Niezabezpieczone skrzynki e-mail i transmisje na YouTubie. NIK alarmuje

Najwyższa Izba Kontroli alarmuje, że w samorządach dane płyną przez niezabezpieczone skrzynki, oświadczenia majątkowe latami wiszą na stronach BIP, a transmisje z posiedzeń prowadzone są na YouTubie. NIK zapowiada audyty w całej Polsce.

Publikacja: 28.02.2024 16:23

Niezabezpieczone skrzynki e-mail i transmisje na YouTubie. NIK alarmuje

Foto: Fotorzepa

Zdaniem NIK szwankuje podstawowa ochrona danych osobowych w jednostkach samorządowych. Co jest tego przyczyną? Izba wylicza: wieloletnie zaniedbania, nieświadomość zagrożeń, brak jednoznacznych wytycznych. Szacuje, że do nieprawidłowości może dochodzić nawet w kilkunastu tysiącach publicznych instytucji, więc zapowiada kontrole w całym kraju.

Dotąd objęły one 12 jednostek samorządu terytorialnego (JST) z woj. podlaskiego, w których sprawdzono, jak chronione są przetwarzane dane – w tym osobowe, gromadzone w formie elektronicznej – na stronach www, w skrzynkach mailowych i przy transmisjach sesji organów uchwałodawczych.

Kontrole ukróciły wieloletnie czasem korzystanie z adresów tworzonych w komercyjnych domenach, bez dodatkowych zabezpieczeń. Zablokowane zostały one w kilkudziesięciu urzędach, instytucjach kultury, ośrodkach pomocy społecznej czy placówkach oświatowych.

Czytaj więcej

Majątki małżonków polityków mają być jawne. UODO ma zastrzeżenia

W obiegu kilkadziesiąt tysięcy niezabezpieczonych skrzynek mailowych  

Jakie dane płynęły przez niezabezpieczone skrzynki? Imiona i nazwiska, adresy, PESELE i numery telefonów osób fizycznych, informacje o ich stanie zdrowia, np. badaniach lekarskich, dane o korzystaniu ze świadczeń opieki społecznej, o zatrudnieniu i wysokości wynagrodzenia, o sytuacji rodzinnej. Poza tym z BIP usuniętych zostało ponad 1,3 tys. oświadczeń majątkowych, które po upływie sześciu lat nie powinny już tam wisieć. NIK miała też zastrzeżenia, co do transmisji obrad na niezabezpieczonych portalach społecznościowych.

Izba przypuszcza, że nieprawidłowości mogą zostać wykryte też w ośrodkach kultury, bibliotekach, powiatowych sanepidach, domach pomocy społecznej, centrach pomocy rodzinie czy przychodniach psychologiczno-pedagogicznych.

Alarmuje, że w obiegu może być nawet kilkadziesiąt tysięcy nieodpowiednio zabezpieczonych adresów. - Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów, w sposób odpowiedni zabezpieczających dane osobowe obywateli – zaznacza NIK. I dodaje, że z adresów na komercyjnych domenach korzystają nawet biegli sądowi. 

Wierzchołek góry lodowej. Stanowisko UODO 

Raport NIK na razie w części pokazał skalę problemów, z których zdaje sobie sprawę prezes Urzędu Ochrony Danych Osobowych. Jak precyzuje jego zastępczyni Agnieszka Grzelak, trawią one nie tylko JST, ale też inne organy i jednostki publiczne.

Ekspertka przypomina, że prezes UODO prowadził już postępowania związane z korzystaniem z zewnętrznych i prywatnych skrzynek. - Wykorzystywanie poczty komercyjnej w celach służbowych nie zawsze daje gwarancję, że dostęp do przesyłanych danych mają wyłącznie osoby upoważnione – alarmuje.

Wnioski wyciągnięte przez NIK podzielają też eksperci. Zdaniem Grzegorza Sibigi z kancelarii Traple, Konarski, Podrecki i Wspólnicy, profesora Instytutu Nauk Prawnych PAN, kontrole – z uwagi na ich skalę – pokazały tylko wierzchołek góry lodowej. Jednak mimo ujawnionych uchybień przestrzega on przed jednoznacznym wyrokowaniem odnośnie kondycji wszystkich jednostek w kraju.

–  Wyniki kontroli mogą być jednak sygnałem o niewystarczającym dotychczasowym nadzorze nad wykonywaniem obowiązków w jednostkach samorządu terytorialnego – uważa profesor. 

Wygrywają najtańsze oferty, cierpi ochrona danych 

Jego zdaniem wyniki te w niekorzystnym świetle stawiają jednak inspektorów ochrony danych w jednostkach samorządowych. – Tak proste błędy, jak zbyt długie umieszczanie oświadczeń majątkowych w BIP, świadczą o braku kompetencji lub niewystarczającej aktywności inspektorów – uważa Grzegorz Sibiga.

Ekspert ma jednak mieszane uczucia, co do rozciągnięcia zakresu kontroli NIK na wszystkie samorządy w kraju. Przyznaje, że o ile może to przyczynić się do poprawy sytuacji, o tyle Izba nie powinna dublować działań prezesa UODO. Może to doprowadzić do prezentacji rozbieżnych stanowisk prawnych w sprawach ochrony danych i aktywności, jakie w tym zakresie trzeba podjąć – a jest to domena prezesa Urzędu.

