Dnia 22 lutego 2024r. na stronie NIK ukazały się pokontrolne wykazy wystąpień pokontrolnych dokonanych w samorządach – Skrót prasowy po kontroli NIK oraz wykaz wystąpień pokontrolnych.
Kontrola prowadzona była w zakresie „Zapewnienie ochrony i prawidłowego przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej przez jednostki samorządu terytorialnego oraz podległe jednostki organizacyjne na stronach internetowych, poczcie elektronicznej oraz w związku z odbywającymi się sesjami organów uchwałodawczych.”
NIK skontrolowała 12 jednostek samorządu terytorialnego w województwie podlaskim i za ich pośrednictwem 76 jednostek organizacyjnych gmin i powiatów, w tym:
- 2 Starostwa Powiatowe,
- 9 Urzędów Gminy oraz
- 1 Urząd Miejski.
Izba Kontroli z niepokojem zauważyła, że istnieje wiele nieprawidłowości.
NIK ma podejrzenia, jeżeli chodzi o ochronę danych osobowych w urzędach i z uwagi na ilość instytucji, które powinny dobrze chronić nasze dane, że w wielu takich instytucjach istnieje jeszcze konieczność sprawdzenia działania w tym zakresie.
NIK apeluje do wszystkich instytucji publicznych i ich jednostek podległych
NIK apeluje do wszystkich instytucji o:
- wdrożenie działań naprawczych dotyczących ochrony danych,
- poprawę formy przechowywania danych,
- zawarcie umów powierzenia przetwarzania danych osobowych,
- określenie okresów publikacji w Biuletynie Informacji Publicznej (BIP), oraz
- zabezpieczenie transmisji obrad.
W tych zakresach wykryto wiele nieprawidłowości, np.
- korzystano z usług dostawców poczty elektronicznej (email) bez zawartych umów powierzenia przetwarzania danych,
- zbyt długie przetrzymywanie dokumentów w Biuletynie Informacji Publicznej,
- transmitowanie obrad na niezabezpieczonych portalach społecznościowych,
- nieprawidłowe przetwarzanie danych w skrzynkach e-mailowych.
Założeniem jest żeby każdy organ, jego jednostka podległa bądź jednostka dla której jest on organem założycielskim korzystał z domeny gov.pl zarezerwowanej dla instytucji publicznych, takich jak ośrodki kultury, biblioteki, powiatowe inspektoraty nadzoru budowlanego, powiatowe stacje sanitarno-epidemiologiczne, domy pomocy społecznej, powiatowe centra pomocy rodzinie, publiczne przychodnie i szpitale, sądy, centra usług wspólnych i inne.
Innymi działaniami zabezpieczającymi jest m.in.:
- usunięcie adresów e-mail korzystających z domen komercyjnych bez zawartych umów powierzenia przetwarzania danych osobowych;
- obowiązek publikacji transmisji z obrad organów uchwałodawczych;
- usuwanie z BIP danych, których okres przechowywania minął;
- anonimizacja niektórych danych;
- prowadzenie corocznych audytów w zakresie bezpieczeństwa informacji we wszystkich jednostkach.
Skuteczna ochrona przed nieuprawnionym wykorzystaniem danych i programów dotyczy każdego obywatela. W szczególności powinna być zapewniona ochrona danych w instytucjach publicznych, w których każdy obywatel Polski każdego dnia załatwia wiele formalności związanych z życiem codziennym.
Akty prawne w zakresie bezpieczeństwa cyfrowego
W Polsce pierwszym aktem prawnym w zakresie bezpieczeństwa cyfrowego jest Ustawa o krajowym systemie cyberbezpieczeństwa obowiązująca od 28 sierpnia 2018 r. Zapewnia ona ochronę cyberprzestrzeni na poziomie krajowym i gwarantuje m.in. niezakłócone świadczenie usług kluczowych z punktu widzenia państwa i gospodarki oraz usług cyfrowych poprzez osiągnięcie wysokiego poziomu bezpieczeństwa systemów informacyjnych służących do ich świadczenia.
Niemal niemożliwe jest funkcjonowanie bez procedur związanych z cyberbezpieczeństwem.
Odpowiedni poziom bezpieczeństwa danych, w tym danych osobowych gromadzonych w formie elektronicznej powinien być prowadzony w sposób zgodny z Ustawą o krajowym systemie cyberbezpieczeństwa i z Ustawą o ochronie danych osobowych.
W jednostkach w których NIK przeprowadził kontrole, działania naprawcze zostały wdrożone już w tracie trwania kontroli jak i zaraz po. Zapowiedziano dalsze kontrole przez NIK.
Jednostki otrzymują pisma informujące o stanie ochrony danych osobowych w kontrolowanym województwie podlaskim i przewidzianych dalszych kontrolach.
Z dostępnych baz teleadresowych dla NIK problem m.in. adresów email dotyczy kilkunastu tysięcy jednostek publicznych, w tym m.in.:
- 43% szkół publicznych różnego szczebla,
- 32% gminnych i powiatowych jednostek opieki zdrowotnej,
- 28% ośrodków pomocy społecznej,
- 26% powiatowych centrów pomocy rodzinie oraz
- wielu instytucjach kultury, CUW, organów nadzoru budowlanego, stacji SANEPID, DPS.
Cele kontroli i dalszych działań NIK-u
Jednym z celów jest doprowadzenie do sytuacji, w której żaden organ publiczny, jego jednostka bądź jednostka dla której jest on organem założycielskim, nie będzie użytkował do celów służbowych skrzynek e-mailowych w publicznych domenach komercyjnych, bez zawarcia stosownej umowy powierzenia przetwarzania danych.
Ponadto należy zwrócić uwagę na wyżej wymienione najczęstsze nieprawidłowości, w tym w BIP, bazy danych.
Wyznaczono termin na usunięcie problemu do końca II kwartału 2024 roku
Cytując pismo NIK:
/…/ Wobec tych Państwa, którzy nie podejmą z własnej inicjatywy działań naprawczych, NIK zdecyduje, czy podjąć czynności kontrolne samodzielnie, czy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych z prośbą o taką kontrolę.
Jakie działania powinna podjąć jednostka?
Przekazać raport własnemu IOD i podąć wraz z kierownictwem oraz informatykiem stosowne działania.
Jeśli dotychczas nie były wykonane audyty w zakresie RODO czy KRI, rozpocząć od audytów i zwrócić szczególnie uwagę na kontrolowane obszary.
Bezpieczeństwo informacji – Doering & Partnerzy
Zastanawiasz się, kto może pomóc w przygotowaniu dokumentów i dostosowaniu procedur zgodnie z obowiązującymi przepisami? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swoim urzędzie? Nie wiesz, czy pracownicy urzędu są odpowiednio wyszkoleni z zakresu cyberbezpieczeństwa?
Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.
Zobacz nasze usługi:
Audyt bezpieczeństwa informacji
Szkolenie z zakresu cyberbezpieczeństwa
Inspektor Ochrony Danych – RODO/IOD
Zobacz więcej:
Bezpieczeństwo informacji w JST
Jak zapewnić bezpieczeństwo informacji? Krok po kroku.
Szkolenie w zakresie ochrony danych na przykładzie szpitala
Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.