Takie zalecenia wydał Generalny Inspektor Ochrony Danych Osobowych (GIODO) po kontroli przeprowadzonej jesienią 2016 r. w jednym z urzędów miast.

Kontrolę zainicjowały doniesienia medialne i pisma radnych kierowane do GIODO. Dotyczyły upublicznienia na stronie internetowej urzędu miasta odpowiedzi na interpelację radnych w sprawie funkcjonowania Miejskiego Ośrodka Pomocy Społecznej (MOPS), która zawierała imiona i nazwiska, numery PESEL, adresy oraz zarobki stażystów MOPS. W toku kontroli ustalono, iż za incydent ten winę ponosi pracownik urzędu miasta, który zamieścił ten dokument w BIP, nie dokonując anonimizacji znajdujących się w nim danych osobowych.

Nie wiedzieli, jak postępować z danymi

Z ustaleń kontrolerów GIODO wynikało, że błąd ten to skutek braku procedur określających obowiązki pracowników związane z udostępnianiem w BIP materiałów zawierających dane osobowe. Nie wiedzieli oni, jak mają z nimi postępować. Brakowało też cyklicznych szkoleń pracowników z przepisów o ochronie danych osobowych.

GIODO, uznał, że urząd miasta będący administratorem danych naruszył w ten sposób art. 36 ust. 1 ustawy o ochronie danych osobowych, gdyż nie określił środków organizacyjnych mających na celu zapewnienie ochrony przetwarzanych danych osobowych, a zwłaszcza ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym.

Przeprowadzona kontrola wykazała również, że system informatyczny służący do zamieszczania materiałów w BIP, nie został uwzględniony w dokumentacji opisującej sposób przetwarzania danych osobowych w urzędzie. To stanowi naruszenie art. 36 ust. 2 ustawy.

Dane w służbowych mailach bez ochrony

Kontrolerzy GIODO ustalili, że urząd wysyła odpowiedzi na interpelacje radnych na ich prywatne adresy poczty elektronicznej, której serwery mogą znajdować się w państwie nienależącym do Europejskiego Obszaru Gospodarczego (dotyczy to zwłaszcza adresów z domeną gmail.com). Biorąc zaś pod uwagę fakt, że przesyłane radnym materiały mogą zawierać dane osobowe, GIODO uznał, że przyjęty w urzędzie miasta sposób komunikowania się z radnymi nie zapewnia przetwarzanym danym właściwej ochrony.

- Przesyłanie danych osobowych w związku z realizacją zadań służbowych powinno odbywać się wyłącznie z wykorzystaniem środków służbowych, określonych przez administratora danych, które zapewniają ochronę danym osobowym przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - podkreślił GIODO. - Wykorzystywanie w tym celu prywatnej poczty elektronicznej radnych nie daje gwarancji, że dostęp do przesłanych danych osobowych mają wyłącznie osoby upoważnione, co w konsekwencji stanowi naruszenie obowiązków wynikających z art. 36 ust. 1 ustawy.

Samokształcenie nie wystarczy

Część stwierdzonych przez GIODO uchybień została usunięta jeszcze w czasie trwania kontroli. Zasady przetwarzania danych osobowych zostały określone w „Instrukcji postępowania w sprawie udostępniania materiałów w Biuletynie Informacji Publicznej Urzędu Miasta".

Do przewodniczącego rady miejskiej zostało skierowane pismo informujące, że odpowiedzi na interpelacje radnych będą przekazywane wyłącznie na ich służbową pocztę elektroniczną udostępnioną przez urząd miasta.

Urząd zapewnił też, że pracownik odpowiedzialny za zamieszczenie w BIP urzędowych materiałów zostanie skierowany na szkolenie z zakresu ochrony danych osobowych. Ponieważ jednak do czasu wydania przez GIODO decyzji kończącej postępowanie takie szkolenie się nie odbyło, GIODO zobowiązał urząd miasta, by pracownik odbył je w ciągu 14 dni od dnia uprawomocnienia się decyzji.

GIODO podkreślił, że za realizację obowiązku zapewnienia zaznajomienia osoby upoważnionej do przetwarzania danych osobowych z przepisami o ochronie tych danych, nie może zostać uznany fakt złożenia przez nią oświadczenia, iż zna odpowiednie przepisy. Zgodnie bowiem z art. 36a ust. 2 pkt 1 lit. c ustawy o ochronie danych osobowych, do zadań administratora bezpieczeństwa informacji należy zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W przypadku, gdy administrator bezpieczeństwa informacji nie został powołany, zadanie to wykonuje administrator danych (rt. 36b ustawy).

- Żeby uznać, iż obowiązek ten został zrealizowany przez osobę dysponującą odpowiednią wiedzą w tym zakresie, powinno zostać przeprowadzone szkolenie. Samodzielne zapoznanie się z przepisami o ochronie danych, nawet wówczas gdy zostanie potwierdzone odpowiednim oświadczeniem, nie tylko nie zawiera w sobie waloru „zapewnienia zapoznania", ale też nie daje gwarancji, iż taka osoba podczas „samokształcenia" rzeczywiście zwróciła uwagę na wszelkie aspekty przetwarzania przez nią danych osobowych w związku z realizacją należących do niej obowiązków służbowych, a także na wszystkie zagrożenia związane z tym przetwarzaniem. Ułomność takiej formy zaznajomienia się z przepisami o ochronie danych osobowych potwierdziła przeprowadzona kontrola – osoba, która w ten sposób zapoznała się z przepisami o ochronie danych osobowych, dopuściła bowiem do niezgodnego z prawem udostępnienia danych osobowych w BIP - podkreślił GIODO.

Protokół z kontroli GIODO przekazano Komendzie Miejskiej Policji prowadzącej w tej sprawie postępowanie. Odstąpiono natomiast od złożenia wniosku o wszczęcie postępowania dyscyplinarnego wobec pracownika winnego incydentu, bo został on już ukarany upomnieniem przez pracodawcę.