Na stronach ośrodków pomocy społecznej czy placówek edukacyjnych aż roi się od niezabezpieczonych e-mailowych adresów kontaktowych.

W Biuletynie Informacji Publicznej (BIP) m.st. Warszawy nie znajdziemy już oświadczeń majątkowych stołecznych radnych za rok 2016, rezygnację z adresów poczty elektronicznej w domenach komercyjnych deklaruje kierownik Ośrodka Pomocy Społecznej w Ludwinie (woj. lubelskie) czy dyrektor Szkoły Podstawowej nr 2 w Bieczu (woj. małopolskie). To efekt pytań DGP o standardy ochrony danych osobowych w wybranych gminach i ich jednostkach organizacyjnych.

– Samo korzystanie z prywatnych poczt elektronicznych o tyle jest „zbrodnią”, że nie mamy kontroli nad danymi. W politykach prywatności tych firm, które udostępniają darmowe skrzynki, jest zapisane, że dostajemy tę usługę bezpłatnie, ale w zamian za dostęp do tych danych i możliwość ich przetwarzania. To kopalnia wiedzy, dzięki temu można zarabiać duże pieniądze – podkreśla Mikołaj Otmianowski, radca prawny i wiceprezes firmy DAPR.

Skrzynki e-mailowe bez zabezpieczeń

Nietrudno o znalezienie samorządowej instytucji, która na stronie internetowej w zakładce z danymi kontaktowymi podaje adres e-mailowy utworzony w domenach komercyjnych. Tylko w wyniku kontroli NIK w 12 jednostkach samorządu terytorialnego z województwa podlaskiego zrezygnowano lub usunięto 246 takich skrzynek (patrz: infografika). Na taką usługę powinna zostać zawarta umowa powierzenia danych osobowych wymagana rozporządzeniem RODO.

– Na darmową skrzynkę nie może być umowy powierzenia danych osobowych. Nawet jeżeli wiadomości zostaną usunięte, to dostawca już ma te dane w swojej bazie – podkreśla Mikołaj Otmianowski.

Jak tłumaczą się poszczególne jednostki? Często tym, że korzystają już z adresów z odpowiednimi zabezpieczeniami, ale nie podano o tym informacji w sieci (w niektórych przypadkach zrobiono to po pytaniach od DGP). – Aktualne adresy to przedszkole@czerwin.pl, zlobek@czerwin.pl, gok@czerwin.pl. Niestety nie uaktualniono ich na stronach WWW – tłumaczy Radosław Pęksa z gminy Czerwin (woj. mazowieckie).

Bywa i tak, że właściwy adres jest dostępny na stronie jednostki, a w błąd wprowadzają informacje podane na stronie urzędu gminy. Dotyczy to np. Gminnego Ośrodka Pomocy Społecznej w Biskupicach z siedzibą w Trąbkach. Część jednostek przyznaje, że dopiero dostosowuje dane kontaktowe do obowiązujących przepisów.

– Jesteśmy w trakcie zmiany e-mail z zslipnica@poczta.onet.pl na e-mail %20href=" rel="nofollow">@lipnica

Również dyrektor Szkoły Podstawowej nr 2 w Bieczu, Monika Orlewska, deklaruje wygaszenie adresu w domenie komercyjnej do końca roku, który – jak twierdzi – podtrzymywany jest, żeby nie utracić kontaktu z dotychczasowymi kontrahentami (szkoła ma już aktywny adres niekomercyjny). – Potwierdzam informację, że część jednostek ma adresy e-mailowe na portalach komercyjnych, m.in. OPS. Pracujemy nad tym, aby dokonać zmian zgodnie z informacjami zawartymi w wystąpieniach pokontrolnych NIK – mówi z kolei Katarzyna Śledź-Karaś, kierownik Ośrodka Pomocy Społecznej w Ludwinie.

Trudno oszacować, ile wiadomości z wrażliwymi danymi trafiło na niezabezpieczone skrzynki ze względu na takie niedociągnięcia. – Jeśli popatrzymy na ośrodki pomocy społecznej, to zakres danych wrażliwych jest bardzo szeroki – od kwestii zdrowotnych, sytuacji życiowej, po wysokość i źródła dochodu. Jeżeli takie dane przetwarzamy na darmowych pocztach, to ryzyko dla takich osób dramatycznie rośnie – mówi Mikołaj Otmianowski.

Większość pytanych jednostek deklaruje, że przeprowadza szacowanie ryzyka, o którym mowa w RODO (DPIA) i korzysta z usług inspektora ochrony danych (IOD). Specjaliści mają jednak zastrzeżenia do skuteczności tych działań. – RODO wymaga, aby stosować zabezpieczenia dla danych osobowych odpowiednie m.in. do ryzyk istniejących dla bezpieczeństwa danych. A kto ma je określić? Administrator danych, czyli samorząd. Czy on potrafi to zrobić? Raczej nie, poza tymi dużymi, jak Warszawa czy Kraków. Gminom brakuje też pieniędzy, żeby kupić taką usługę na rynku. Innym przykładem są usługi IOD – nadal przetargi rozstrzygane są wyłącznie na podstawie kryterium ceny. Wygrywa więc ktoś, kto daje kilkaset złotych na rok – mówi dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.

– Jaka może być ochrona danych za 200 zł miesięcznie? Taki inspektor się tam w zasadzie nie pojawia, to tylko spełnienie obowiązku formalnego – dodaje Mikołaj Otmianowski.

Problem z BIP

Samorządy źle zarządzają nie tylko danymi mieszkańców, lecz także urzędników czy radnych. Chociaż oświadczenia majątkowe powinny być przechowywane przez sześć lat, to łatwo można w BIP znaleźć znacznie starsze. Przykładowo w BIP Gminnego Ośrodka Pomocy Społecznej w Lesznowoli wciąż można sprawdzić oświadczenia nawet z 2011 r. Eksperci podkreślają, że problem jest szerszy.

– Brakuje zerojedynkowych, konkretnych wskazówek. NIK pisze w raporcie, że w BIP są za długo przechowywane oświadczenia majątkowe. Można to robić przez 6 lat, zgoda – to wynika z ustawy. Ale czy ktoś jest w stanie wskazać jakikolwiek inny termin udostępniania pozostałych dokumentów zawierających dane osobowe w BIP? Nigdzie takiego terminu nie określono, a wiadomo, że jakieś ograniczenie czasowe być musi – wskazuje dr Paweł Litwiński i dodaje, że ze względu na skalę problemu z ochroną danych samorządy powinny otrzymać wsparcie od państwa. – Władze centralne powinny samorządom dać bezpieczne skrzynki, powinien zostać stworzony system BIP, który będzie wymuszał usuwanie danych po zdeklarowanym wcześniej czasie itd. – podsumowuje ekspert.©℗