Alarmujący raport NIK o ochronie danych w urzędach

.

Dnia 22 lutego 2024r. na stronie NIK ukazały się pokontrolne wykazy wystąpień pokontrolnych dokonanych w samorządach – Skrót prasowy po kontroli NIK oraz wykaz wystąpień pokontrolnych.

Kontrola prowadzona była w zakresie „Zapewnienie ochrony i prawidłowego przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej przez jednostki samorządu terytorialnego oraz podległe jednostki organizacyjne na stronach internetowych, poczcie elektronicznej oraz w związku z odbywającymi się sesjami organów uchwałodawczych.”

NIK skontrolowała 12 jednostek samorządu terytorialnego w województwie podlaskim i za ich pośrednictwem 76 jednostek organizacyjnych gmin i powiatów, w tym:

  • 2 Starostwa Powiatowe,
  • 9 Urzędów Gminy oraz
  • 1 Urząd  Miejski.

Izba Kontroli z niepokojem zauważyła, że istnieje wiele nieprawidłowości.

NIK ma podejrzenia, jeżeli chodzi o ochronę danych osobowych w urzędach i z uwagi na ilość instytucji, które powinny dobrze chronić nasze dane, że w wielu takich instytucjach istnieje jeszcze konieczność sprawdzenia działania w tym zakresie.

NIK apeluje do wszystkich instytucji publicznych i ich jednostek podległych

NIK apeluje do wszystkich instytucji o:

  • wdrożenie działań naprawczych dotyczących ochrony danych,
  • poprawę formy przechowywania danych,
  • zawarcie umów powierzenia przetwarzania danych osobowych,
  • określenie okresów publikacji w Biuletynie Informacji Publicznej (BIP), oraz
  • zabezpieczenie transmisji obrad.

W tych zakresach wykryto wiele nieprawidłowości, np.

  • korzystano z usług dostawców poczty elektronicznej (email) bez zawartych umów powierzenia przetwarzania danych,
  • zbyt długie przetrzymywanie dokumentów w Biuletynie Informacji Publicznej,
  • transmitowanie obrad na niezabezpieczonych portalach społecznościowych,
  • nieprawidłowe przetwarzanie danych w skrzynkach e-mailowych.

Założeniem jest żeby każdy organ, jego jednostka podległa bądź jednostka dla której jest on organem założycielskim korzystał z domeny gov.pl zarezerwowanej dla instytucji publicznych, takich jak ośrodki kultury, biblioteki, powiatowe inspektoraty nadzoru budowlanego, powiatowe stacje sanitarno-epidemiologiczne, domy pomocy społecznej, powiatowe centra pomocy rodzinie, publiczne przychodnie i szpitale, sądy, centra usług wspólnych i inne.

Innymi działaniami zabezpieczającymi jest m.in.:

  • usunięcie adresów e-mail korzystających  z domen komercyjnych bez zawartych umów powierzenia przetwarzania danych osobowych;
  • obowiązek publikacji transmisji z obrad organów uchwałodawczych;
  • usuwanie z BIP danych, których okres przechowywania minął;
  • anonimizacja niektórych danych;
  • prowadzenie corocznych audytów w zakresie bezpieczeństwa informacji we wszystkich jednostkach.

Skuteczna ochrona przed nieuprawnionym wykorzystaniem danych i programów dotyczy każdego obywatela. W szczególności powinna być zapewniona ochrona danych w instytucjach publicznych, w których każdy obywatel Polski każdego dnia załatwia wiele formalności związanych z życiem codziennym.

Akty prawne w zakresie bezpieczeństwa cyfrowego

W Polsce pierwszym aktem prawnym w zakresie bezpieczeństwa cyfrowego jest Ustawa o krajowym systemie cyberbezpieczeństwa obowiązująca od 28 sierpnia 2018 r. Zapewnia ona ochronę cyberprzestrzeni na poziomie krajowym i gwarantuje m.in. niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informacyjnych służących do ich świadczenia.

Niemal niemożliwe jest funkcjonowanie bez procedur związanych z cyberbezpieczeństwem.

Odpowiedni poziom bezpieczeństwa danych, w tym danych osobowych gromadzonych w formie elektronicznej powinien być prowadzony w sposób zgodny z Ustawą o krajowym systemie cyberbezpieczeństwa i  z Ustawą o ochronie danych osobowych.

W jednostkach w których NIK przeprowadził kontrole, działania naprawcze zostały wdrożone już w tracie trwania kontroli jak i zaraz po. Zapowiedziano dalsze kontrole przez NIK.

Jednostki otrzymują pisma informujące o stanie ochrony danych osobowych w kontrolowanym województwie podlaskim i przewidzianych dalszych kontrolach.

Z dostępnych baz teleadresowych dla NIK problem m.in. adresów email dotyczy kilkunastu tysięcy jednostek publicznych, w tym m.in.:

  • 43% szkół publicznych różnego szczebla,
  • 32% gminnych i powiatowych jednostek opieki zdrowotnej,
  • 28% ośrodków pomocy społecznej,
  • 26% powiatowych centrów pomocy rodzinie oraz
  • wielu instytucjach kultury, CUW, organów nadzoru budowlanego, stacji SANEPID, DPS.

Cele kontroli i dalszych działań NIK-u

Jednym z celów jest doprowadzenie do sytuacji, w której żaden organ publiczny, jego jednostka bądź jednostka dla której jest on organem założycielskim, nie będzie użytkował do celów służbowych skrzynek e-mailowych w publicznych domenach komercyjnych, bez zawarcia stosownej umowy powierzenia przetwarzania danych.

Ponadto należy zwrócić uwagę na wyżej wymienione najczęstsze nieprawidłowości, w tym w BIP, bazy danych.

Wyznaczono termin na usunięcie problemu do końca II kwartału 2024 roku

Cytując pismo NIK:

/…/ Wobec tych Państwa, którzy nie podejmą z własnej inicjatywy działań naprawczych, NIK zdecyduje, czy podjąć czynności kontrolne samodzielnie, czy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych z prośbą o taką kontrolę.

Jakie działania powinna podjąć jednostka?

Przekazać raport własnemu IOD i podąć wraz z kierownictwem oraz informatykiem stosowne działania.

Jeśli dotychczas nie były wykonane audyty w zakresie RODO czy KRI, rozpocząć od audytów i zwrócić szczególnie uwagę na kontrolowane obszary.

Bezpieczeństwo informacji – Doering & Partnerzy

Zastanawiasz się, kto może pomóc w przygotowaniu dokumentów i dostosowaniu procedur zgodnie z obowiązującymi przepisami? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swoim urzędzie? Nie wiesz, czy pracownicy urzędu są odpowiednio wyszkoleni z zakresu cyberbezpieczeństwa?

Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.

Zapraszamy do współpracy

Zobacz nasze usługi:

Audyt bezpieczeństwa informacji

Bezpieczeństwo informacji

Audyt cyberbezpieczeństwa

Szkolenie z zakresu cyberbezpieczeństwa

Inspektor Ochrony Danych – RODO/IOD

Zobacz więcej:

Bezpieczeństwo informacji w JST

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.

Audyt RODO.

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak audyt bezpieczeństwa wygląda w praktyce?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

Skip to content