Dane z Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) były zbierane nadmiarowo i bez uzasadnienia - poinformował Generalny Inspektor Ochrony Danych Osobowych i nakazał Ministerstwu Cyfryzacji, by jeszcze w tym miesiącu wprowadziło zmiany w dostępie do danych. Resort ripostuje, że wnioski GIODO są "nieprawdziwe".
Kontrola przeprowadzona prze GIODO wykazała, że Minister Cyfryzacji - jako administrator danych przetwarzanych w rejestrze PESEL - naruszył przepisy o ochronie danych osobowych.
Zarzuty GIODO
GIODO wskazuje przede wszystkim na brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych. Nakazał opracowanie i wdrożenie takich procedur do końca tego roku.
Inspektor zwraca również uwagę na "przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych". GIODO nakazał, aby to zostało zmienione do 30 września tego roku, tak aby jednemu użytkownikowi nie mogła być wydawana więcej niż jedna karta.
Podkreśla też brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych. Na naprawienie tego inspektor dał czas ministerstwu do końca marca przyszłego roku.
Kontrola wykazała również, że w resorcie cyfryzacji nie zastosowano oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp. Wdrożenie takiego oprogramowania ma być dokonane do 31 grudnia 2017 r. - zarządził GIODO.
Dane osobowe Polaków
GIODO podkreśla, że braki wykryte podczas kontroli stanowią "poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL". "Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany" - czytamy w komunikacie.
W związku z tym GIODO wydał 12 września 2017 r. decyzję nakazującą Ministrowi Cyfryzacji usunięcie naruszeń, by jak najszybciej zapewniony został należyty poziom bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL.
"Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL. Wprawdzie, jak ustalono, nie doszło wówczas do udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL" - czytamy w komunikacie.
Odpowiedź resortu
Odnosząc się do opublikowanej dziś opinii GIODO Ministerstwo Cyfryzacji poinformowało, że wnioski w niej zawarte są nieprawdziwe.
"Minister Cyfryzacji z najwyższą starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione" - głosi komunikat.
W sierpniu ub. roku Prokuratura Okręgowa w Warszawie wszczęła śledztwo w sprawie podejrzenia nieuprawnionego wykorzystania danych z systemu PESEL przez pięć kancelarii komorniczych, m.in. z Warszawy i Łodzi. O podejrzeniu przestępstwa zawiadomiło Ministerstwo Cyfryzacji.
Resort wskazał wówczas, że konkretni komornicy pobierali miesięcznie od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL.
- Wystąpienie do prokuratury było jedyną możliwą reakcją na nietypowe działania części komorników w bazie PESEL - mówiła we wrześniu w Sejmie minister cyfryzacji Anna Streżyńska. Dodawała, że pokazuje to przełamanie słabości państwa w cyberbezpieczeństwie.
Autor: tol/ms / Źródło: tvn24bis.pl