GIODO przedstawia wnioski z kontroli w urzędzie miasta

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 6 lutego 2017
GIODO przedstawia wnioski z kontroli w urzędzie miasta

Materiały zamieszczane w BIP muszą być zanonimizowane, a dokumentów z danymi osobowymi nie można przekazywać na prywatną skrzynkę e-mail – przypomina GIODO.

Jesienią 2016 roku Generalny Inspektor Ochrony Danych Osobowych przeprowadził kontrolę w jednym z urzędów miast. Organ postanowił wszcząć kontrolę po tym, jak z doniesień medialnych i pisma od radnych dowiedział się, że na stronie internetowej urzędu miasta została opublikowana odpowiedź na interpelację radnych w sprawie Miejskiego Ośrodka Pomocy Społecznej (MOPS).

Dokument nie został zanonimizowany i zawierał imiona i nazwiska, numery PESEL, adresy oraz zarobki stażystów MOPS. Kontrola GIODO wykazała, że winę za tę sytuację ponosi pracownik urzędu miasta, który przed zamieszczeniem dokumentu w Biuletynie Informacji Publicznej nie usunął z niego danych osobowych stażystów.

Brak procedur postępowania z danymi osobowymi

Inspektorzy GIODO ustalili, że w urzędzie nie było procedur, które określałyby obowiązki pracowników związane z udostępnianiem dokumentów z danymi osobowymi w BIP. Pracownicy nie byli też systematycznie szkoleni z zasad ochrony danych osobowych. W związku z tym GIODO stwierdził, że to urząd miasta jako administrator danych ponosi odpowiedzialność za ujawnienie danych osobowych. Złamał bowiem art. 36 ust. 1 ustawy o ochronie danych osobowych – nie określił środków organizacyjnych, które należy stosować, by zabezpieczyć dane osobowe, zwłaszcza przed dostępem osób nieupoważnionych.

Podczas kontroli okazało się też, że w dokumentacji ochrony danych w urzędzie miasta nie wskazano systemu informatycznego, za pomocą którego były zamieszczane materiały w BIP. Jest to naruszenie art. 36 ust. 2 ustawy.

Dokumenty służbowe na prywatnej skrzynce e-mail

Podczas kontroli wyszło także na jaw, że odpowiedzi na interpelacje radnych są wysyłane na ich prywatne adresy e-mail. Część z nich funkcjonowała pod domeną gmail.com, co oznacza, że serwery tej poczty elektronicznej znajdują się w państwie trzecim, czyli poza Europejskim Obszarem Gospodarczym. GIODO uznał więc, że ten sposób komunikowania się nie zapewnia właściwej ochrony danych osobowych, które mogą znajdować się w przesyłanych dokumentach.

Organ podkreślił, że takie dokumenty mogą być wysyłane jedynie na służbowy adres e-mail z wykorzystaniem środków bezpieczeństwa określonych przez administratora danych. „Wykorzystywanie w tym celu prywatnej poczty elektronicznej radnych nie daje gwarancji, że dostęp do przesłanych danych osobowych mają wyłącznie osoby upoważnione, co w konsekwencji stanowi naruszenie obowiązków wynikających z art. 36 ust. 1 ustawy” – stwierdził GIODO.

Błędy udało się naprawić

Część wskazanych uchybień urząd miasta usunął już w trakcie kontroli. W „Instrukcji postępowania w sprawie udostępniania materiałów w Biuletynie Informacji Publicznej Urzędu Miasta” zostały określone zasady przetwarzania danych osobowych w tym celu. Do Przewodniczącego rady miejskiej oficjalnie poinformowano, że odpowiedzi na interpelacje radnych będą przekazywane wyłącznie na ich służbową pocztę elektroniczną udostępnioną przez urząd miasta. Pracownik, który zamieścił odpowiedź na interpelację zawierającą dane osobowe w BIP został ukarany przez pracodawcę karą upomnienia. Urząd miasta zobowiązał się także, że skieruje go na szkolenie z ochrony danych osobowych.

Źródło:

GIODO

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel