Takie zalecenia wydał Generalny Inspektor Ochrony Danych Osobowych (GIODO) po kontroli przeprowadzonej jesienią 2016 r. w jednym z urzędów miast.
Kontrolę zainicjowały doniesienia medialne i pisma radnych kierowane do GIODO. Dotyczyły upublicznienia na stronie internetowej urzędu miasta odpowiedzi na interpelację radnych w sprawie funkcjonowania Miejskiego Ośrodka Pomocy Społecznej (MOPS), która zawierała imiona i nazwiska, numery PESEL, adresy oraz zarobki stażystów MOPS. W toku kontroli ustalono, iż za incydent ten winę ponosi pracownik urzędu miasta, który zamieścił ten dokument w BIP, nie dokonując anonimizacji znajdujących się w nim danych osobowych.
Nie wiedzieli, jak postępować z danymi
Z ustaleń kontrolerów GIODO wynikało, że błąd ten to skutek braku procedur określających obowiązki pracowników związane z udostępnianiem w BIP materiałów zawierających dane osobowe. Nie wiedzieli oni, jak mają z nimi postępować. Brakowało też cyklicznych szkoleń pracowników z przepisów o ochronie danych osobowych.
GIODO, uznał, że urząd miasta będący administratorem danych naruszył w ten sposób art. 36 ust. 1 ustawy o ochronie danych osobowych, gdyż nie określił środków organizacyjnych mających na celu zapewnienie ochrony przetwarzanych danych osobowych, a zwłaszcza ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym.
Przeprowadzona kontrola wykazała również, że system informatyczny służący do zamieszczania materiałów w BIP, nie został uwzględniony w dokumentacji opisującej sposób przetwarzania danych osobowych w urzędzie. To stanowi naruszenie art. 36 ust. 2 ustawy.