Skala wykrytych nieprawidłowości spowodowała, że podjęto decyzję o rozszerzeniu zakresu działań kontrolnych we wszystkich jednostkach samorządu terytorialnego, na terenie całego kraju. Mamy zgłoszenia od dyrektorów, że już otrzymują pisma w tej sprawie.
Najwyższa Izba Kontroli przeprowadziła kontrolę w jednostkach JST i opublikowała raport, który wykazał wieloletnie zaniedbania w zakresie ochrony danych osobowych przetwarzanych w formie elektronicznej, które obejmują nieprawidłowy sposób przetwarzania danych osobowych w skrzynkach e-mailowych.
W ostatnim tygodniu lutego b.r. opublikowano wyniki kontroli przeprowadzonej przez Najwyższą Izbę Kontroli. Jej przedmiotem była ochrona danych osobowych w jednostkach samorządu terytorialnego w województwie podlaskim, przede wszystkim w zakresie:
świadomości istniejących zagrożeń,
stosowania jednoznacznych wytycznych,
używania domen publicznych bez stosownych umów powierzenia
prawidłowej retencji danych
stosowanych technicznych i organizacyjnych środków zabezpieczeń
Szczegółowa analiza sytuacji zastanej w kontrolowanych jednostkach wykazała wieloletnie zaniedbania w zakresie ochrony danych osobowych przetwarzanych w formie elektronicznej, której obejmowały nieprawidłowy sposób przetwarzania danych osobowych w skrzynkach e-mailowych. Nieprawidłowości dotyczyły danych osobowych osób fizycznych takie jak:
imiona i nazwiska
adresy
numery PESEL
numery telefonów
wyniki badań lekarskich
dane o korzystaniu ze świadczeń opieki społecznej
dane na temat zatrudnienia i wysokości wynagrodzenia
odpisy diagnoz w poradniach psychologiczno-pedagogicznych
oświadczenia majątkowe
Uwagi dotyczyły także kanałów służących do transmisji posiedzeń organów stanowiących.
W efekcie przeprowadzonych działań podjęto szereg działań kontrolnych, w postaci:
zmiany adresów mailowych (45 jednostek)
usunięcie/rezygnacja z adresów dotychczas stosowanych (246 jednostek)
usunięcie oświadczeń majątkowych publikowanych dłużej niż to możliwe (1334 jednostki)
zawarcie umów powierzenia w zakresie transmitowania obrad sesji (7 z 12 jednostek)
Skala nieprawidłowości spowodowała, że podjęto decyzję o rozszerzeniu zakresu działań kontrolnych. Skontrolowane mają zostać wszystkie jednostki samorządu terytorialnego, na terenie całego kraju. Decyzja została także podyktowana wysokim prawdopodobieństwem wystąpienia wyżej wymienionych nieprawidłowości także w innych jednostkach. Szacuje się, że problem dotyczy 43% jednostek oświatowych, 32% publicznych zakładów opieki zdrowotnej oraz 28% ośrodków pomocy społecznej. Ryzyka dotyczą także innych instytucji takich jak ośrodki kultury, biblioteki, inspektoraty nadzoru budowlanego, stacji sanitarno-epidemiologicznych, domów pomocy społecznej, centrów pomocy rodzinie, przychodni psychologiczno-pedagogicznych, centrów usług wspólnych i innych.
Być może otrzymali Państwo lub dopiero otrzymacie pisma z organów prowadzących w sprawie ustosunkowania się do wyników kontroli z prośbą o wskazanie stanu faktycznego oraz ewentualnych kroków podjętych (lub planowanych) w celu uporządkowania obszarów, których dotyczą wykazane ryzyka. Szczególną uwagę sugerujemy skupić na:
weryfikacji czy w celach służbowych wykorzystywane są adresy mailowe w domenach publicznych
weryfikacji czy pracownicy wykorzystują w celach służbowych prywatne adresy mailowe
weryfikacji czy z dostawcami poczty elektronicznej oraz stron BIP zawarto umowy powierzenia przetwarzania danych osobowych
weryfikacji czy na stronach internetowych opublikowane są dane osobowe, których okres przechowywania już minął
W przypadku braku umów powierzenia koniecznym będzie jej zawarcie z dostawcą usługi lub weryfikacja czy obszar ten nie został uregulowany w inny sposób (innym instrumentem prawnym). W ostateczności koniecznym będzie zmiana dostawcy o ile kwestie formalne okażą się niemożliwe do uregulowania.
W przypadku zainteresowania skorzystaniem z usługi bezpiecznej poczty dla oświaty, prosimy o kontakt: 61 8280 921 lub kontakt@rodosfera.pl
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych oraz innych ważnych tematach dla oświaty. Jeżeli masz pytanie lub ciekawe tematy na POSTY, wyślij do nas taką informację - opublikujemy odpowiedź na BLOGU.
Dodatkowe informacje: