System Rejestrów Państwowych: Rejestr PESEL bezpieczny? GIODO wątpi i ponagla ministerstwo cyfryzacji

Generalny Inspektor Ochrony Danych Osobowych wydał decyzję nakazującą Ministerstwu Cyfryzacji opracowanie i wdrożenie procedur mających służyć bezpieczeństwu danych zawartych w rejestrze PESEL.
System Rejestrów Państwowych: Rejestr PESEL bezpieczny? GIODO wątpi i ponagla ministerstwo cyfryzacji
GIODO podczas kontroli w lutym 2017 r. wykrył braki w systemie rejestru PESEL (fot.pixabay)

• Zdaniem kontrolerów Minister Cyfryzacji jako administrator danych przetwarzanych w rejestrze PESEL naruszyła przepisy o ochronie danych osobowych.

• -To nieprawdziwe informacje – odpowiada resort cyfryzacji.

• Przypomina, że polityka certyfikacji dla infrastruktury i dla operatorów została zaktualizowana do 31 sierpnia.

• Można się też spodziewać modyfikacji aplikacji Źródło, z tym że dopiero w drugiej połowie przyszłego roku.

Przypomnijmy, GIODO podczas kontroli w lutym 2017 r. wykrył braki w systemie rejestru PESEL. Zdaniem kontrolerów stanowią one poważne zagrożenie dla bezpieczeństwa danych Polaków. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych.

- Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane – czytamy w komunikacie GIODO.

Powody i wnioski z kontrolo GIODO

Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL. Wprawdzie, jak ustalono, nie doszło wówczas do udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.

O problemach tych GIODO poinformował Ministra Cyfryzacji po raz pierwszy już w marcu 2017 r. Resort zadeklarował usunięcie tych uchybień, lecz w bardzo odległych terminach, na co GIODO się nie zgodził.

12 września 2017 r. wydał decyzję nakazującą:

- opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,

- zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,

- modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,

- wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

MC: Stale podnosimy poziom bezpieczeństwa danych

Ministerstwo Cyfryzacji stoi na stanowisku, że wnioski GIODO będące podstawą decyzji są nieprawdziwe.

- Minister Cyfryzacji z najwyższą starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione – czytamy w oficjalnej informacji na stronie resortu.

 


KOMENTARZE (0)

Artykuł nie posiada jeszcze żadnych komentarzy.

ZOBACZ TAKŻE