Samorządy muszą spodziewać się kontroli RODO
NIK przeprowadziła kontrole dotyczące ochrony danych osobowych w niektórych samorządach w województwie podlaskim. Niestety wyniki kontroli wskazują na liczne nieprawidłowości. W związku z tym zapowiedziano kontrole RODO w samorządach w całym kraju.
Nieprawidłowości w zakresie przetwarzania danych osobowych na poczcie e-mail
Kontrolerzy NIK stwierdzili nieprawidłowości m.in. w zakresie przetwarzania danych osobowych w ramach poczty e-mail. Naruszenia dotyczyły przetwarzania danych osobowych:
-
identyfikacyjnych i kontaktowych (imiona, nazwiska, adresy, numery PESEL, numery telefonów)
-
stanie zdrowia m.in. wyników badań lekarskich
-
korzystaniu ze świadczeń pomocy społecznej,
-
sytuacji rodzinnej (np. diagnozy w poradniach psychologiczno-pedagogicznych),
-
zatrudnieniu i wynagrodzeniu.
Samorządy wykorzystywały darmowy hosting e-mail
Polegały one na tym, że dane te przetwarzano w e-mailach utworzonych nawet kilkanaście lat temu w ramach darmowych, komercyjnych usług (domeny wp.pl, poczta.onet.pl, gmail.com). Były to zarówno e-maile jednostek jak i ich pracowników. Z dostawcami tych usług nie zostały zawarte umowy powierzenia przetwarzania danych. Na takie niezabezpieczone skrzynki e-mail wpływały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych. Co oczywiste, takie wiadomości mogły zawierać liczne dane osobowe, w tym szczególnej kategorii.
Korzystanie przez jednostki samorządowe z darmowego hostingu e-mail generuje zagrożenie dla bezpieczeństwa danych osobowych, ale też podważa zaufanie do instytucji publicznych.
Skala naruszeń jest znacznie większa
W ocenie NIK nieprawidłowości dotyczące przetwarzania danych osobowych w poczcie e-mail mogą dotyczyć licznych jednostek w całym kraju, w tym szkół i placówek oświatowych, publicznych zakładów opieki zdrowotnej i ośrodków pomocy społecznej. Ryzyko wystąpienia takich naruszeń dotyczy także ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych czy centrów usług wspólnych. Nieprawidłowości mogą obejmować nawet kilkanaście tysięcy takich jednostek.
Zbyt długi okres przechowywania oświadczeń majątkowych
Kolejne zarzuty dotyczyły zbyt długiego okresu przechowywania oświadczeń majątkowych w Biuletynie Informacji Publicznej. Zdarzało się, że w BIP przechowywano oświadczenia majątkowe nawet z 2002 r.
Okres przechowywania oświadczeń majątkowych w Biuletynie Informacji Publicznej wynosi 6 lat.
Transmisje obrad rady gminy – nie zachowano standardów bezpieczeństwa
W toku kontroli stwierdzono również, że obrady rad gminy były transmitowane na niezabezpieczonych portalach społecznościowych.
Jak wskazuje NIK, skala nieprawidłowości jest na tyle duża, że konieczne jest przeprowadzenie tego typu kontroli we wszystkich samorządach w kraju.
-
Samorzad.pap.pl
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
- Aplikacje webowe – jak przeprowadzić analizę ryzyka i zabezpieczyć dane
- Amazon France Logistique z karą za nadmiarowe przetwarzanie danych osobowych pracowników w ramach kontroli jakości pracy
- Jak przeprowadzić analizę ryzyka w zakresie ataku ransomware
- Czy IOD musi posiadać wiedzę na temat cyberbezpieczeństwa
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
