Najwyższa Izba kontroli opublikowała wyniki kontroli przeprowadzonych w samorządach województwa podlaskiego, które dotyczyły ochrony i prawidłowości przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej. Ocena NIK – tragiczny stan ochrony danych osobowych i zapowiedź masowych kontroli we wszystkich samorządach.
Kontrola NIK
NIK w związku ze wzrostem doniesień medialnych o nieprawidłowościach w postępowaniu urzędników państwowych, w tym przy korzystaniu z adresów mailowych w komercyjnych domenach do celów służbowych i przetwarzaniu za ich pośrednictwem danych osobowych, postanowił przeprowadzić kontrole w samorządach. Skontrolował 12 jednostek samorządu terytorialnego w województwie podlaskim. Zbadano, w jaki sposób zapewniona jest ochrona i zgodność z przepisami dotyczącymi przetwarzania danych, w tym danych osobowych zgromadzonych w formie elektronicznej przez jednostki samorządu i zależne od nich podmioty na stronach internetowych, w korespondencji e-mail oraz w kontekście sesji organów uchwałodawczych.
Tragiczny stan ochrony danych osobowych
Wyniki kontroli dla niektórych mogą być zatrważające: wieloletnie zaniedbania dotyczące ochrony danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych, wykorzystywanie domen publicznych bez stosownych umów gwarantujących bezpieczeństwo.
Na skutek przeprowadzonych kontroli przerwano (w wielu przypadkach po kilkunastu latach) stosowanie adresów e-mail utworzonych w domenach komercyjnych, które nie były objęte wymaganymi umowami powierzenia przetwarzania danych osobowych zgodnie z przepisami RODO. W 45 jednostkach samorządowych, w tym m.in. trzech urzędach, ośmiu instytucjach kultury, 10 ośrodkach pomocy społecznej oraz 15 placówkach oświatowych, dokonano zmiany adresów e-mail. Ogółem zaniechano korzystania z blisko 250 adresów e-mail używanych do celów służbowych, które znajdowały się w domenach komercyjnych, gdzie nie zawarto odpowiednich umów zapewniających wymagany poziom bezpieczeństwa.
Analiza NIK wykazała także nieprawidłowe przetwarzanie różnych rodzajów danych w skrzynkach e-mail, w tym danych osobowych osób fizycznych (takich jak imiona, nazwiska, adresy, numery PESEL, numery telefonów), informacji o stanie zdrowia (w tym wynikach badań lekarskich), danych dotyczących korzystania ze świadczeń opieki społecznej, danych związanych z zatrudnieniem i wynagrodzeniem, oraz informacji o sytuacji rodzinnej (np. opisy diagnoz w poradniach psychologiczno-pedagogicznych). Ponad 1,3 tysiąca dokumentów z Biuletynów Informacji Publicznej, głównie oświadczeń majątkowych z okresem publikacji sześciu lat, zostało usuniętych, z uwzględnieniem niektórych jeszcze z roku 2002. Dodatkowo, w siedmiu samorządach zmieniono zasady transmitowania i publikowania posiedzeń organów stanowiących, wcześniej przeprowadzanych na niezabezpieczonych portalach społecznościowych.
Skala nieprawidłowości?
Wedle analiz aż 43% placówek oświatowych, 32% publicznych zakładów opieki zdrowotnej oraz 28% ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy e-mail w domenach komercyjnych. Ponadto Najwyższa Izba Kontroli ocenia, że zakres nieprawidłowości może obejmować kilkanaście tysięcy instytucji publicznych oraz kilkadziesiąt tysięcy adresów e-mail, które nie powinny być używane w kontekście działalności służbowej.
NIK sprawdził też część innych resortów i władz publicznych. Informacje uzyskane z 9 sądów apelacyjnych wskazują, że problem może dotyczyć prowadzenia korespondencji za pomocą poczty elektronicznej z biegłymi sądowymi, którzy używają adresów e-mail z bezpłatnych domen komercyjnych. To sugeruje, że istnieje znaczne ryzyko, iż nie zawarli oni umowy dotyczącej przetwarzania danych osobowych z właścicielem domeny. Podobne zagrożenie może dotyczyć również tłumaczy przysięgłych, ławników, mediatorów i kuratorów sądowych.
Nadchodzą kontrole NIK
Jak podkreśla sama NIK:
„Najwyższa Izba Kontroli zdiagnozowała systemowy charakter nieprawidłowości w dziedzinie ochrony i przetwarzania danych, w tym danych osobowych w jednostkach samorządowych. Dlatego kontrola będzie rozszerzona o wszystkie jednostki samorządu terytorialnego w Polsce”.
Trzymając NIK za słowo można się spodziewać masowych kontroli w jednostkach samorządu terytorialnego w całej Polsce. Minęło już prawie 6 lat od wejścia w życie RODO, a powyższe wyniki wskazują, iż znaczna część sektora samorządowego nie odnotowała ani upływu tego okresu, ani wymagań wynikających z nie tak już nowych przepisów.