OCHRONA DANYCH W URZĘDACH. NIE JEST DOBRZE

Analiza wykazała szereg nieprawidłowości w tym zakresie. Kontrolerzy odkryli m.in., że w skrzynkach e-mailowych w sposób nieprawidłowy przetwarzano takie rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), dane o ich stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, dane o zatrudnieniu i wysokości wynagrodzenia oraz dane o sytuacji rodzinnej (m.in. opisy diagnoz w poradniach psychologiczno-pedagogicznych).

W rezultacie kontroli prowadzonych przez inspektorów NIK wyeliminowano korzystanie (niekiedy kilkunastoletnie) z adresów mailowych utworzonych w domenach komercyjnych bez zawarcia wymaganych rozporządzeniem RODO umów powierzenia przetwarzania danych osobowych. Zmieniono adresy mailowe w 45 jednostkach samorządowych, w tym m.in. w trzech urzędach, ośmiu instytucjach kultury, 10 ośrodkach pomocy społecznej oraz 15 placówkach oświatowych. Łącznie zrezygnowano z używania blisko 250 adresów mailowych wykorzystywanych do celów służbowych, a zlokalizowanych na domenach komercyjnych bez zawarcia stosownych umów gwarantujących odpowiedni poziom bezpieczeństwa.

Usunięto ponad 1,3 tys. dokumentów z Biuletynów Informacji Publicznej – były to oświadczenia majątkowe, których okres publikacji wynosi sześć lat, a niektóre z nich dotyczyły roku 2002. Ponadto w siedmiu samorządach zmieniono zasady transmitowania i publikowania posiedzeń organów stanowiących. Pierwotnie były transmitowane na niezabezpieczonych portalach społecznościowych.

Ogromna skala nieprawidłowości

Przeprowadzone przez NIK dodatkowe analizy wykazały bardzo wysokie prawdopodobieństwo wystąpienia podobnych nieprawidłowości w kilkunastu tysiącach jednostek publicznych w całym kraju, które codziennie wymieniają korespondencję za pośrednictwem skrzynek mailowych, korzystając przy tym z hostingu i domen komercyjnych.

Zdaniem Izby aż 43% placówek oświatowych, 32% publicznych zakładów opieki zdrowotnej oraz 28% ośrodków pomocy społecznej na co dzień wykorzystuje główne adresy mailowe w domenach komercyjnych np. wp.pl, poczta.onet.pl, gmail.com. W ocenie NIK może to nie tylko świadczyć o braku zawarcia z właścicielami tych domen stosownych umów zabezpieczających administratorów danych osobowych przed bezpodstawnym przetwarzaniem, ale również może powodować niskie zaufanie do instytucji publicznych.

Ryzyka stwierdzono również w przypadku ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.

Biorąc pod uwagę ustalenia kontroli oraz fakt, że oprócz głównych adresów mailowych przypisanych do jednostki, niejednokrotnie pracownicy tych instytucji publicznych również użytkowali adresy mailowe w domenach komercyjnych jako adresy służbowe, Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych.

„Wskazuje to na ryzyko, że dziennie na takie adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym” – czytamy w komunikacie NIK.

Izba zwróciła m.in. uwagę, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli.

Oprócz jednostek samorządowych Najwyższa Izba Kontroli prowadzi rozpoznanie dotyczące innych branż i resortów. Dane uzyskane z dziewięciu sądów apelacyjnych wskazują, że problem może dotyczyć korespondowania za pośrednictwem poczty elektronicznej z biegłymi sądowymi, którzy podają adresy mailowe znajdujące się na bezpłatnych domenach komercyjnych, co może świadczyć o dużym ryzyku, że nie zawarli oni umowy przetwarzania danych osobowych z właścicielem domeny, tłumaczami przysięgłymi, ławnikami, mediatorami i kuratorami sądowymi.

W związku z systemowym charakterem nieprawidłowości w dziedzinie ochrony i przetwarzania danych, w tym danych osobowych w jednostkach samorządowych, kontrola NIK będzie rozszerzona o wszystkie jednostki samorządu terytorialnego w Polsce.