Niezabezpieczone skrzynki e-mail i transmisje na YouTubie. NIK alarmuje

Zdaniem NIK szwankuje podstawowa ochrona danych osobowych w jednostkach samorządowych. Co jest tego przyczyną? Izba wylicza: wieloletnie zaniedbania, nieświadomość zagrożeń, brak jednoznacznych wytycznych. Szacuje, że do nieprawidłowości może dochodzić nawet w kilkunastu tysiącach publicznych instytucji, więc zapowiada kontrole w całym kraju.

Dotąd objęły one 12 jednostek samorządu terytorialnego (JST) z woj. podlaskiego, w których sprawdzono, jak chronione są przetwarzane dane – w tym osobowe, gromadzone w formie elektronicznej – na stronach www, w skrzynkach mailowych i przy transmisjach sesji organów uchwałodawczych.

Kontrole ukróciły wieloletnie czasem korzystanie z adresów tworzonych w komercyjnych domenach, bez dodatkowych zabezpieczeń. Zablokowane zostały one w kilkudziesięciu urzędach, instytucjach kultury, ośrodkach pomocy społecznej czy placówkach oświatowych.

Czytaj więcej

Samorząd i administracja

Majątki małżonków polityków mają być jawne. UODO ma zastrzeżenia

Prezes Urzędu Ochrony Danych Osobowych ma zastrzeżenia do projektu, wprowadzającego obowiązek ujawniania w oświadczeniu majątkowym osoby pełniącej funkcję publiczną danych dotyczących majątku odrębnego małżonka.

W obiegu kilkadziesiąt tysięcy niezabezpieczonych skrzynek mailowych  

Jakie dane płynęły przez niezabezpieczone skrzynki? Imiona i nazwiska, adresy, PESELE i numery telefonów osób fizycznych, informacje o ich stanie zdrowia, np. badaniach lekarskich, dane o korzystaniu ze świadczeń opieki społecznej, o zatrudnieniu i wysokości wynagrodzenia, o sytuacji rodzinnej. Poza tym z BIP usuniętych zostało ponad 1,3 tys. oświadczeń majątkowych, które po upływie sześciu lat nie powinny już tam wisieć. NIK miała też zastrzeżenia, co do transmisji obrad na niezabezpieczonych portalach społecznościowych.

Izba przypuszcza, że nieprawidłowości mogą zostać wykryte też w ośrodkach kultury, bibliotekach, powiatowych sanepidach, domach pomocy społecznej, centrach pomocy rodzinie czy przychodniach psychologiczno-pedagogicznych.

Alarmuje, że w obiegu może być nawet kilkadziesiąt tysięcy nieodpowiednio zabezpieczonych adresów. - Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów, w sposób odpowiedni zabezpieczających dane osobowe obywateli – zaznacza NIK. I dodaje, że z adresów na komercyjnych domenach korzystają nawet biegli sądowi. 

Wierzchołek góry lodowej. Stanowisko UODO 

Raport NIK na razie w części pokazał skalę problemów, z których zdaje sobie sprawę prezes Urzędu Ochrony Danych Osobowych. Jak precyzuje jego zastępczyni Agnieszka Grzelak, trawią one nie tylko JST, ale też inne organy i jednostki publiczne.

Ekspertka przypomina, że prezes UODO prowadził już postępowania związane z korzystaniem z zewnętrznych i prywatnych skrzynek. - Wykorzystywanie poczty komercyjnej w celach służbowych nie zawsze daje gwarancję, że dostęp do przesyłanych danych mają wyłącznie osoby upoważnione – alarmuje.

Wnioski wyciągnięte przez NIK podzielają też eksperci. Zdaniem Grzegorza Sibigi z kancelarii Traple, Konarski, Podrecki i Wspólnicy, profesora Instytutu Nauk Prawnych PAN, kontrole – z uwagi na ich skalę – pokazały tylko wierzchołek góry lodowej. Jednak mimo ujawnionych uchybień przestrzega on przed jednoznacznym wyrokowaniem odnośnie kondycji wszystkich jednostek w kraju.

–  Wyniki kontroli mogą być jednak sygnałem o niewystarczającym dotychczasowym nadzorze nad wykonywaniem obowiązków w jednostkach samorządu terytorialnego – uważa profesor. 

Wygrywają najtańsze oferty, cierpi ochrona danych 

Jego zdaniem wyniki te w niekorzystnym świetle stawiają jednak inspektorów ochrony danych w jednostkach samorządowych. – Tak proste błędy, jak zbyt długie umieszczanie oświadczeń majątkowych w BIP, świadczą o braku kompetencji lub niewystarczającej aktywności inspektorów – uważa Grzegorz Sibiga.

Ekspert ma jednak mieszane uczucia, co do rozciągnięcia zakresu kontroli NIK na wszystkie samorządy w kraju. Przyznaje, że o ile może to przyczynić się do poprawy sytuacji, o tyle Izba nie powinna dublować działań prezesa UODO. Może to doprowadzić do prezentacji rozbieżnych stanowisk prawnych w sprawach ochrony danych i aktywności, jakie w tym zakresie trzeba podjąć – a jest to domena prezesa Urzędu.

Radca prawny Marek Lewandowski z Kancelarii Radców Prawnych TEZA możliwą przyczynę problemów widzi w fakcie, że wiele JST przy obsłudze procesu RODO, czyli przetwarzaniu danych osobowych, korzysta z usług firm zewnętrznych.

–  Oznacza to, że inspektor danych osobowych nie jest w nich zatrudniony na etacie, a tym samym - stale obecny np. w urzędzie – ocenia prawnik. I tłumaczy: - Przetargi wygrywają firmy składające najkorzystniejsze, czyli często najtańsze oferty. Skoro cena jest niska, to inspektor nie ma możliwości rzetelnego wypełniania swoich obowiązków; jest zwykle „pod telefonem", ale nie kontroluje na bieżąco, czy przepisy są wdrażane i przestrzegane. –

Zdaniem eksperta nie ma on zatem możliwości, aby obserwować, jak z tymi kwestiami radzą sobie pracownicy, ani na bieżąco zwracać im uwagi. A skoro przepisy RODO wciąż uznawane są za stosunkowo nowe, powinni oni przechodzić szkolenia i wdrażać się do ich stosowania. – Co prawda konkurencja na rynku się zaostrza, więc można spodziewać się podwyższenia jakości usług w tym zakresie, ale jest to proces powolny – uważa radca.

Sesja rady miasta na YouTubie to ryzyko 

Mec. Lewandowski – w ślad za NIK – zwraca też uwagę na ewentualne ryzyka przy transmitowaniu posiedzeń np. sesji rady miasta za pośrednictwem YouTuba. Problem pojawia się bowiem, gdy samorząd nie korzysta z profesjonalnych platform, do których dostęp – jak zaznacza – jest stosunkowo niedrogi.