15.04.2024


Ochrona danych osobowych w urzędach - NIK o nieprawidłowościach w sposobie przetwarzania danych osobowych przez jednostki samorządu terytorialnego oraz podległe im jednostki

KATEGORIA: Praktyka

Najwyższa Izba Kontroli przedstawiła informacje o kontrolach przeprowadzonych w kilkunastu jednostkach samorządu terytorialnego oraz podległym im jednostkach organizacyjnych w zakresie zapewnienia przez nie ochrony i prawidłowości przetwarzania danych osobowych. Zakres nieprawidłowości był obszerny, a błędy, w większości powtarzały się w kontrolowanych podmiotach.

Poczta elektroniczna bez umowy powierzenia przetwarzania danych osobowych

Jednym z powtarzających się błędów, na które zwróciła uwagę NIK było gromadzenie poczty elektronicznej zawierającej dane osobowe z wykorzystaniem usługi hostingu na komercyjnych domenach internetowych bez zawarcia wymaganej umowy powierzenia przetwarzania danych osobowych. Jednostki samorządu terytorialnego i podległe im jednostki organizacyjne korzystały z adresów w takich domenach jak: @gmail.com, @wp.pl, @onet.pl, @op.pl. Kontrolowane jednostki nie zawarły umów powierzenia przetwarzania danych osobowych z podmiotami prowadzącymi ww. domeny, mimo że w skrzynkach pocztowych przetwarzano takie dane osobowe jak: imię, nazwisko, data urodzenia, numer PESEL, adres e-mail, numer telefonu, numer NIP, adres zamieszkania, seria i numer dowodu osobistego, informacje o zatrudnieniu i wysokości wynagrodzenia, dane o sytuacji rodzinnej, tajemnica przedsiębiorstwa, treść umów, loginy, hasła, adres IP, informacje o wykształceniu, numer rachunku bankowego, fotografie, informacje o sytuacji zawodowej czy dane podlegające szczególnej ochronie, tj. dane o stanie zdrowia. Wskazane nieprawidłowości stanowiły naruszenie art. 28 ust. 3 RODO.

W związku z ww. błędami warto przytoczyć niektóre z przyczyn stwierdzonych nieprawidłowości, które były wskazane przez jednostki kontrolowane:

Warto jednocześnie dodać, że błędy w zakresie poczty elektronicznej, w dużej części, zostały naprawione przez niektórych kontrolowanych przed kontrolą lub w toku jej trwania. W pozostałych przypadkach jednostki zaplanowały ich usunięcie.

Brak skutecznej i adekwatnej kontroli zarządczej w podległych jednostkach

W związku z licznymi nieprawidłowościami w zakresie bezpieczeństwa danych, w tym danych osobowych gromadzonych w formie elektronicznej, przez jednostki podległe jednostkom samorządu terytorialnego, NIK wskazała na brak skutecznej i adekwatnej kontroli zarządu w gminnych i powiatowych jednostkach organizacyjnych. Nieprawidłowość ta została przypisana wszystkim kontrolowanym. Skutkiem braku kontroli zarządczej były powtarzające się błędy w podległych jednostkach polegające na gromadzeniu poczty elektronicznej zawierającej dane osobowe z wykorzystaniem usługi hostingu na komercyjnych domenach internetowych bez zawarcia wymaganej umowy powierzenia przetwarzania danych osobowych.

Naruszenie zasady minimalizacji w związku z informacjami zawartymi w BIP

Kolejnym błędem, na który NIK zwróciła uwagę było gromadzenie i upublicznianie na stronach internetowych BIP danych osobowych w oświadczeniach majątkowych po upływie czasu określonego w odrębnych przepisach.

Zgodnie z art. 25c ust. 6 ustawy o samorządzie powiatowym, Oświadczenie majątkowe przechowuje się przez 6 lat. Analogiczna regulacja została przewidziana w art. 24h ust. 6 ustawy o samorządzie gminnym. Pomimo tego w BIP przechowywano oświadczenia majątkowe przez dłuższy okres. Stanowiło to naruszenie ww. przepisów oraz zasady minimalizacji danych wskazanej w art. 5 ust. 1 lit. c RODO. Przy czym najstarsze oświadczenia zostały złożone za 2002 r.

Kontrolowane jednostki jeszcze w czasie kontroli NIK usunęły z BIP oświadczenia, których okres przechowywania już upłynął.

Publikacja materiałów z sesji obrad rad gmin/ powiatów z naruszeniem przepisów

W trakcie czynności kontrolnych NIK zwróciła uwagę na nieprawidłowości w publikowaniu materiałów video z sesji rad gmin/ powiatów polegające na:

W konsekwencji stwierdzonych naruszeń, kontrolowane jednostki usunęły błędy poprzez usunięcie z portalu YouTube materiałów video.

Warto jednocześnie dodać, że niektóre z kontrolowanych jednostek z ogóle nie wywiązały się z obowiązku publikacji sesji organu uchwałodawczego. W takim przypadku jednostki te zobowiązały się do podjęcia czynności zmierzających do wyłonienia dostawcy usług w zakresie obsługi transmisji obrad sesji rad.

Nieprawidłowa anonimizacja uchwał

Błędem, który został stwierdzony przez kontrolerów NIK był również brak anonimizacji uchwał organów uchwałodawczych. Konsekwencją tego naruszenia była możliwość odczytania danych osobowych osób fizycznych. Jako przyczynę tego błędu wskazano m.in. brak umiejętności obsługi edytora tekstu. Warto jednocześnie dodać, że wskazany błąd został stwierdzony jedynie u kilku kontrolowanych.

Podsumowanie

Po przeanalizowaniu wystąpień pokontrolnych NIK nasuwa się wniosek, iż skala nieprawidłowości stwierdzonych przez NIK jest duża. Właściwie nie było jednostki, u której nie zauważono by błędów. Przy czym, na uwagę z pewnością zasługuje postawa jednostek kontrolowanych, które, w większości przypadków, jeszcze w trakcie kontroli usunęły stwierdzone nieprawidłowości.



Autor:
Anna Przygocka

radca prawny w Kancelarii Prawnej Dr Krystian Ziemski & Partners w Poznaniu. Specjalizuje się w prawie cywilnym oraz prawie pracy


TAGI: Dane osobowe, NIK, Ochrona danych osobowych,



Tekst pochodzi z portalu Prawo Dla Samorządu