NIK: Poważne problemy z ochroną danych osobowych w samorządach

Mało kto spodziewałby się, że polskie samorządy mogą mieć poważne problemy z cyberbezpieczeństwem i przetwarzaniem danych osobowych w zgodzie z rozporządzeniem RODO. Jednakże, ustalenia kontroli przeprowadzonej przez Najwyższą Izbę Kontroli w samorządach woj. podlaskiego nie pozostawiają wątpliwości co do potrzeby dokonania zmian.

Ćwierć tysiąca e-maili do zmiany

Według NIK, aż 45 jednostek podlegających pod samorządy korzystało z komercyjnych skrzynek pocztowych w niewłaściwy sposób. Rozporządzenie RODO dopuszcza taką możliwość, jednak pod warunkiem zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych, a takowej w tym przypadku nie było. W efekcie wszystkie placówki, w których wykryto nieprawidłowości, musiały zmienić służbowe adresy mailowe. Mowa o liczbie 250 adresów.

Nieprawidłowości wykryto również w zawartości samych skrzynek. Nieprawidłowo przetwarzano dane wrażliwe obejmujące osoby fizyczne: od numerów PESEL i miejsc zamieszkania, przez stan zdrowia, na zatrudnieniu kończąc. Co więcej, na skrzynki tego typu trafiało wiele wiadomości od instytucji publicznych, wliczając w to ministerstwa czy organy nadzoru.

43 proc. szkół z naruszeniami

Wyniki kontroli przeprowadzone przez NIK były na tyle niepokojące w kontekście skrzynek e-mail, że organ zdecydował się na przeprowadzenie analizy ryzyka wystąpienia nieprawidłowości. Okazało się, że aż 43 proc. szkół lokuje swoje adresy e-mail w domenach komercyjnych. Niewiele lepszymi statystykami może pochwalić się sektor publicznej opieki zdrowotnej oraz ośrodki pomocy społecznej – odpowiednio 32 proc. i 28 proc.

Przetwarzanie danych w sposób niezgodny z rozporządzeniem RODO dotknęło także transmisji sesji organów stanowiących. Jedynie 5 skontrolowanych jednostek samorządowych miało zawartą umowę na przetwarzanie danych osobowych w transmisjach. Pozostałe 7 samorządów ich nie posiadało, a posiedzenia transmitowało w mediach społecznościowych.

Oświadczenia sprzed dwóch dekad

Zaskakujące są również statystyki dotyczące Biuletynów Informacji Publicznej. Według przepisów, okres retencji oświadczeń majątkowych w BIP wynosi 6 lat. Tymczasem w Biuletynach wykryto oświadczenia sięgające nawet 2002 roku, zaś ich łączna liczba wynosiła 1334.

Według Najwyższej Izby Kontroli, wyniki postępowania kontrolnego mogą być wierzchołkiem góry lodowej. Liczba instytucji publicznych z naruszeniami przepisów RODO może bowiem sięgać kilkunastu tysięcy. NIK nie zamierza jednak ograniczać się do słów – kontrola, ograniczona początkowo do 12 podlaskich samorządów, ma teraz objąć wszystkie polskie samorządy.

/PM

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].