Raport kontroli NIK 22-04-2024: Szkoły, jednostki samorządowe mają poważne problemy z ochroną danych

Najnowszy raport NIK – Najwyższej Izby Kontroli, z województwa podlaskiego, wskazuje na poważne zaniedbania dotyczące ochrony danych osobowych w jednostkach samorządowych – w tym w szkołach oraz przychodniach medycznych. Urząd nakazał pilną potrzebę dokonania zmian. Skala dotyczy kilkunastu tysięcy publicznych instytucji. Według Najwyższej Izby Kontroli, wyniki postępowania kontrolnego mogą być wierzchołkiem góry lodowej. Liczba instytucji publicznych z naruszeniami przepisów RODO może bowiem sięgać kilkunastu tysięcy. NIK nie zamierza jednak ograniczać się do słów – kontrola, ograniczona początkowo do 12 podlaskich samorządów, ma teraz objąć wszystkie polskie samorządy.

NIK o zwiększeniu bezpieczeństwa ochrony danych osobowych przechowywanych w jednostkach samorządowych w formie elektronicznej

Wieloletnie zaniedbania dotyczące ochrony danych osobowych, nieświadomość zagrożeń, brak jednoznacznych wytycznych, używanie domen publicznych bez stosownych umów gwarantujący bezpieczeństwo – to w ocenie NIK sprawia, że podstawowe elementy systemu ochrony danych osobowych w jednostkach samorządowych były nieskuteczne. NIK rekomenduje szybką potrzebę zmian. Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji. Biorąc pod uwagę skalę problemu, NIK rozszerza postępowanie kontrolne na wszystkie samorządy w kraju i dokonuje rozpoznania w innych sferach działalności publicznej.

Jak podkreśla sama NIK:

„Najwyższa Izba Kontroli zdiagnozowała systemowy charakter nieprawidłowości w dziedzinie ochrony i przetwarzania danych, w tym danych osobowych w jednostkach samorządowych. Dlatego kontrola będzie rozszerzona o wszystkie jednostki samorządu terytorialnego w Polsce”.

43 proc. szkół z naruszeniami

Ustalenia kontroli Najwyższej Izby Kontroli w samorządach województwa podlaskiego wskazują między innymi, że aż 43 proc. szkół lokuje swoje adresy e-mail w domenach komercyjnych. Niewiele lepszymi statystykami może pochwalić się sektor publicznej opieki zdrowotnej oraz ośrodki pomocy społecznej – odpowiednio 32 proc. i 28 proc.

45 jednostek podlegających pod samorządy korzystało z komercyjnych skrzynek pocztowych, bez odpowiedniej umowy powierzenia przetwarzania danych osobowych. Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa.

Nie tylko szkoły, ale tez inne jednostki organizacyjne z uchybieniami

Ryzyka stwierdzono również w przypadku ośrodków kultury, bibliotek, powiatowych inspektorów nadzoru budowlanego, powiatowych stacji sanitarno-epidemiologicznych, domów pomocy społecznej, powiatowych centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.

Biorąc pod uwagę ustalenia kontroli oraz fakt, że oprócz głównych adresów mailowych przypisanych do jednostki, niejednokrotnie pracownicy tych instytucji publicznych również użytkowali adresy mailowe w domenach komercyjnych jako adresy służbowe, Najwyższa Izba Kontroli szacuje, że skala nieprawidłowości może dotyczyć kilkunastu tysięcy publicznych instytucji oraz kilkudziesięciu tysięcy adresów mailowych, które nie powinny być wykorzystywane do celów służbowych. Wskazuje to na ryzyko, że dziennie na takie adresy mailowe może wpływać tysiące wiadomości, w tym część z nich zawierających dane osobowe szczególnie chronione. Stąd też postępowanie kontrolne rozszerzone zostanie na wszystkie jednostki samorządowe w kraju. Ma ono wyeliminować nieprawidłowości i zagwarantować pozytywne zmiany w usługach publicznych, w całym sektorze samorządowym. Znamienne jest, że niejednokrotnie jednostki samorządowe na nieodpowiednio zabezpieczone adresy mailowe otrzymywały wiadomości z ministerstw, organów nadzoru oraz instytucji nadrzędnych, co wskazuje na powszechną niską świadomość o stosowaniu bezpiecznych narzędzi i instrumentów w sposób odpowiedni zabezpieczających dane osobowe obywateli.

Oprócz jednostek samorządowych Najwyższa Izba Kontroli prowadzi rozpoznanie dotyczące innych branż i resortów. Dane uzyskane z dziewięciu sądów apelacyjnych wskazują, że problem może dotyczyć korespondowania za pośrednictwem poczty elektronicznej z biegłymi sądowymi, którzy podają adresy mailowe znajdujące się na bezpłatnych domenach komercyjnych, co może świadczyć o dużym ryzyku, że nie zawarli oni umowy przetwarzania danych osobowych z właścicielem domeny, podobny problem dotyczyć może też tłumaczy przysięgłych, ławników, mediatorów i kuratorów sądowych.

Źródło:
https://www.nik.gov.pl/najnowsze-informacje-o-wynikach-kontroli/bezpieczenstwo-ochrony-danych-osobowych-w-jst.html