22 lutego 2024 r. na stronie internetowej Najwyższej Izby Kontroli opublikowano raport odnoszący się do przeprowadzonych przez Delegaturę NIK w Białymstoku w 12 samorządach i ich 76 jednostkach podległych, kontroli z zakresu „Zapewnienie ochrony i prawidłowego przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej przez jednostki samorządu terytorialnego oraz podległe jednostki organizacyjne na stronach internetowych, poczcie elektronicznej oraz w związku z odbywającymi się sesjami organów uchwałodawczych”.
Czynności kontrolne w ww. jednostkach wykazały wieloletnie nieprawidłowości i zaniedbania w obszarze ochrony danych osobowych, nieświadomość zagrożeń oraz potwierdziły, że wybrane elementy systemu ochrony danych osobowych są w złym stanie. Z przedstawionego raportu wynika, iż podmioty kontrolowane korzystały z adresów mailowych utworzonych w domenach komercyjnych bez zawarcia, zgodnie z art. 28 Ogólnego rozporządzenia o ochronie danych, umów powierzenia danych osobowych. W wyniku kontroli zmieniono adresy mailowe w 45 jednostkach samorządowych oraz łącznie zrezygnowano z używania blisko 250 adresów mailowych, wykorzystywanych do celów służbowych, a zlokalizowanych na domenach komercyjnych bez zastosowania odpowiednich umów gwarantujących należny poziom bezpieczeństwa. Podkreślić należy, że analiza skrzynek mailowych wykazała, iż w sposób nieprawidłowy przetwarzano dane osobowe takie jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, PESEL, numery telefonów), dane o ich stanie zdrowia (np. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, dane o zatrudnieniu i wysokości zarobków oraz dane o sytuacji rodzinnej.
Ponadto, w toku kontroli wykazano, iż sprawdzone jednostki nie stosują się do 6-letniego okresu publikacji oświadczeń majątkowych na stronie Biuletynu Informacji Publicznej. Łącznie usunięto ponad 1,3 tys. oświadczeń, z czego część dotyczyła 2002 roku. W kilku samorządach zmieniono także zasady transmitowania i publikowania posiedzeń organów stanowiących.
Szacuje się, iż nieprawidłowości mogą dotyczyć kilkunastu tysięcy instytucji publicznych w całym kraju, które codziennie korzystają z skrzynek mailowych w domenach komercyjnych np. wp.pl, gmail.com, onet.pl, a które nie powinny być wykorzystywane do celów służbowych.
Ryzyko trafiania na takie adresy mailowe tysięcy wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione, skłoniło NIK do podjęcia decyzji o skontrolowaniu wszystkich jednostek samorządowych w kraju. Kontrole mają zagwarantować bezpieczne przetwarzanie danych osobowych w całym sektorze samorządowym oraz zwiększyć świadomość jak ważne jest stosowanie bezpiecznych narzędzi i instrumentów, które w sposób odpowiedni zabezpieczają dane osobowe obywateli.
Ponadto NIK prowadzi analizę w zakresie bezpieczeństwa danych osobowych innych branż i resortów np. w sądownictwie. Informacje pozyskane w dziewięciu sądach apelacyjnych wskazują, że widoczny staje się problem dotyczący korespondowania za pośrednictwem poczty elektronicznej z biegłymi sądowymi, którzy posługują się adresami mailowymi na bezpłatnych komercyjnych domenach, bez zawarcia stosownych umów powierzenia danych osobowych z właścicielem domeny. Niestety prawdopodobnym jest, że powyższy problem może dotyczyć innych grup związanych z sądownictwem tj. kuratorów, mediatorów, ławników czy tłumaczy przysięgłych.
Sylwester Krawczyk
Inspektor Ochrony Danych
Audytor wewnętrzny ISO 27001