Kontrole
Reforma przepisów
Flaga Unii z gwiazdami i paragrafem w środku

Bezpieczeństwo danych w rejestrze PESEL do poprawy

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Paweł Makowski 2017-09-13
Wprowadził‚ informację: Paweł Makowski 2017-09-13 12:09:31
Ostatnio modyfikował: Edyta Madziar 2017-12-14 13:19:07

GIODO nakazał Ministrowi Cyfryzacji usunięcie naruszeń dotyczących przetwarzania danych w rejestrze PESEL.

Kontrola przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w Ministerstwie Cyfryzacji wykazała, że Minister Cyfryzacji – jako administrator danych przetwarzanych w rejestrze PESEL – naruszył przepisy o ochronie danych osobowych, poprzez:

  • brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych,
  • przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Braki wykryte przez GIODO podczas kontroli w lutym 2017 r. stanowią poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane.

O problemach tych GIODO poinformował Ministra Cyfryzacji po raz pierwszy już w marcu 2017 r. Ministerstwo w wyjaśnieniach nadsyłanych w odpowiedzi na pisma GIODO deklarowało usunięcie tych uchybień, lecz w bardzo odległych terminach, na co GIODO nie mógł się zgodzić. W związku z tym Generalny Inspektor Ochrony Danych Osobowych, w trosce o jak najszybsze zapewnienie należytego poziomu bezpieczeństwa danych obywateli, wydał 12 września 2017 r. decyzję nakazującą:

  • opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
  • zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL. Wprawdzie, jak ustalono, formalnie dane te pobierali komornicy jako podmioty uprawnione, ale bezpośrednio czynności tej dokonywały osoby niemające uprawnień do prowadzenia takich działań (pracownicy kancelarii komorniczych). Ponadto dane były zbierane nadmiarowo, bez prawnego uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.

Załączone pliki

Podmiot udostępniający: Departament Inspekcji Biura GIODO
Wytworzył informację: Bogusława Pilc 2017-09-12
Wprowadził‚ informację: Maciej Lipka 2017-09-14 15:34:52
Ostatnio modyfikował: Maciej Lipka 2017-09-14 16:04:01

Ostatnie aktualności