NIK krytycznie o ochronie danych osobowych w samorządach
Wieloletnie zaniedbania dotyczące ochrony danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo – to w ocenie NIK sprawia, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. Wśród kontrolowanych samorządów pięć pochodziło z rejonu Łomży.
NIK skontrolowała 12 jednostek samorządu terytorialnego w województwie podlaskim, w tym Starostwo Powiatowe w Łomży oraz gminy: Miastkowo, Zbójna, Wizna i Przytuły. Sprawdzono jak zapewniana jest ochrona i prawidłowość przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej przez jednostki samorządu terytorialnego oraz podległe im jednostki organizacyjne na stronach internetowych, poczcie elektronicznej oraz w związku z odbywającymi się sesjami organów uchwałodawczych.
Najważniejsze ustalenia, które w różnym stopniu dotyczyły poszczególnych samorządów sprowadzają się do tego, że korzystano ze skrzynek mailowych utworzonych w domenach komercyjnych, także bezpłatnych, bez zawarcia wymaganych rozporządzeniem RODO umów powierzenia przetwarzania danych osobowych.
Analiza szczegółowa wykazała, że w skrzynkach e-mailowych w sposób nieprawidłowy przetwarzano takie rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), dane o ich stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, dane o zatrudnieniu i wysokości wynagrodzenia oraz dane o sytuacji rodzinnej (m.in. opisy diagnoz w poradniach psychologiczno-pedagogicznych). Usunięto ponad 1,3 tys. dokumentów z Biuletynów Informacji Publicznej – były to oświadczenia majątkowe, których okres publikacji wynosi sześć lat, a niektóre z nich dotyczyły roku 2002. Ponadto w siedmiu samorządach zmieniono zasady transmitowania i publikowania posiedzeń organów stanowiących. Pierwotnie były transmitowane na niezabezpieczonych portalach społecznościowych.
Z analizy NIK wynika, że 43% placówek oświatowych, 32% publicznych zakładów opieki zdrowotnej oraz 28% ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych np. wp.pl, poczta.onet.pl, gmail.com. Znamienne jest – pisze Izba w podsumowaniu - że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli.
Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa.
Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji, dlatego też swoje kontrole rozszerza na wszystkie samorządy w kraju.