W Ministerstwie Spraw Wewnętrznych i Administracji, jak i w pozostałych skontrolowanych urzędach systemy przetwarzania i zabezpieczania danych osobowych oraz procedury dotyczące ich ochrony opracowano i wprowadzono w życie zgodnie z wymaganiami RODO - wynika z kontroli przeprowadzonej przez Najwyższą Izbę Kontroli.
Po dwuletnim okresie przejściowym, 25 maja 2018 r. zaczęły obowiązywać w Polsce przepisy dotyczące RODO, czyli ochrony danych osobowych. NIK wybrała do kontroli te urzędy, które w najszerszym zakresie przetwarzają dane osobowe - urzędy wojewódzkie oraz urzędy dużych miast, a także MSWiA ponieważ to właśnie szef tego resortu zapewnia m.in. funkcjonowanie wydzielonej sieci umożliwiającej organom gmin i wojewodom dostęp do rejestru dowodów osobistych i do Rejestru PESEL. Jak ocenia NIK, administracja publiczna radziła sobie z wyzwaniami związanymi z wprowadzeniem RODO w sposób zadowalający. Należy jednak pamiętać, że kontrolowane były urzędy w największych i dużych miastach, które mają odpowiednie kadry i możliwości finansowe by właściwie zabezpieczyć dane osobowe (zarówno fizycznie jak i technicznie) oraz diagnozować zagrożenia związane z ich zbieraniem, przetwarzaniem i przechowywaniem.
Koszty wprowadzenia zmian
Wprowadzenie w życie przepisów RODO w każdym ze skontrolowanych urzędów wiązało się z dodatkowymi wydatkami. Szacowane przez nie koszty szkoleń, przeprowadzenia audytów, zakupu specjalistycznego oprogramowania, licencji, sprzętu, dostosowania infrastruktury do konieczności zwiększenia bezpieczeństwa (w niektórych przypadkach trzeba było także zatrudnić dodatkowego pracownika do pełnienia funkcji Inspektora Ochrony Danych - IOD) wyniosły od 1,8 tys. zł do ok. 560 tys. zł. Wśród kontrolowanych, najmniejsze wydatki związane z wprowadzeniem RODO poniósł Małopolski Urząd Wojewódzki, największe - z powodu niezbędnych inwestycji - Ministerstwo Spraw Wewnętrznych i Administracji. Jeśli chodzi o urzędy miast, to np. na usługi prawne i audytowe, zakup sprzętu i oprogramowania, szkolenia, refundację studiów podyplomowych i zakup systemów komputerowych Ciechanów wydał niemal 195 tys. zł, Kraków na szkolenia i modernizację aplikacji informatycznych - 130 tys. zł.
NIK nie stwierdziła braku środków na dostosowanie któregoś z urzędów do wymogów RODO, natomiast były przypadki rozłożenia w czasie części prac ze względu na ograniczenia budżetowe samorządów.
Organizowanie ochrony danych
Zanim nowe unijne przepisy dotyczące ochrony danych osobowych weszły w życie, wszystkie kontrolowane urzędy przygotowywały się do ich wprowadzenia analizując m.in. słabości dotychczas stosowanych rozwiązań. Zwykle zadanie to powierzano powołanym w urzędach Inspektorom Ochrony Danych czy specjalnym zespołom, ale także firmom zewnętrznym, które kompleksowo przygotowywały urząd do wdrożenia RODO. Przeprowadzały audyt dotyczący bezpieczeństwa informacji i ochrony danych osobowych, a następnie wskazywały co trzeba zmienić, np. w obowiązujących dokumentach czy procedurach. Taka analiza ryzyka była prowadzona w pierwszej połowie 2018 r., przed powstaniem obowiązku stosowania RODO lub na początku jego obowiązywania (czerwiec-lipiec 2018 r.).
NIK nie stwierdziła zaniedbań w przygotowaniach kontrolowanych urzędów do wprowadzenia w życie unijnego rozporządzenia. Zgodnie z przepisami, w każdym z nich powołano Inspektora Ochrony Danych (IOD), który powinien podlegać tylko administratorowi tych danych, czyli ministrowi, wojewodzie lub prezydentowi miasta. W jednym przypadku (Urząd Miejski w zachodniopomorskim Stargardzie), niezgodnie z RODO inspektor podlegał, także pod względem merytorycznym, sekretarzowi miasta. Tłumaczono, że dotyczyło to głównie bieżących spraw administracyjnych, ale zdaniem NIK taka podległość stwarza możliwość tzw. władczego oddziaływania na istotne sprawy pozostające w gestii IOD, czyli jednostronnego rozstrzygania - w tym przypadku sekretarza miasta - o prawach i obowiązkach Inspektora Ochrony Danych.
