosnącą liczbę doniesień medialnych na temat nieodpowiedniego postępowania urzędników państwowych związanego z tak podstawowym elementem bezpieczeństwa, jak korzystanie do celów służbowych z adresów mailowych w publicznych domenach i przetwarzanie danych osobowych za ich pośrednictwem.

Aby potwierdzić lub wyeliminować ryzyko zagrożeń systemowych dla odpowiedniej ochrony danych osobowych NIK podjęła się kontroli, której celem było szybkie wyeliminowanie ewentualnych nieprawidłowości. Kontrolę oparto o kilka założeń strategicznych, m.in. o: efektywność postępowania kontrolnego, współpracę z interesariuszami w trakcie czynności kontrolnych, oczekiwanie działań naprawczych już w trakcie czynności kontrolnych oraz nastawienie kontroli na możliwie szybką zmianę porządku publicznego w kontrolowanym obszarze.

NIK skontrolowała 12 jednostek samorządu terytorialnego w województwie podlaskim. Sprawdzono jak zapewniana jest ochrona i prawidłowość przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej przez jednostki samorządu terytorialnego oraz podległe im jednostki organizacyjne na stronach internetowych, poczcie elektronicznej oraz w związku z odbywającymi się sesjami organów uchwałodawczych.

Kontrola wykazała wieloletnie zaniedbania związane z ochroną danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych – wybrane elementy systemu ochrony danych osobowych w jednostkach samorządowych były w złym stanie. W rezultacie kontroli prowadzonych przez inspektorów NIK wyeliminowano korzystanie (niekiedy kilkunastoletnie) z adresów mailowych utworzonych w domenach komercyjnych bez zawarcia wymaganych rozporządzeniem RODO umów powierzenia przetwarzania danych osobowych. Zmieniono adresy mailowe w 45 jednostkach samorządowych, w tym m.in. w trzech urzędach, ośmiu instytucjach kultury, 10 ośrodkach pomocy społecznej oraz 15 placówkach oświatowych. Łącznie zrezygnowano z używania blisko 250 adresów mailowych wykorzystywanych do celów służbowych, a zlokalizowanych na domenach komercyjnych bez zawarcia stosownych umów gwarantujących odpowiedni poziom bezpieczeństwa.

Analiza szczegółowa wykazała, że w skrzynkach e-mailowych w sposób nieprawidłowy przetwarzano takie rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), dane o ich stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, dane o zatrudnieniu i wysokości wynagrodzenia oraz dane o sytuacji rodzinnej (m.in. opisy diagnoz w poradniach psychologiczno-pedagogicznych). Usunięto ponad 1,3 tys. dokumentów z Biuletynów Informacji Publicznej – były to oświadczenia majątkowe, których okres publikacji wynosi sześć lat, a niektóre z nich dotyczyły roku 2002. Ponadto w siedmiu samorządach zmieniono zasady transmitowania i publikowania posiedzeń organów stanowiących. Pierwotnie były transmitowane na niezabezpieczonych portalach społecznościowych.

Wielka skala nieprawidłowości w skontrolowanych jednostkach samorządu terytorialnego i gminnych oraz powiatowych jednostkach organizacyjnych wymusiła przeprowadzenie w Najwyższej Izbie Kontroli analizy powszechnego problemu wymagającego natychmiastowej reakcji samorządowców w całym kraju. Analiza ta pokazuje bardzo wysokie prawdopodobieństwo wystąpienia podobnych nieprawidłowości w kilkunastu tysiącach jednostek publicznych w całym kraju, które codziennie wymieniają korespondencję za pośrednictwem skrzynek mailowych, korzystając przy tym z hostingu i domen komercyjnych. Z analizy wynika, że 43% placówek oświatowych, 32% publicznych zakładów opieki zdrowotnej oraz 28% ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych np. wp.pl, poczta.onet.pl, gmail.com. Może to nie tylko świadczyć o braku zawarcia z właścicielami tych domen stosownych umów zabezpieczających administratorów danych osobowych przed bezpodstawnym przetwarzaniem, ale również może powodować niskie zaufanie do instytucji publicznych.

Ryzyka stwierdzono również w przypadku ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.

Biorąc pod uwagę ustalenia kontroli oraz fakt, że oprócz głównych adresów mailowych przypisanych do jednostki, niejednokrotnie pracownicy tych instytucji publicznych również użytkowali adresy mailowe w domenach komercyjnych jako adresy służbowe, Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Wskazuje to na ryzyko, że dziennie na takie adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym.

 

ren

Źródło NIK
Sprawdź również
Subskrybuj
Powiadom o
guest
3 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments
Zocha
Zocha
10 miesięcy temu

Po pierwsze trzeba skontrolować wydziały komunikacji czy tam jest ochrona danych osobowych ,bo z tego co widziałam to nie bardzo

Zenek znajomy Stefana
Zenek znajomy Stefana
10 miesięcy temu

I bardzo dobrze.

Jarek
Jarek
10 miesięcy temu

Może, nareszcie zacznie się poważnie traktować informatyków w urzędach, słuchać co mówią, bo zazwyczaj nie mają nic do powiedzenia, a po kontroli ktoś zwali całą winę na nich.