Obserwuj

Bądź na bieżąco z prawem samorządowym. Zamów bezpłatny cotygodniowy newsletter.






Działy:
  • Gospodarka komunalna

    W dziale "GOSPODARKA KOMUNALNA" publikowane są artykuły dotyczące spółek komunalnych oraz zakładów budżetowych, jak również artykuły dotyczące poszczególnych działów gospodarki komunalnej, w tym gospodarki odpadami komunalnymi, gospodarki wodno-ściekowej, transportu publicznego.

  • Podatki

    W dziale "PODATKI" publikowane są artykuły dotyczące podatków i opłat publicznoprawnych, m.in. dotyczące podatku VAT, podatku od nieruchomości, opłaty za gospodarowanie odpadami komunalnymi i innych.

  • Finanse publiczne

    W dziale "FINANSE PUBLICZNE" publikowane są artykuły dotyczące szeroko pojmowanych zagadnień związanych z finansami publicznymi, m.in. artykuły dotyczące dochodów jednostek samorządu terytorialnego oraz dyscypliny finansów publicznych.

  • Zamówienia publiczne

    W dziale "ZAMÓWIENIA PUBLICZNE" publikowane są artykuły dotyczące problematyki zamówień publicznych, m.in. dotyczące sytuacji podmiotów komunalnych w toku postępowania o udzielenie zamówienia publicznego. Prezentowane są także najnowsze orzeczenie KIO oraz sądów w zakresie prawa zamówień publicznych.

  • Prawo cywilne

    W dziale "PRAWO CYWILNE" publikowane są artykuły dotyczące zagadnień cywilnoprawnych, m.in. umów oraz sporów przed sądami powszechnymi, których stroną są podmioty komunalne.

  • Nieruchomości

    W dziale "NIERUCHOMOŚCI" publikowane są artykuły dotyczące nieruchomości komunalnych oraz spraw związanych z innymi nieruchomościami, w których występują organy samorządu terytorialnego. Artykuły dotyczą w szczególności gospodarki nieruchomościami i planowania przestrzennego.

  • Procedury administracyjne

    W dziale "PROCEDURY ADMINISTRACYJNE" publikowane są artykuły dotyczące procedur, które prowadzone są przez organy samorządu terytorialnego. W szczególności artykuły dotyczą ogólnej procedury administracyjnej (KPA - Ordynacja podatkowa), procedury sądowoadministracyjnej, procedury uchwałodawczej oraz dostępu do informacji publicznej.

  • Ustrój

    W dziale "USTRÓJ" publikowane są artykuły dotyczące ustroju podmiotów komunalnych, w tym zagadnienia dotyczące statusu prawnego organów jednostek samorządu terytorialnego, związków międzygminnych czy radnych.

  • Inne

    W dziale "INNE" publikowane są artykuły związane z funkcjonowaniem podmiotów komunalnych, które ze względu na swoją tematykę nie zostały zakwalifikowane do innych kategorii.

15.04.2024

Ochrona danych osobowych w urzędach - NIK o nieprawidłowościach w sposobie przetwarzania danych osobowych przez jednostki samorządu terytorialnego oraz podległe im jednostki

drukuj mail Share

Sprawdzone rozwiązania

dla każdego samorządu.

przeczytaj

Najwyższa Izba Kontroli przedstawiła informacje o kontrolach przeprowadzonych w kilkunastu jednostkach samorządu terytorialnego oraz podległym im jednostkach organizacyjnych w zakresie zapewnienia przez nie ochrony i prawidłowości przetwarzania danych osobowych. Zakres nieprawidłowości był obszerny, a błędy, w większości powtarzały się w kontrolowanych podmiotach.

Artykuł dostępny jest dla zarejestrowanych użytkowników

Najwyższa Izba Kontroli przedstawiła informacje o kontrolach przeprowadzonych w kilkunastu jednostkach samorządu terytorialnego oraz podległym im jednostkach organizacyjnych w zakresie zapewnienia przez nie ochrony i prawidłowości przetwarzania danych osobowych. Zakres nieprawidłowości był obszerny, a błędy, w większości powtarzały się w kontrolowanych podmiotach.

