Drugi rok z rzędu przypominamy o powracającym w samorządzie terytorialnym problemie korzystania w pracy urzędowej i w kontaktach zewnętrznych z komercyjnych, darmowych domen poczty elektronicznej (np. @gmail.com, @poczta.onet.pl, @wp.pl).
Najwyższa Izba Kontroli[1] w lutym 2024 r. zwracała uwagę na poważne zaniedbania w zakresie bezpieczeństwa danych osobowych, polegających na tym, że jednostki korzystały z komercyjnych skrzynek e-mail bez zawierania umowy powierzenia przetwarzania danych z przedsiębiorstwem prowadzącym skrzynkę. Przetwarzano takie rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), dane o ich stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, dane o zatrudnieniu i wysokości wynagrodzenia oraz dane o sytuacji rodzinnej (m.in. opisy diagnoz w poradniach psychologiczno-pedagogicznych).
Przypominamy, że obowiązek zawarcia umowy powierzenia przetwarzania wynika z art. 28 ust. 3 RODO i ciąży na administratorze danych osobowych, którym jest jednostka korzystająca z komercyjnej skrzynki pocztowej. Zgodnie z art. 83 ust. 4 lit. a) RODO za powierzenie przetwarzania bez umowy lub innego instrumentu prawnego, wiążącego podmiot przetwarzający i administratora, zawartego w formie pisemnej, w tym w formie elektronicznej Prezes Urzędu Ochrony Danych Osobowych może wymierzyć administracyjną karę pieniężną w wysokości do 10 000 000 euro.
Rozwiązaniem łatwiejszym, bezpieczniejszym i pozwalającym pominąć konieczność negocjowania umowy z międzynarodową korporacją taką jak Google jest postawienie własnego hostingu pocztowego.
Z tego względu ponownie przypominamy, że:
- Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego służbowej skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa, podobnie jak korzystanie ze skrzynki służbowej w celach prywatnych;
- Każda jednostka powinna posiadać własną domenę e-mail, na własnym serwerze, zgodnie ze standardami bezpieczeństwa, nad przestrzeganiem których czuwa sama jednostka. Jednostki organizacyjne gminy mogą jednak korzystać z hostingu i domeny organu prowadzącego;
- Jeżeli administrator danych osobowych korzysta z domeny zewnętrznej, to musi on zawrzeć umowę powierzenia przetwarzania danych osobowych z właścicielem domeny, jako podmiotem przetwarzającym;
- Wójt (burmistrz, prezydent miasta) i starosta, jako kierownicy swoich urzędów oraz zwierzchnicy służbowi kierowników podległych jednostek organizacyjnych w swoich jst powinni zawrzeć taką umowę, dotyczącą urzędu oraz zapewnić – w ramach kontroli zarządczej – aby umowy takie zostały zawarte przez wszystkie jednostki organizacyjne gminy lub starostwa;
- Należy wystrzegać się kontaktowania z innymi organami lub instytucjami publicznymi, które posługują się darmowym, publicznym hostingiem;
- Przesyłanie w sieci publicznej danych osobowych za pomocą wiadomości e-mail, w szczególności danych wrażliwych, powinno odbywać się za pomocą zaszyfrowanych załączników, które otwierane są na hasło dostarczane innym kanałem niż sam plik (np. SMS-em).
Podstawa prawna:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
[1] Najwyższa Izba Kontroli, W samorządach ochrona danych osobowych bez ochrony, 22 lutego 2024, www.nik.gov.pl (dostęp: https://www.nik.gov.pl/aktualnosci/bezpieczenstwo-ochrony-danych-osobowych-w-jst.html, dnia 21.05.2025 r.)