PARTNER PORTALU
  • BGK

System Rejestrów Państwowych: Rejestr PESEL bezpieczny? GIODO wątpi i ponagla ministerstwo cyfryzacji

  • AW    14 września 2017 - 10:38
System Rejestrów Państwowych: Rejestr PESEL bezpieczny? GIODO wątpi i ponagla ministerstwo cyfryzacji
GIODO podczas kontroli w lutym 2017 r. wykrył braki w systemie rejestru PESEL (fot.pixabay)

Generalny Inspektor Ochrony Danych Osobowych wydał decyzję nakazującą Ministerstwu Cyfryzacji opracowanie i wdrożenie procedur mających służyć bezpieczeństwu danych zawartych w rejestrze PESEL.




• Zdaniem kontrolerów Minister Cyfryzacji jako administrator danych przetwarzanych w rejestrze PESEL naruszyła przepisy o ochronie danych osobowych.

• -To nieprawdziwe informacje – odpowiada resort cyfryzacji.

• Przypomina, że polityka certyfikacji dla infrastruktury i dla operatorów została zaktualizowana do 31 sierpnia.

• Można się też spodziewać modyfikacji aplikacji Źródło, z tym że dopiero w drugiej połowie przyszłego roku.

Przypomnijmy, GIODO podczas kontroli w lutym 2017 r. wykrył braki w systemie rejestru PESEL. Zdaniem kontrolerów stanowią one poważne zagrożenie dla bezpieczeństwa danych Polaków. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych.

- Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane – czytamy w komunikacie GIODO.

Powody i wnioski z kontrolo GIODO

Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL. Wprawdzie, jak ustalono, nie doszło wówczas do udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.

O problemach tych GIODO poinformował Ministra Cyfryzacji po raz pierwszy już w marcu 2017 r. Resort zadeklarował usunięcie tych uchybień, lecz w bardzo odległych terminach, na co GIODO się nie zgodził.

12 września 2017 r. wydał decyzję nakazującą:

- opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,

- zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,

- modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,

- wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

MC: Stale podnosimy poziom bezpieczeństwa danych

Ministerstwo Cyfryzacji stoi na stanowisku, że wnioski GIODO będące podstawą decyzji są nieprawdziwe.

- Minister Cyfryzacji z najwyższą starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione – czytamy w oficjalnej informacji na stronie resortu.





REKLAMA




×
KOMENTARZE (0)

Artykuł nie posiada jeszcze żadnych komentarzy.

Drodzy Użytkownicy!

W związku z odwiedzaniem naszych serwisów internetowych przetwarzamy Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.