Przesyłanie korespondencji do nieuprawnionych osób, ujawnianie baz mailingowych i publikowanie zbyt wielu informacji w BIP-ach - to najczęściej występujące naruszenia przepisów RODO w sektorze publicznym.

Na środowym spotkaniu z mediami prezes Urzędu Ochrony Danych Osobowych Edyta Bielak-Jomaa poinformowała, że w związku z wejściem w życie ogólnego rozporządzenia o ochronie danych (RODO) do końca czerwca do urzędu wpłynęło ponad 750 skarg dot. naruszenia przepisów. "Oczywiście to są skargi, które wpłynęły. Natomiast to nie oznacza automatycznie, że to są wszystkie sprawy, którymi się zajmiemy, bo część ma braki formalne itd." – zaznaczyła.

Dyrektor Zespołu ds. Sektora Publicznego w Urzędzie Ochrony Danych Osobowych Monika Krasińska przypomniała, że od 25 maja na każdego administratora danych osobowych został nałożony obowiązek zgłaszania naruszeń przepisów o ochronie danych . "Jeżeli chodzi o sektor publiczny, głównie sprawy, które są sygnalizowane, dotyczą nieprawidłowości przy kierowaniu korespondencji" – powiedziała.

Wyjaśniła, że korespondencja kierowana jest omyłkowo – materiały przesyłane są do nieuprawnionych osób. Dotyczy to nie tylko korespondencji tradycyjnej, ale także tej w formie elektronicznej. Jak zauważyła, nierzadkie są przypadki przesyłania zbiorczych baz mailingowych, a tym samym ujawnienia tych informacji z winy pracowników.

Dyrektor zwróciła też uwagę na zasilanie informacjami Biuletynów Informacji Publicznej. Poinformowała, że w tym przypadku zgłaszane są często przypadki związane z nieuprawnionym ujawnieniem w BIP-ach określonych informacji. "Polega to na ujawnieniu informacji nadmiarowych albo np. na niezanonimizowaniu dokumentu przed jego opublikowaniem" - powiedziała.

"Odnotowaliśmy także przypadki, które wskazują na pewien problem komunikacji pomiędzy administratorem danych a podmiotem, którym administrator powierzył przetworzone dane osobowe. Wskutek tego problemu komunikacyjnego administratorzy nie zawsze w terminie zgłaszaj naruszenia" – wskazała Krasińska.

Według niej pokazuje to, że koniecznie trzeba podjąć się ponownej analizy zawartych umów powierzenia, ponieważ wiele dotychczasowych umów nie zapewnia wystarczającej gwarancji ochrony danych osobowych.

Jak powiedziała, widoczny jest też problem "nie do końca właściwego" funkcjonowania procesu zabezpieczenia danych osobowych, jeżeli chodzi o straże gminne. "Zdarzają się przypadki zgłaszania informacji o zagubieniu niektórych notatników, które są z głównie narzędziem ich pracy, gdzie utrwalane są informacje" - zaznaczyła. W ocenie dyrektor, w tym przypadku wymagana byłaby analiza procedur bezpieczeństwa dedykowanych przechowywaniu dokumentacji, ale także niszczenia dokumentacji zbędnej. "Nie wszystkie bowiem instytucje publiczne proces przetwarzania danych osobowych finalizują poprzez usunięcie nieadekwatnych, niepotrzebnych danych " – zaznaczyła.

Jej zdaniem warty odnotowania jest też fakt licznych utrudnień, które instytucje publiczne "sobie kreują". "Wobec niekompatybilności różnych przepisów prawa, wobec często także luk prawnych istniejących w niektórych obszarach, czy też wobec nieznajomości obowiązujących przepisów, instytucje między sobą bardzo często blokują przepływ informacji" - zauważyła Krasińska.

Wyjaśniła, że niektóre instytucje nie przekazują informacji np. miejskim ośrodkom pomocy społecznej, wychodząc z założenia, iż obowiązujące je szczególne tajemnice, także służbowa, czynią niemożliwym realizację tego procesu. W związku z tym - jak wskazała - pojawia się wiele wniosków o nakazanie udostępnienia danych na rzecz jednej instytucji przez inną.

W ocenie dyrektor Zespołu ds. Sektora Zdrowia, Zatrudnienia, Szkolnictwa Pauliny Dawidczyk, w obrębie działań jej komórki również można zaobserwować "wysyp naruszeń". "Zarejestrowaliśmy dużo naruszeń ze strony służby zdrowia (...), także gro naruszeń dotyczy zagubienia nośników danych przez pracowników: laptopów, telefonów służbowych, zawierających dane pracowników (…) Również pewne naruszenia o charakterze czysto incydentalnym, czyli udostępnienie przez dyrektora danych jakiegoś ucznia innemu rodzicowi" – wyjaśniła.

Przedstawiciele UODO wskazują, że stosowanie ogólnego rozporządzenia o ochronie danych (RODO) wciąż przysparza wielu wątpliwości interpretacyjnych. Ponieważ naruszenie jego przepisów może być powodem nałożenia wysokich kar finansowych, wielu administratorów, by się na to nie narazić, mocno się asekuruje, a niekiedy przyjmuje rozwiązania prowadzące wręcz do absurdów.

Żeby przeciwdziałać tego typu niewłaściwym praktykom, Urząd Ochrony Danych Osobowych opracowuje stosowne wytyczne, które publikuje na stronie internetowej urzędu www.uodo.gov.pl.

kic/