Kontrola NIK w zakresie bezpieczeństwa informacji

Najwyższa Izba Kontroli w 2023 roku przeprowadziła kontrole w zakresie „Zapewnienia ochrony i prawidłowego przetwarzania danych, w tym danych osobowych gromadzonych w formie elektronicznej przez jednostki samorządu terytorialnego oraz podległe jednostki organizacyjne na stronach internetowych, poczcie elektronicznej oraz w związku z odbywającymi się sesjami organów uchwałodawczych” (I/23/002).

Kontrola wykazała między innymi, że niedopuszczalne jest posiadanie skrzynki poczty elektronicznej na komercyjnych domenach internetowych wykorzystywanej do celów służbowych bez zawarcia stosownej umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym wymaganej art. 28 ust. 3 RODO. Zgodnie ze standardami bezpieczeństwa przypominam, że komunikacja służbowa powinna odbywać się za pomocą dedykowanej do tego skrzynki mailowej.

W związku z powyższym Inspektor Ochrony Danych przypomina, iż niedopuszczalne jest, aby pracownicy bez zgody i wiedzy Administratora zakładali skrzynki poczty elektronicznej na komercyjnych domenach internetowych (np. gmail.com, wp.pl. poczta.onet.pl), w tym zakładanie dysku w chmurze na komercyjnych domenach internetowych (np. gmail cloud, outlook cloud, dropbox, icloud, amazon cloud). W przypadku założenia ww. skrzynki poczty elektronicznej czy dysku w chmurze na komercyjnych domenach internetowych, niezbędne jest zawarcie stosownej umowy powierzenia przetwarzania danych osobowych z podmiotem przetwarzającym wymaganej art. 28 ust. 3 RODO.

W przypadku, gdy pracownicy utworzyli na potrzeby wykonywania obowiązków służbowych ww. skrzynki poczty elektronicznej lub dyski w chmurze na komercyjnych domenach internetowych, należy to niezwłocznie zgłosić do poprzez HelpDesk Wydziału Informatyki (Mam Problem -> Problemy  z pocztą -> Problemy z pocztą e-mail).

Biuro Ochrony Danych