Najwyższa Izba Kontroli oceniła przestrzeganie przepisów o ochronie danych osobowych w dużych polskich urzędach oraz urzędach wojewódzkich. Podmioty te wybrano ponieważ urzędy te w najszerszym zakresie przetwarzają dane osobowe.

Jak ocenia NIK, administracja publiczna radziła sobie z wyzwaniami związanymi z wprowadzeniem RODO w sposób zadowalający. Należy jednak pamiętać, że kontrolowane były urzędy w największych i dużych miastach, które mają odpowiednie kadry i możliwości finansowe by właściwie zabezpieczyć dane osobowe (zarówno fizycznie jak i technicznie) oraz diagnozować zagrożenia związane z ich zbieraniem, przetwarzaniem i przechowywaniem.

Wprowadzenie w życie przepisów RODO w każdym ze skontrolowanych urzędów wiązało się z dodatkowymi wydatkami. Szacowane przez nie koszty szkoleń, przeprowadzenia audytów, zakupu specjalistycznego oprogramowania, licencji, sprzętu, dostosowania infrastruktury do konieczności zwiększenia bezpieczeństwa wyniosły od 1,8 tys. zł do ok. 560 tys. zł. Najwyższa Izba Kontroli nie stwierdziła braku środków na dostosowanie któregoś z urzędów do wymogów RODO, natomiast były przypadki rozłożenia w czasie części prac ze względu na ograniczenia budżetowe samorządów.

Izba nie stwierdziła zaniedbań w przygotowaniach kontrolowanych urzędów do wprowadzenia w życie unijnego rozporządzenia. Zgodnie z przepisami, w każdym z nich powołano Inspektora Ochrony Danych, który powinien podlegać tylko administratorowi tych danych, czyli ministrowi, wojewodzie lub prezydentowi miasta. W jednym przypadku, niezgodnie z RODO inspektor podlegał, także pod względem merytorycznym, sekretarzowi miasta.

W większości skontrolowanych urzędów zastosowane środki bezpieczeństwa (techniczne, fizyczne i informatyczne), służące utrzymaniu poufności, integralności oraz dostępności systemów i usług przetwarzania danych, były zgodne z wewnętrznymi uregulowaniami obowiązującymi w tych urzędach.

Nieprawidłowości dotyczące fizycznego zabezpieczenia danych polegały głównie na utrzymywaniu w niewłaściwym stanie technicznym serwerowni, w której gromadzone są informacje dotyczące najważniejszych sfer działalności urzędu, a ich utrata lub brak dostępności do nich może doprowadzić do sytuacji kryzysowej. Najbardziej jaskrawy przykład to serwerownia jednego z kontrolowanych urzędów miast, do której wejście mieściło się holu dostępnym dla petentów. Wejście to nie było zabezpieczone ani alarmami przeciwwłamaniowymi, ani monitoringiem wizyjnym, ani elektroniczną weryfikacją dostępu.

Z wynikami kontroli można zapoznać się tutaj.