Potrzebne przepisy do lepszego zabezpieczania danych osobowych w samorządach i instytucjach

W delegaturze NIK w Białymstoku zaprezentowano w czwartek wyniki kontroli przeprowadzonej w 12 podlaskich samorządach i ich jednostkach. Łącznie było to 76 podmiotów, w tym m.in. szkoły, domy pomocy społecznej, centra pomocy rodzinie, poradnie psychologiczno-pedagogiczne, placówki kultury.

NIK kontrolowała ochronę i przetwarzanie danych, w tym danych osobowych, danych ze stron internetowych, e-maili, transmisji z sesji rad gmin czy powiatów. Kontrolowano tylko podstawową komunikację urzędu z obywatelem, a nie bezpieczeństwo sieci.

P.o. dyrektora delegatury NIK w Białymstoku Janusz Pawelczyk zaznaczył na konferencji prasowej, że bezpieczeństwo danych jest kluczowe chociażby w kontekście mowy o wojnie hybrydowej, trwającej wojny, czy z powodów cyberbezpieczeństwa. Podkreślił, że potrzebne są "uregulowania legislacyjne, ogólnopolskie" w formie ustaw i przepisów wykonawczych, które zobligują różne instytucje: sądy, prokuratury, samorządy, instytucje, administrację państwową do określonych natychmiastowych działań, aby bezpieczeństwo danych podnieść. Dodał, że potrzebne jest też wzmocnienie Urzędu Ochrony Danych Osobowych.

"Niestety system jest tak pełen ryzyk (...). Trzeba też wiedzieć, że poprzez te systemy mailowe przesyłana jest cała masa danych oczywiście dotyczących aparatu funkcjonowania państwa. To powoduje, że tak naprawdę system jest otwarty, (...) dostępny dla osób, które są zainteresowane weryfikacją tego, jak państwo polskie jest przygotowane i bezpieczne" - powiedział Pawelczyk. "Uważam, że jak najszybciej administracja powinna przystąpić do zmian, które spowodują uszczelnienie tego systemu" - dodał.

NIK wyjaśniła, że powodem przeprowadzonej kontroli były wyniki wcześniejszych podobnych tematycznie analiz i kontroli z 2017 r. (bezpieczeństwo elektronicznych zasobów informacyjnych w samorządach w Podlaskiem) i 2018 r. (zarządzanie bezpieczeństwem informacji w samorządach), dokonany przegląd ogólnodostępnych danych kontaktowych różnych jednostek, ale też np. informacje w mediach nt. zagrożeń cyberatakami czy np. informacje o wyciekach danych ze skrzynek pocztowych wysokich rangą urzędników państwowych.

Kontrolerzy wykazali, że działania samorządów i ich jednostek w kwestii zabezpieczenia danych były - jak powiedział Wojciech Zambrzycki z NIK - "nieskuteczne, pełne przyzwyczajeń z przeszłości i nieświadomości zagrożeń".

"Zawiodła również kontrola zarządcza włodarzy gminy lub powiatu nad ich jednostkami podległymi. Ustaliliśmy, że powszechnie korzystano ze skrzynek mailowych na portalach komercyjnych bez zawarcia wymaganej prawem umowy powierzenia przetwarzania danych. Przetwarzano wizerunek osób uczestniczących w obradach sesji rad gmin lub powiatów - również bez takiej umowy - a transmisje z tych obrad przeprowadzono na popularnych portalach komercyjnych" - powiedział Zambrzycki. Podał, że był nawet przypadek gdy inspektor ochrony danych osobowych korzystał z maila z komercyjną domeną bez zawarcia stosownej umowy.

Wykazano też np., że samorządy za długo zamieszczały treść oświadczeń majątkowych osób, które są do tego zobligowane przepisami. Zambrzycki przypomniał, że zgodnie z przepisami takie oświadczenie ma być publikowane przez 6 lat, a wykazano sytuacje, gdy miało to miejsce przez ponad 20 lat. W czasie kontroli - jak podał - usunięto ponad 1,3 tys. oświadczeń majątkowych, które już dawno powinny być usunięte.

Kontrolerzy NIK wskazali, że w tych mailach były wrażliwe informacje o stanie zdrowia (wyniki badań lekarskich, diagnozy z poradni psychologiczno-pedagogicznych), numery PESEL, numery telefonów, dane o korzystaniu ze świadczeń opieki społecznej, o zatrudnieniu, wysokości wynagrodzenia, sytuacji rodzinnej. Janusz Pawelczyk zwrócił uwagę, że można w ten sposób poznać stan zdrowia Polaków, ich inne problemy, ktoś może też na pozyskane dane zaciągnąć kredyt.

NIK podkreśliła, że skontrolowane samorządy usunęły nieprawidłowości. Usunięto 246 adresów mailowych.

Z przedstawionych danych NIK wynika, że kontrolowane podmioty tłumaczyły korzystanie latami z domen komercyjnych przyzwyczajeniami i zaszłościami, które funkcjonowały za poprzedników. Dodano, że korzystanie z domen służbowych nie wiąże się z dużymi wydatkami, bo gminy zazwyczaj mają swoje domeny.(PAP)

autorka: Izabela Próchnicka

kow/ pad/