GIODO: rejestr PESEL z naruszeniami przetwarzania danych

14.09.2017 17:51

GIODO postawiło Ministerstwu Cyfryzacji ultimatum - rejestr PESEL musi być zostać zmodyfikowany jeszcze przed końcem 2017 roku. 

GIODO: rejestr PESEL z naruszeniami przetwarzania danych

fot. materiały prasowe

Generalny Inspektorat Ochrony Danych Osobowych przeprowadził w Ministerstwie Cyfryzacji, administratora danych przetwarzanych w rejestrze PESEL, kontrolę po upublicznieniu informacji o możliwym wycieku danych osobowych kilku milionów Polaków.

W raporcie pokontrolnym znalazły się informacje o dużej liczbie odkrytych uchybień:

  • brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych
  • przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych
  • brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL
  • niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL

- Braki wykryte przez GIODO podczas kontroli w lutym 2017 r. stanowią poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane – czytamy w oświadczeniu GIODO.

Ministerstwo Cyfryzacji zobowiązało się do naprawienia tych uchybień, jednak zaproponowane terminy nie zostały przez GIODO zaakceptowane – uznano je za zbyt odległe.

W związku z tym Generalny Inspektor Ochrony Danych Osobowych, w trosce o jak najszybsze zapewnienie należytego poziomu bezpieczeństwa danych obywateli, wydał decyzję nakazującą:

  • opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL
  • zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych
  • modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL
  • wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL

Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL.

Wprawdzie, jak ustalono, nie doszło wówczas do udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.

Odnosząc się do opublikowanej dziś opinii GIODO Ministerstwo Cyfryzacji informuje, że wnioski w niej zawarte są nieprawdziwe. Minister Cyfryzacji z najwyższą starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione - czytamy w oświadczeniu opublikowanym na stronie resortu.

Zagłosuj

Pamiętacie swój numer PESEL?

RadioZET.pl/GIODO/MC/MT