Czy burmistrz Antosik nie dopełnił obowiązków ochrony danych osobowych?

Czy burmistrz Antosik nie zrealizował obowiązków dotyczących ochrony danych osobowych mieszkańców Turku?

Zarząd TS wyraża duże zaniepokojenie pilnym komunikatem z 23.08.2017 r., burmistrza Antosika, który wskazuje na poważną awarię systemu komputerowego w Urzędzie Miejskim w Turku, powodującym utrudnienia w obsłudze mieszkańców, w tym realizacją należnych świadczeń. W komunikacji zawarta jest informacja, że utrudnienia w obsłudze mieszkańców powstały z przyczyn niezależnych jak rozumiemy od kierownictwa Urzędu.

Z medialnych informacji wynika, że mógł to być atak hakerski, który zablokował pracę systemu informatyczny Urzędu na 6 dni (od 18.08 do 25.08.2017 r.), a hakerzy ponoć zażądali okupu w kwocie 13 tys. zł za przywrócenie pracy systemu w Urzędzie. Według opinii fachowca od ochrony danych osobowych, przywołanego w tych publikacjach, wynika, że przyczyn takiego stanu rzeczy, raczej należy szukać w Urzędzie Miejskim w Turku.

W kolejnym komunikacie z 25.08.2017 r., burmistrz Antosik m.in. informuje, że to nieprawdziwe informacje,
a utrudnienia powstały z przyczyn niezależnych od Urzędu.

W ocenie Zarządu TS, administratorem danych osobowych Urzędu Miejskiego w Turku jest burmistrz Antosik jako osoba reprezentująca Gminę Miejską Turek, co nakłada na niego określone obowiązki dotyczące przetwarzania danych osobowych, określone w obowiązujących przepisach prawa: ustawa o ochronie danych osobowych, tj. z dnia 13 czerwca 2016 r. (Dz. U. z 2016 r. poz. 922) oraz akty wykonawcze.

Do obowiązków administratora danych osobowych należy m.in.:

• opracowanie i wdrożenie dokumentacji ochrony danych osobowych (polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych),
• zarządzanie opracowanym i wdrożonym systemem ochrony danych osobowych na który składają się elementy o charakterze technicznym jak i organizacyjnym zapewniające ochronę przetwarzanych danych osobowych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną,
• rejestracja zbiorów danych osobowych w rejestrze Generalnego Inspektora Ochrony Danych Osobowych – GIODO,
• zapoznanie osób przetwarzających dane osobowe z obowiązującymi przepisami prawa oraz dokumentami przyjętymi w danej jednostce.

Przepisy prawa nakładają też obowiązki na administratora danych osobowych w zakresie zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych w szczególności przed działaniem złośliwego oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, a także przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

Gmina Miejska Turek dysponuje rozbudowaną strukturą administracji z dość dużą liczebnością jednostek podległych oraz ilością przetwarzanych danych osobowych, które wymagają nieustannego podejmowania działań, aby spełnić w tym zakresie obowiązki wynikające z przepisów obowiązującego prawa.

Dlatego, Zarząd TS pyta burmistrza Antosika

jako administratora danych osobowych, licząc na merytoryczną odpowiedź z oznaczeniem, którego pytania dotyczy dany fragment odpowiedzi:

1. Czy w Urzędzie Miejskim w Turku powołany jest Administrator Bezpieczeństwa Informacji (ABI), jeśli tak, to jakie ma uprawnienia i obowiązki oraz kto nim jest?

2. Czy w jednostkach podległych (żłobek, przedszkola, szkoły, biblioteka, spółki komunalne, jednostki podległe oświaty, kultury, sportu) powołani są administratorzy bezpieczeństwa informacji ? Prosimy o wskazanie, w których jednostkach ABI są powołani, a w których nie?

3. Jakie zbiory danych są przetwarzanie w Urzędzie Miejskim oraz w jednostkach podległych ? Prosimy o podanie nazw zbiorów?

4. Czy pracownicy Urzędu Miejskiego oraz jednostek podległych zostali zapoznani z przepisami ustawy o ochronie danych osobowych ? Jeżeli tak to prosimy o podanie kiedy?

5. Jak często organizowane są szkolenia dla pracowników Urzędu Miejskiego oraz jednostek podległych z zakresu ochrony danych osobowych ? Jeśli tak to jak często się to wykonuje?

6. Czy  w Urzędzie Miejskim oraz w jednostkach podległych dotychczas wykonywano audyty ochrony danych osobowych?

7. Czy istnieje rejestr powierzeń danych osobowych w Urzędzie Miejskim oraz jednostkach podległych?

8. Czy jest opracowana i aktualizowana polityka bezpieczeństwa ochrony danych osobowych na podstawie przepisów o ochronie danych osobowych dla Urzędu Miejskiego i dla każdej z jednostek podległych?