Poczta elektroniczna bez umowy powierzenia przetwarzania danych osobowych

Jednym z powtarzających się błędów, na które zwróciła uwagę NIK było gromadzenie poczty elektronicznej zawierającej dane osobowe z wykorzystaniem usługi hostingu na komercyjnych domenach internetowych bez zawarcia wymaganej umowy powierzenia przetwarzania danych osobowych. Jednostki samorządu terytorialnego i podległe im jednostki organizacyjne korzystały z adresów w takich domenach jak: @gmail.com, @wp.pl, @onet.pl, @op.pl. Kontrolowane jednostki nie zawarły umów powierzenia przetwarzania danych osobowych z podmiotami prowadzącymi ww. domeny, mimo że w skrzynkach pocztowych przetwarzano takie dane osobowe jak: imię, nazwisko, data urodzenia, numer PESEL, adres e-mail, numer telefonu, numer NIP, adres zamieszkania, seria i numer dowodu osobistego, informacje o zatrudnieniu i wysokości wynagrodzenia, dane o sytuacji rodzinnej, tajemnica przedsiębiorstwa, treść umów, loginy, hasła, adres IP, informacje o wykształceniu, numer rachunku bankowego, fotografie, informacje o sytuacji zawodowej czy dane podlegające szczególnej ochronie, tj. dane o stanie zdrowia. Wskazane nieprawidłowości stanowiły naruszenie art. 28 ust. 3 RODO.

W związku z ww. błędami warto przytoczyć niektóre z przyczyn stwierdzonych nieprawidłowości, które były wskazane przez jednostki kontrolowane:

  • nieświadomość ryzyka związanego z nieprzestrzeganiem przepisów o ochronie danych osobowych;
  • przeoczenie i zaniedbanie;
  • braki kadrowe, w tym na stanowisku informatyka;
  • duża rotacja pracowników;
  • nowe zadania zlecone jednostce samorządu terytorialnego;
  • brak kompleksowej wiedzy, kompetencji, znajomości zasad, wytycznych, brak kwalifikacji – powodujące nieświadomość popełnionych błędów;
  • brak informacji o nieposiadaniu umowy powierzenia przetwarzania danych osobowych;
  • brak świadomości kierownictwa jednostki o potrzebie zawarcia umowy powierzenia przetwarzania danych osobowych;
  • brak szkoleń z tematyki ochrony danych osobowych;
  • przyzwyczajenie pracowników do korzystających z poczty elektronicznej;
  • zbyt długie i skomplikowane adresy mailowe w posiadanej przez urząd domenie (to uzasadnienie dotyczyło jednostek podległych jednostce samorządu terytorialnego);
  • darmowe skrzynki poczty elektronicznej;
  • długotrwałe funkcjonowanie skrzynek poczty elektronicznej w portalach komercyjnych w świadomości klientów jednostek;
  • bariery finansowe – brak środków na zakup infrastruktury informatycznej;
  • bariera w dostępie do wiedzy – drogie szkolenia.

Warto jednocześnie dodać, że błędy w zakresie poczty elektronicznej, w dużej części, zostały naprawione przez niektórych kontrolowanych przed kontrolą lub w toku jej trwania. W pozostałych przypadkach jednostki zaplanowały ich usunięcie.

Brak skutecznej i adekwatnej kontroli zarządczej w podległych jednostkach

W związku z licznymi nieprawidłowościami w zakresie bezpieczeństwa danych, w tym danych osobowych gromadzonych w formie elektronicznej, przez jednostki podległe jednostkom samorządu terytorialnego, NIK wskazała na brak skutecznej i adekwatnej kontroli zarządu w gminnych i powiatowych jednostkach organizacyjnych. Nieprawidłowość ta została przypisana wszystkim kontrolowanym. Skutkiem braku kontroli zarządczej były powtarzające się błędy w podległych jednostkach polegające na gromadzeniu poczty elektronicznej zawierającej dane osobowe z wykorzystaniem usługi hostingu na komercyjnych domenach internetowych bez zawarcia wymaganej umowy powierzenia przetwarzania danych osobowych.

