statystyki

Czy PUMA pokazuje zbyt wiele? Jeśli tak, samorządy mogą mieć kłopot

22.02.2017, 09:45; Aktualizacja: 22.02.2017, 10:08
dokumenty, urząd, archiwum

W przypadku naruszenia integralności danych administratorowi trudno będzie uciec od odpowiedzialnoścźródło: ShutterStock

PROBLEM: Konwent Powiatów Województwa Świętokrzyskiego alarmuje, że system dziedzinowy PUMA stosowany w urzędach m.in. do obsługi mieszkańców czy prowadzenia spraw pracowniczych nie spełnia wymogów ochrony danych osobowych. A wszystko dlatego, że urzędnikom oprócz informacji o klientach wyświetlają się także dane ich kolegów, w tym numery ich kont bankowych. Według starostów i ekspertów stwarza to ryzyko manipulacji oraz nieuprawnionego pozyskiwania informacji. Co więcej, zmieszanie danych uniemożliwia urzędom zarejestrowanie bazy w Generalnym Inspektoracie Ochrony Danych Osobowych.

Starostowie ze świętokrzyskiego chcą szybkiego doprowadzenia do zgodności programu z przepisami. Sytuacja jest rozwojowa i wciąż badana przez lidera projektu, urząd marszałkowski. Sprawie przygląda się też GIODO. Tymczasem niezależni prawnicy podkreślają, że jeśli faktycznie doszło do nieprawidłowości na gruncie ustawy z 29 sierpnia 1997 r. ochronie danych osobowych (t.j. Dz.U. z 2016 r., poz. 922), starostom, jako administratorom danych, mogą grozić sankcje karne oraz ewentualne roszczenia odszkodowawcze. System PUMA jest wykorzystywany przez 400 jednostek samorządowych.

Jeden worek

Jak tłumaczy Mariusz Piskorczyk, administrator bezpieczeństwa informacji w starostwie powiatowym w Jędrzejowie, w systemie PUMA istnieje tylko jedna baza, do której wrzucane są – jak do jednego worka – dane osób prowadzących działalność gospodarczą, osób fizycznych, kontrahentów jednostki oraz pracowników urzędu. Przy czym najszerszy zakres zebranych danych dotyczy urzędników. Obejmuje bowiem nie tylko ich imiona i nazwiska czy adresy, ale także np. PESEL-e, NIP-y, imiona rodziców, numery dowodów osobistych i kont bankowych.

Tymczasem choć PUMA rozróżnia dane mieszkańców od danych pracowników urzędu czy kontrahentów jednostki, to w systemie – jak tłumaczą nam urzędnicy – tworzą one jedną, niepodzielną całość i właśnie stąd bierze się problem. – Przykładowo kasjer w urzędzie przyjmujący opłaty np. za prawo jazdy powinien mieć wgląd tylko do danych klientów urzędu i absolutnie nie powinien mieć możliwości dotarcia do danych osobowych pracowników urzędu. Z kolei kadrowa powinna mieć dostęp wyłącznie do danych pracowników, bo umożliwienie jej wglądu do danych mieszkańców nie da się niczym uzasadnić – tłumaczy Mariusz Piskorczyk.

Dodaje, że zarejestrowanie zbioru danych osobowych zawierającego dane klientów i jednocześnie pracowników traktowanych jak zwykłych klientów jest po prostu niemożliwe. Wynika to z różnego zakresu zbieranych danych osobowych. – Jest to błąd systemu, oznaczający jego niezgodność z ustawą o ochronie danych osobowych w zakresie rejestracji i nadawania poszczególnym pracownikom upoważnień do przetwarzania konkretnych zbiorów – stwierdza Piskorczyk.


Pozostało jeszcze 79% treści

Czytaj wszystkie artykuły na gazetaprawna.pl oraz w e-wydaniu DGP
Zapłać 97,90 zł Kup abonamentna miesiąc
Mam kod promocyjny
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Reklama

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Galerie

Wyszukiwarka kancelarii

Szukaj

Polecane