9. Kiedy ostatni raz były aktualizowane istniejące polityki bezpieczeństwa?

10. W jaki sposób są zabezpieczone i chronione zbiory danych osobowych?

11. Czy system teleinformatyczny służący do ochrony danych osobowych odnotowuje datę pierwszego wprowadzenia danych do systemu, identyfikator użytkownika wprowadzającego dane do systemu i czy odnotowuje fakt wniesienia sprzeciwu wobec przetwarzania danych?

12. Czy opracowane są procedury wykonywania przeglądów, konserwacji, niszczenia nośników służących do przetwarzania danych ? Czy pracownikom Urzędu Miejskiego i jednostek podległych znane są te procedury?

13. Czy Urząd Miejski i jednostki podległe przetwarzają dane wrażliwe? Jeśli tak, to w jaki sposób te dane są przetwarzane? Czy istnieje system przetwarzania tych danych? Jaki jest to system?

14. Czy w Urzędzie Miejskim w Turku i jednostkach podległych wdrożono procedury z rozporządzenia Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych – KRIR (t.j. Dz.U. z 2016 r. poz. 113)?

15. Czy w Urzędzie Miejskim w Turku i jednostkach podległych jest opracowana, wdrożona  i aktualizowana polityka bezpieczeństwa informacji zgodnie z § 2 pkt 15 ww. rozporządzenia KRIR?

16. Czy w Urzędzie Miejskim w Turku i jednostkach podległych były wykonywane kopie zapasowe serwerów tzw. procedury backupowe, tak aby zabezpieczyć informacje (dane w tym dane osobowe) w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie na podstawie § 20 ust. 2 pkt 9 ww. rozporządzenia KRIR?

17. Czy w systemie informatycznym Urzędu Miejskiego w Turku i jednostkach podległych wprowadzono i realizowano obowiązek rozliczalności procesów przetwarzania danych osobowych na podstawie § 21 ust. 1–5 ww. rozporządzenia KRIR?

18. Czy prawdą jest że system informatyczny Urzędu Miejskiego w Turku został poddany atakowi  hakerskiemu skutkiem czego była przestój pracy Urzędu? Jeśli tak, to czy hakerzy zażądali okupu? W jakiej wysokości i walucie hakerzy żądali okupu? Czy okup został zapłacony? Jeśli tak to z jakich środków finansowych i kto był płatnikiem okupu?

19. Jaka się nazywa szkodliwe oprogramowanie, które zainfekowało system informatyczny Urzędu Miejskiego w Turku?

20. Czy prawdą jest że w związku z atakiem hakerskim na system informatyczny Urzędu Miejskiego w Turku zostało złożone zawiadomienie do Prokuratury Rejonowej w Turku? Jeśli tak, to prosimy o podanie jego treści?

Zarząd TS chce ustalić czy obowiązki w zakresie nadzorowania przestrzegania zasad ochrony danych osobowych w Urzędzie Miejskim w Turku zostały w sposób należyty zrealizowane, czy nie doszło w tym zakresie do zaniedbań i naruszenia obowiązków zabezpieczenia danych osobowych przez osoby za nie odpowiedzialne (administratora danych osobowych – burmistrza). Czas wyłączenia systemu informatycznego w Urzędzie może wskazywać, że nie dopełniono obowiązków w tym zakresie.

To, że ataki hakerskie w postaci złośliwych programów typu malware, ransomwere czy helisa trojańska wpuszczanych do systemów informatycznych różnego rodzaju instytucji  publicznych występują z dużą częstotliwością jest faktem. W ten sposób hakerzy pozyskują informacje w tym dane osobowe danej instytucji publicznej. Natomiast czym innym jest czy burmistrz Antosik jako kierownik Urzędu w sposób należyty dopełnił obowiązków dotyczących ochrony przetwarzanych danych osobowych mieszkańców Turku ?

Zarząd TS, wyjaśnia, że w sytuacji naruszenia obowiązku zabezpieczenia przetwarzanych danych osobowych, bez znaczenia jest zaistnienie jakiegokolwiek skutku naruszenia tego obowiązku, czy też nieumyślność braku jego realizacji. Wystarczy, aby obowiązek zabezpieczenia danych osobowych nie został zrealizowany.

Zarząd Koła Miejskiego w Turku
Towarzystwa Samorządowego

---

Tagi: Romuald Antosik, Towarzystwo Samorządowe, TS Turek

---