Radca prawny Marek Lewandowski z Kancelarii Radców Prawnych TEZA możliwą przyczynę problemów widzi w fakcie, że wiele JST przy obsłudze procesu RODO, czyli przetwarzaniu danych osobowych, korzysta z usług firm zewnętrznych.

–  Oznacza to, że inspektor danych osobowych nie jest w nich zatrudniony na etacie, a tym samym - stale obecny np. w urzędzie – ocenia prawnik. I tłumaczy: - Przetargi wygrywają firmy składające najkorzystniejsze, czyli często najtańsze oferty. Skoro cena jest niska, to inspektor nie ma możliwości rzetelnego wypełniania swoich obowiązków; jest zwykle „pod telefonem", ale nie kontroluje na bieżąco, czy przepisy są wdrażane i przestrzegane. –

Zdaniem eksperta nie ma on zatem możliwości, aby obserwować, jak z tymi kwestiami radzą sobie pracownicy, ani na bieżąco zwracać im uwagi. A skoro przepisy RODO wciąż uznawane są za stosunkowo nowe, powinni oni przechodzić szkolenia i wdrażać się do ich stosowania. – Co prawda konkurencja na rynku się zaostrza, więc można spodziewać się podwyższenia jakości usług w tym zakresie, ale jest to proces powolny – uważa radca.

Sesja rady miasta na YouTubie to ryzyko 

Mec. Lewandowski – w ślad za NIK – zwraca też uwagę na ewentualne ryzyka przy transmitowaniu posiedzeń np. sesji rady miasta za pośrednictwem YouTuba. Problem pojawia się bowiem, gdy samorząd nie korzysta z profesjonalnych platform, do których dostęp – jak zaznacza – jest stosunkowo niedrogi.

- Na szczęście większość gmin wybiera te bezpieczne, dbające o bezpieczeństwo danych, zapewniających ich ewentualną anonimizację, transkrypcję dla osób głuchoniemych – wskazuje prawnik. I przypomina, że youtubowe konto może zostać w każdej chwili zablokowane, a jeśli samorząd nie stworzy kopii zapasowych z transmitowanych posiedzeń, to przebieg sesji może okazać się niemożliwy do odtworzenia.

Mecenas wskazuje też, że o ile za przetwarzanie danych osobowych niezgodnie z prawem grożą kary, o tyle w praktyce osoby, które padły tego ofiarą rzadko idą sądu. - Poza tym, jeśli wyciek nie miał dla nich realnych konsekwencji, np. nikt nie wziął na nich kredytu, to szansa na uzyskanie dużych kwot jest mała – konkluduje ekspert.

Sytuację w kwestii ochrony danych próbował w ostatnich latach poprawić Narodowy Instytut Samorządu Terytorialnego. Jak zapewnia, w proponowanych przez niego szkoleniach wzięło udział ponad cztery tysiące osób, zaś z bezpłatnego kursu dotyczącego RODO skorzystało około 20 tysięcy. Jednak – jak wynika z audytu Izby – potrzebne są dalsze działania.

- Biorąc pod uwagę ważność i skalę problemu, NIST opracuje ekspertyzę, wyda opinię związaną z przeprowadzonymi przez NIK kontrolami, co w naszej ocenie wzmocni i wesprze merytorycznie JST – zapewnia Instytut.

Czytaj więcej

Sąd: słona kara za sesje rady miasta transmitowane na YouTubie

Zdaniem NIK szwankuje podstawowa ochrona danych osobowych w jednostkach samorządowych. Co jest tego przyczyną? Izba wylicza: wieloletnie zaniedbania, nieświadomość zagrożeń, brak jednoznacznych wytycznych. Szacuje, że do nieprawidłowości może dochodzić nawet w kilkunastu tysiącach publicznych instytucji, więc zapowiada kontrole w całym kraju.

Dotąd objęły one 12 jednostek samorządu terytorialnego (JST) z woj. podlaskiego, w których sprawdzono, jak chronione są przetwarzane dane – w tym osobowe, gromadzone w formie elektronicznej – na stronach www, w skrzynkach mailowych i przy transmisjach sesji organów uchwałodawczych.

Pozostało 92% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Prawo karne
Prokuratura wszczęła śledztwo ws. ujawnienia danych przez Adama Niedzielskiego
Materiał Promocyjny
Wykup samochodu z leasingu – co warto wiedzieć?
Nieruchomości
Trybunał: nabyli działkę bez zgody ministra, umowa nieważna
Praca, Emerytury i renty
Czy każdy górnik może mieć górniczą emeryturę? Ważny wyrok SN
Prawo karne
Kłopoty żony Macieja Wąsika. "To represje"
Materiał Promocyjny
Jak kupić oszczędnościowe obligacje skarbowe? Sposobów jest kilka
Sądy i trybunały
Czy frankowicze doczekają się uchwały Sądu Najwyższego?