Naruszenie zasady minimalizacji w związku z informacjami zawartymi w BIP

Kolejnym błędem, na który NIK zwróciła uwagę było gromadzenie i upublicznianie na stronach internetowych BIP danych osobowych w oświadczeniach majątkowych po upływie czasu określonego w odrębnych przepisach.

Zgodnie z art. 25c ust. 6 ustawy o samorządzie powiatowym, Oświadczenie majątkowe przechowuje się przez 6 lat. Analogiczna regulacja została przewidziana w art. 24h ust. 6 ustawy o samorządzie gminnym. Pomimo tego w BIP przechowywano oświadczenia majątkowe przez dłuższy okres. Stanowiło to naruszenie ww. przepisów oraz zasady minimalizacji danych wskazanej w art. 5 ust. 1 lit. c RODO. Przy czym najstarsze oświadczenia zostały złożone za 2002 r.

Kontrolowane jednostki jeszcze w czasie kontroli NIK usunęły z BIP oświadczenia, których okres przechowywania już upłynął.

Publikacja materiałów z sesji obrad rad gmin/ powiatów z naruszeniem przepisów

W trakcie czynności kontrolnych NIK zwróciła uwagę na nieprawidłowości w publikowaniu materiałów video z sesji rad gmin/ powiatów polegające na:

  • braku analizy ryzyka (oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych) wynikającej z korzystania podczas przetwarzania danych osobowych uczestników sesji rady;
  • braku umowy powierzenia przetwarzania danych osobowych z podmiotem prowadzącym serwis do transmitowania obrad.

W konsekwencji stwierdzonych naruszeń, kontrolowane jednostki usunęły błędy poprzez usunięcie z portalu YouTube materiałów video.

Warto jednocześnie dodać, że niektóre z kontrolowanych jednostek z ogóle nie wywiązały się z obowiązku publikacji sesji organu uchwałodawczego. W takim przypadku jednostki te zobowiązały się do podjęcia czynności zmierzających do wyłonienia dostawcy usług w zakresie obsługi transmisji obrad sesji rad.

Nieprawidłowa anonimizacja uchwał

Błędem, który został stwierdzony przez kontrolerów NIK był również brak anonimizacji uchwał organów uchwałodawczych. Konsekwencją tego naruszenia była możliwość odczytania danych osobowych osób fizycznych. Jako przyczynę tego błędu wskazano m.in. brak umiejętności obsługi edytora tekstu. Warto jednocześnie dodać, że wskazany błąd został stwierdzony jedynie u kilku kontrolowanych.

Podsumowanie

Po przeanalizowaniu wystąpień pokontrolnych NIK nasuwa się wniosek, iż skala nieprawidłowości stwierdzonych przez NIK jest duża. Właściwie nie było jednostki, u której nie zauważono by błędów. Przy czym, na uwagę z pewnością zasługuje postawa jednostek kontrolowanych, które, w większości przypadków, jeszcze w trakcie kontroli usunęły stwierdzone nieprawidłowości.

Sprawdzone rozwiązania

dla każdego samorządu.

przeczytaj
DZIAŁY:
Inne

Autor artykułu

Anna Przygocka

radca prawny w Kancelarii Prawnej Dr Krystian Ziemski & Partners w Poznaniu. Specjalizuje się w prawie cywilnym oraz prawie pracy

Więcej z Praktyki §

Wydarzenia PDS

  • Brak nadchodzących wydarzeń
Więcej wydarzeń

Sprawdzone rozwiązania

dla każdego samorządu.

przeczytaj