W sierpniu 2016 roku media zelektryzowała informacja o wycieku danych z bazy PESEL. Resort cyfryzacji poinformował organy ścigania o anomaliach przy pobieraniu przez kancelarie komornicze danych obywateli z bazy. Pięć kancelarii pobrało łącznie 1,4 mln danych. Proces ten wzbudził podejrzenia, bo zapytania wysyłano także w godzinach nocnych. GIODO ogłosił, że w resorcie doszło do naruszenia przepisów i wezwał do usunięcia tych naruszeń.
Kontrola przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych w Ministerstwie Cyfryzacji wykazała, że minister – jako administrator danych przetwarzanych w rejestrze PESEL – naruszył przepisy o ochronie danych osobowych - poinformował GIODO.
Na czym polegało naruszenie przepisów? Jak wskazuje GIODO, brakuje procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych. Jednemu użytkownikowi przyznaje się więcej niż jedną kartę z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych. W aplikacji,za pośrednictwem której realizowany jest dostęp do rejestru PESEL, brakuje funkcji umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL. Nie wdrożono też oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL. Resort twierdzi, że zarzuty te są nieuzasadnione.
Przeczytaj także
Braki wykryte przez GIODO podczas kontroli w lutym 2017 r. stanowią poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane - argumentuje GIODO. Dodatkowo minister cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane.
GIODO informował Ministerstwo Cyfryzacji o powyższych problemach w marcu zeszłego roku, jednak w odpowiedzi nie wskazano konkretnych terminów naprawienia uchybień. Dlatego też 12 września inspekcja wydała decyzję wskazującą konkretne terminy likwidacji poszczególnych uchybień. GIODO wskazuje:
- opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
- zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
- modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
- wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.
Ministerstwo Cyfryzacji odpowiada: - W odpowiedziach udzielanych GIODO Ministerstwo Cyfryzacji jednoznacznie informowało, że wskazywane przez Generalnego Inspektora obawy i zastrzeżenia są nieuzasadnione.
Przeczytaj także
- Należy też wskazać, że obowiązek podawania sygnatury prowadzonej sprawy (dotyczy głównie kancelarii komorniczych) w celu pozyskania danych z rejestru PESEL nie wynika wprost z przepisów prawa, nie ma zatem możliwości weryfikowania celowości pobierania danych na tej właśnie podstawie - tłumaczy resort. - Dodatkowo rodzi to obowiązek gromadzenia nadmiernej, w naszej ocenie, ilości danych. Nawet wprowadzenie takiego obowiązku w przepisach prawa nie daje też gwarancji prawidłowej weryfikacji celowości pobierania danych, ze względu na fakt, że Ministerstwo Cyfryzacji nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej właśnie konkretnej sprawie. Odpowiedzialność w tym zakresie ciąży więc na odbiorcy danych. Dodatkowo, takie rozwiązanie byłoby możliwe do zastosowania wyłącznie wobec podmiotów, które dostęp do danych zgromadzonych w rejestrze PESEL i RDO uzyskują za pośrednictwem aplikacji ŹRÓDŁO (aplikacji dostępowej do SRP). Rekomendowane przez Generalnego Inspektora rozwiązanie nie znajdzie zastosowania w przypadku, w którym podmiot uzyskuje dostęp do danych za pomocą swojego systemu teleinformatycznego. A taki dostęp mają np. kancelarie komornicze - poinformowało ministerstwo.
- Uwzględniając rekomendację Generalnego Inspektora, kilka tygodni temu Centralnemu Ośrodkowi Informatyki zlecono jednak analizę możliwości technicznych wdrożenia zmiany w aplikacji ŹRÓDŁO polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury akt sprawy. Jednak zaplanowany na rok 2017 budżet dla SRP jak i wniosek o uruchomienie rezerwy celowej nie przewidywał finansowania tej modyfikacji aplikacji ŹRÓDŁO, jej realizacja będzie możliwa z rezerwy celowej zabezpieczonej na rok 2018. Dlatego planowany, realny termin wdrożenia zmiany może nastąpić w III kwartale 2018 roku - tłumaczy resort.
Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL.
Wprawdzie, jak ustalono, nie doszło wówczas do udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.
kws
