Generalny Inspektorat Ochrony Danych
Osobowych przeprowadził kontrolę w Ministerstwie Cyfryzacji. Inspekcja
była przeprowadzona w następstwie wcześniejszych kontroli w kancelariach i
izbach komorników sądowych, u których stwierdzono masowe pobieranie
danych z rejestru PESEL. Ministerstwo Cyfryzacji, jako administrator danych
przetwarzanych w rejestrze PESEL, odpowiada za bezpieczne przetwarzanie danych
osobowych obywateli.
W raporcie pokontrolnym znalazły
się następujące uchybienia:
- brak procedur określających sposób postępowania w razie wystąpienia
incydentu związanego z ochroną danych osobowych
- przyznawanie jednemu użytkownikowi więcej niż jednej karty z
certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń
teletransmisji danych
- brak w aplikacji, za pośrednictwem której realizowany jest dostęp do
rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla
dokonywanego sprawdzenia danych w rejestrze PESEL
- niewdrożenie oprogramowania służącego do analizy logów systemowych, w
tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do
rejestru PESEL
Jak czytamy w oświadczeniu GIODO:
Braki wykryte przez GIODO podczas
kontroli w lutym 2017 r. stanowią poważne zagrożenie dla bezpieczeństwa danych
Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom,
którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w
zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania
danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze
niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister
Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu
użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma
możliwości ustalenia, kto i w jakim celu pozyskuje dane.
W związku z przeprowadzoną kontrolą, Generalny
Inspektor Ochrony Danych wydał następujące zalecenia pokontrolne:
- opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w
razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych
w ramach rejestru PESEL
- zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła
zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do
rejestru PESEL za pomocą urządzeń teletransmisji danych
- modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r.
w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego
sprawdzenia danych w rejestrze PESEL
- wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy
logów systemowych, w tym operacji dokonywanych przez użytkowników, którym
przyznany został dostęp do rejestru PESEL
Należy podkreślić, że kontrola nie wykazała
udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane
były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest
możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który
administruje rejestrem PESEL.
W odpowiedzi, za pośrednictwem oświadczenia
opublikowanego na stronie internetowej, Ministerstwo Cyfryzacji informuje, że:
Minister Cyfryzacji z najwyższą
starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym
przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w
rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają
dostępu żadne osoby czy instytucje do tego nieuprawnione.
Źródło wiedzy: RadioZet.pl
Rejestr PESEL narusza przepisy o ochronie danych osobowych!
Bezpieczne regulaminy sklepów i serwisów internetowych