W większości skontrolowanych urzędów zastosowane środki bezpieczeństwa (techniczne, fizyczne i informatyczne), służące utrzymaniu poufności, integralności oraz dostępności systemów i usług przetwarzania danych, były zgodne z wewnętrznymi uregulowaniami obowiązującymi w tych urzędach. Dostęp do zasobów informatycznych wymagał odpowiedniego uwierzytelnienia. Pracownicy oraz osoby zatrudniane na podstawie umów cywilno-prawnych mieli upoważnienia do przetwarzania danych osobowych, które powinny być niezwłocznie odbierane po rozwiązaniu umowy o pracę. Jednak w sześciu urzędach na 17 kontrolowanych, byłym pracownikom nie zablokowano dostępu do zasobów informatycznych. W Urzędzie Miasta Stołecznego Warszawy nieuprawniony dostęp do konta - od jednego dnia do niemal roku - miało 16 z 21 byłych pracowników Urzędu Dzielnicy Ochota. W Urzędzie Miasta Kutno ośmiu osobom na 14 skontrolowanych aktywne konta poczty e-mail usunięto dopiero w trakcie kontroli NIK, czyli po co najmniej czterech miesiącach od rozwiązania umów o pracę. Czterem osobom usunięto konta dostępu do jednego z systemów informatycznych po maksymalnie 6 miesiącach, a w jednym przypadku po 14 - także dopiero po interwencji kontrolerów NIK. Przyczyną tych zaniedbań - jak tłumaczyli urzędnicy - było przede wszystkim niedopatrzenie, a także niewłaściwy obieg informacji.
Nieprawidłowości dotyczące fizycznego zabezpieczenia danych polegały głównie na utrzymywaniu w niewłaściwym stanie technicznym serwerowni, w której gromadzone są informacje dotyczące najważniejszych sfer działalności urzędu, a ich utrata lub brak dostępności do nich może doprowadzić do sytuacji kryzysowej. Najbardziej jaskrawy przykład to serwerownia jednego z kontrolowanych urzędów miast, do której wejście mieściło się holu dostępnym dla petentów. Wejście to nie było zabezpieczone ani alarmami przeciwwłamaniowymi, ani monitoringiem wizyjnym, ani elektroniczną weryfikacją dostępu. Drzwi do serwerowni nie miały atestu antywłamaniowego, a wyposażenie pomieszczenia - atestu przeciwpożarowego (drzwi drewniane, wykładzina podłogowa), do tego zamontowany wewnątrz system gaszenia pożaru nie był odpowiedni dla sprzętu informatycznego. Stwarzało to zarówno możliwość nieautoryzowanego dostępu do serwerowni osobom postronnym, jak i niedostatecznie minimalizowało ryzyko zagrożenia pożarowego.
Frontem do petenta
We wszystkich kontrolowanych urzędach przed wejściem w życie przepisów RODO opracowano regulacje dotyczące niezbędnych działań, które powinny zostać podjęte w przypadku ewentualnego naruszenia ochrony danych osobowych. Ustalono w jaki sposób oceniany będzie poziom takiego naruszenia, oraz kto będzie odpowiadał za konkretne działania i jakie one będą.
W okresie objętym kontrolą (od 25 maja 2018 r. do 27 stycznia 2020 r.) najwięcej takich naruszeń wystąpiło w dużych urzędach miast, np. w Urzędzie Miasta Stołecznego Warszawy do Prezesa UODO zostały zgłoszone 134 naruszenia ochrony danych osobowych. W innych urzędach było ich kilka, a najwyżej kilkanaście, żadnych nie stwierdzono w urzędach miast: Chrzanowa, Polic, Siedlec, Sieradza i Wieliczki.
Kontrola wykazała natomiast dwa przypadki nieprawidłowego postępowania już po stwierdzeniu naruszenia ochrony danych osobowych, m.in. w Urzędzie Miasta Ciechanów. Cztery osoby zgłosiły tam takie nieprawidłowości w związku z głosowaniem w ramach budżetu obywatelskiego na 2020 r. Prezydent miasta złożył w tej sprawie doniesienie w Komendzie Policji, nie przekazał jednak informacji o naruszeniu danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, co było niezgodne z RODO.
Unijne rozporządzenie przewiduje także możliwość żądania sprostowania bądź uzupełnienia niekompletnych danych. Skala takich żądań w kontrolowanym okresie była niewielka - od 1 do 7 przypadków, jedynie w Urzędzie Miasta Stołecznego Warszawy zgłoszono ich znacznie więcej - 344 osoby zażądały usunięcia swoich danych.
NIK ocenia, że w większości skontrolowanych przypadków działania w reakcji na stwierdzone naruszenia ochrony danych osobowych oraz żądania ich usunięcia lub sprostowania były prowadzone prawidłowo.
Efekty kontroli
Wnioski pokontrolne Izba skierowała do wojewodów, a także do prezydentów i burmistrzów miast. Te powtarzające się najczęściej dotyczyły:
- upoważniania pracowników do przetwarzania danych osobowych z chwilą powstania stosownego obowiązku;
- niezwłocznego odbierania uprawnień dostępu do systemów informatycznych byłym pracownikom;
- zabezpieczania pomieszczeń serwerowni przed utratą danych poprzez zminimalizowanie ryzyka nieautoryzowanego dostępu oraz zagrożenia pożarowego;
- stosowania bezpiecznych rozwiązań informatycznych związanych m.in. z systemem autoryzacji dostępu do elektronicznych zasobów danych osobowych gromadzonych w jednostce oraz z tworzeniem i przechowywaniem kopii bezpieczeństwa zgromadzonych danych.
AK/Informacja prasowa NIK