Urząd miasta, przekazując radnym materiały drogą elektroniczną, powinien przesyłać je na ich służbowe skrzynki e-mail, a zamieszczane w BIP dokumenty anonimizować.
To podstawowe zalecenia Generalnego Inspektora Ochrony Danych Osobowych (GIODO) po kontroli przeprowadzonej jesienią 2016 r. w jednym z urzędów miast.
Dane stażystów MOPS w BIP
Kontrola rozpoczęła się po doniesieniach medialnych oraz na skutek skierowanego do GIODO pisma radnych. Dotyczyła upublicznienia na stronie internetowej urzędu miasta odpowiedzi na interpelację radnych w sprawie funkcjonowania Miejskiego Ośrodka Pomocy Społecznej (MOPS), która zawierała imiona i nazwiska, numery PESEL, adresy oraz zarobki stażystów MOPS. W toku kontroli ustalono, iż za incydent ten winę ponosi pracownik urzędu miasta, który zamieścił ten dokument w BIP, nie dokonując anonimizacji znajdujących się w nim danych osobowych.
Brak procedur
Z ustaleń kontrolerów GIODO wynikało, że błąd ten to skutek braku procedur określających obowiązki pracowników związane z udostępnianiem w BIP materiałów zawierających dane osobowe, w tym sposobu postępowania z nimi, a także braku cyklicznych szkoleń pracowników z przepisów o ochronie danych osobowych.
GIODO, uznał, że urząd miasta będący administratorem danych naruszył w ten sposób art. 36 ust. 1 ustawy o ochronie danych osobowych, gdyż nie określił środków organizacyjnych mających na celu zapewnienie ochrony przetwarzanych danych osobowych, a zwłaszcza ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym.
Przeprowadzona kontrola wykazała również, że system informatyczny służący do zamieszczania materiałów w BIP, nie został uwzględniony w opracowanej dokumentacji opisującej sposób przetwarzania danych osobowych w urzędzie, co stanowi naruszenie art. 36 ust. 2 ustawy.
Niewłaściwe przesyłanie służbowej korespondencji
Kontrolerzy GIODO ustalili ponadto, że urząd wysyła odpowiedzi na interpelacje radnych na ich prywatne adresy poczty elektronicznej, której serwery mogą znajdować się w państwie nienależącym do Europejskiego Obszaru Gospodarczego (dotyczy to zwłaszcza adresów z domeną gmail.com). Biorąc zaś pod uwagę fakt, że przesyłane radnym materiały mogą zawierać dane osobowe, GIODO uznał, że przyjęty w urzędzie miasta sposób komunikowania się z radnymi nie zapewnia przetwarzanym danym właściwej ochrony. Wskazał, że przesyłanie danych osobowych w związku z realizacją zadań służbowych powinno odbywać się wyłącznie z wykorzystaniem środków służbowych, określonych przez administratora danych, które zapewniają ochronę danym osobowym przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Wykorzystywanie w tym celu prywatnej poczty elektronicznej radnych nie daje gwarancji, że dostęp do przesłanych danych osobowych mają wyłącznie osoby upoważnione, co w konsekwencji stanowi naruszenie obowiązków wynikających z art. 36 ust. 1 ustawy.
Stanowisko GIODO w sprawie szkoleń pracowników
Część stwierdzonych przez GIODO uchybień została usunięta jeszcze w czasie trwania kontroli. W „Instrukcji postępowania w sprawie udostępniania materiałów w Biuletynie Informacji Publicznej Urzędu Miasta” określono zasady przetwarzania na te potrzeby danych osobowych.
Ponadto do przewodniczącego rady miejskiej skierowano pismo informujące, że odpowiedzi na interpelacje radnych będą przekazywane wyłącznie na ich służbową pocztę elektroniczną udostępnioną przez urząd miasta.
Jednocześnie zapewniano, że pracownik odpowiedzialny za zamieszczenie w BIP urzędowych materiałów zostanie skierowany na szkolenie z zakresu ochrony danych osobowych. Ponieważ jednak do czasu wydania przez GIODO decyzji kończącej postępowanie takie szkolenie się nie odbyło, GIODO zobowiązał urząd miasta, by pracownik odbył je w ciągu 14 dni od dnia uprawomocnienia się decyzji.
Co istotne, GIODO podkreślił iż za realizację obowiązku zapewnienia zaznajomienia osoby upoważnionej do przetwarzania danych osobowych z przepisami o ochronie tych danych, nie może zostać uznany fakt złożenia przez nią oświadczenia, iż zna odpowiednie przepisy. Zgodnie bowiem z art. 36a ust. 2 pkt 1 lit. c ustawy o ochronie danych osobowych, do zadań administratora bezpieczeństwa informacji należy zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Natomiast w myśl art. 36b ustawy, w przypadku niepowołania administratora bezpieczeństwa informacji, zadanie to wykonuje administrator danych. Żeby uznać, iż obowiązek ten został zrealizowany, przez osobę dysponującą odpowiednią wiedzą w tym zakresie powinno zostać przeprowadzone szkolenie. Samodzielne zapoznanie się z przepisami o ochronie danych, nawet wówczas gdy zostanie potwierdzone odpowiednim oświadczeniem, nie tylko zatem nie zawiera w sobie waloru „zapewnienia zapoznania”, co jest wymagane w świetle powołanych wyżej przepisów ustawy, ale też nie daje gwarancji, iż taka osoba podczas „samokształcenia” rzeczywiście zwróciła uwagę na wszelkie aspekty przetwarzania przez nią danych osobowych w związku z realizacją należących do niej obowiązków służbowych, a także na wszystkie zagrożenia związane z tym przetwarzaniem. Ułomność takiej formy zaznajomienia się z przepisami o ochronie danych osobowych potwierdziła przeprowadzona kontrola – osoba, która w ten sposób zapoznała się z przepisami o ochronie danych osobowych, dopuściła bowiem do niezgodnego z prawem udostępnienia danych osobowych w BIP.
Protokół z kontroli GIODO przekazano Komendzie Miejskiej Policji prowadzącej w tej sprawie postępowanie. Odstąpiono natomiast od złożenia wniosku o wszczęcie postępowania dyscyplinarnego wobec pracownika winnego zaistnienia incydentu, z uwagi na ukaranie go karą upomnienia przez pracodawcę.
źródło: giodo.gov.pl
