Najwyższa Izba Kontroli w wyniku przeprowadzonej kontroli w jednostkach samorządu terytorialnego i jednostek organizacyjnych jst wykryła poważne nieprawidłowości w sposobie zabezpieczania poczty elektronicznej w jednostkach samorządowych.
Głównym zarzutem wysuwanym przez NIK jest korzystanie z komercyjnych, darmowych domen e-mailowych (np. @gmail.com, @poczta.onet.pl, @wp.pl) do codziennej pracy w urzędach i również w kontaktach na zewnątrz jednostek. Kontrolerzy zwrócili uwagę, że w skrzynkach e-mailowych w sposób nieprawidłowy, ponieważ bez zawartych z właścicielami domen umów powierzenia przetwarzania danych osobowych, przetwarzano takie rodzaje danych jak: dane osobowe osób fizycznych (imiona, nazwiska, adresy, numery PESEL, numery telefonów), dane o ich stanie zdrowia (m.in. wyniki badań lekarskich), dane o korzystaniu ze świadczeń opieki społecznej, dane o zatrudnieniu i wysokości wynagrodzenia oraz dane o sytuacji rodzinnej (m.in. opisy diagnoz w poradniach psychologiczno-pedagogicznych).
Z tego względu przypominamy, że:
- Komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej. Korzystanie z prywatnej skrzynki pocztowej w celach służbowych nie należy do dobrych praktyk bezpieczeństwa;
- Każda jednostka powinna posiadać własną domenę e-mail, na własnym serwerze, zgodnie ze standardami bezpieczeństwa, nad przestrzeganiem których czuwa sama jednostka. Jednostki organizacyjne gminy mogą korzystać z hostingu i domeny organu prowadzącego;
- Jeżeli administrator danych osobowych korzysta z domeny zewnętrznej, to musi on zawrzeć umowę powierzenia przetwarzania danych osobowych z właścicielem domeny, jako podmiotem przetwarzającym;
- Wójt (burmistrz, prezydent miasta) i starosta, jako kierownicy swoich urzędów oraz zwierzchnicy służbowi kierowników podległych jednostek organizacyjnych w swoich jst powinni zawrzeć taką umowę, dotyczącą urzędu oraz zapewnić – w ramach kontroli zarządczej – aby umowy takie zostały zawarte przez wszystkie jednostki organizacyjne gminy lub starostwa;
- Należy wystrzegać się kontaktowania z innymi organami lub instytucjami publicznymi, które posługują się darmowym, publicznym hostingiem;
- Przesyłanie w sieci publicznej danych osobowych za pomocą wiadomości e-mail, w szczególności danych wrażliwych, powinno odbywać się za pomocą zaszyfrowanych załączników, które otwierane są na hasło dostarczane innym kanałem niż plik (np. SMS-em).
NIK zapowiedziała, że kontrolą zostaną objęte wszystkie jednostki samorządu terytorialnego w kraju. Oprócz problemu poczty elektronicznej kontrola obejmie również inne kwestie związane z bezpieczeństwem przetwarzania danych osobowych, takie jak publikacja i terminowe usuwanie oświadczeń majątkowych ze stron internetowych organów, oraz zawieranie umowy powierzenia przetwarzania danych osobowych podczas transmisji obrad rady gminy z właścicielem domeny na której są publikowane (np. YouTube).