Rzecznik Praw Obywatelskich pyta dyrektora Rządowego Centrum Bezpieczeństwa o działania podjęte w związku z wyciekiem danych ponad 20 tysięcy funkcjonariuszy. Adam Bodnar chciałby wiedzieć, czy osoby, których dane osobowe zostały ujawnione, zostały o tym powiadomione. Sprawę bada obecnie kilka podmiotów.
O wycieku danych poinformował we wtorek portal Niebezpiecznik.pl - zgodnie z jego informacjami wyciek dotyczył danych policjantów (także z Centralnego Biura Śledczego Policji), celników, pracowników Służby Ochrony Państwa, Administracji Skarbowej, Straży Granicznej, Straży Pożarnej (także ochotniczej), Inspekcji Transportu Drogowego, Straży Miejskiej, Straży Ochrony Kolei czy Służby Więziennej. Chodzi o dane takie jak nazwiska, numery telefonów, numery PESEL, e-maile (służbowe lub prywatne), a także dokładne adresy miejsca pracy.
W informacji opublikowanej w piątek na stronie Biura Rzecznika Praw Obywatelskich podkreślono, że osoby, których dane wyciekły, miały zgłosić się na szczepienia przeciwko COVID-19, a to oznacza, że wyciek dotyczy "wrażliwego kontekstu przetwarzania danych w celu udzielania świadczeń zdrowotnych".
"Zostały zatem ujawnione istotne, szczególne dane osobowe, które mogą być wykorzystane w sposób nieuprawniony. W przypadku funkcjonariuszy publicznych jeszcze większe zagrożenie wiąże się z możliwością wkroczenia w życie prywatne poprzez niechciane telefony czy korespondencję, a nawet wykorzystanie możliwości kontaktu do wywierania wpływu lub podejmowanie działań w celu pozbawienia ich zaufania publicznego" - podkreślono.
W związku z tym RPO spytał dyrektora Rządowego Centrum Bezpieczeństwa pułkownika Konrada Korpowskiego o działania, jakie podjął lub planuje podjąć w tej sprawie. Chodzi także między innymi o informację, czy osoby, których dane zostały ujawnione, otrzymały stosowną informację o naruszeniu ochrony danych osobowych.
Wyciek danych z Rządowego Centrum Bezpieczeństwa
W środowym komunikacie Rządowe Centrum Bezpieczeństwa poinformowało, że po otrzymaniu informacji o "możliwym, nieuprawnionym dostępie do danych osobowych" wszystkie dane zostały "ponownie i niezwłocznie" zabezpieczone, a dalsza możliwość wprowadzania ich w formularzu została zablokowana. Jak poinformowano, w Centrum trwa wewnętrzna procedura wyjaśniająca.
"Wspólnie z inspektorem ochrony danych osobowych natychmiast wprowadzono procedury dodatkowej weryfikacji wszystkich czynności podejmowanych w systemie, za pośrednictwem którego RCB przetwarza dane osobowe. Zaplanowano także dodatkowy audyt, którego celem będzie weryfikacja i usprawnienie procedur związanych z ochroną danych osobowych. Dyrektor RCB spotkał się również z Pełnomocnikiem Komendanta Głównego Policji ds. Bezpieczeństwa Cyberprzestrzeni w sprawie oceny sytuacji i wzmocnienia ochrony systemów informatycznych Centrum" - czytamy.
Jak podkreślono, zdarzenie zgłoszono do zespołu reagowania na incydenty bezpieczeństwa komputerowego CSIRT GOV, a także powiadomiono o nim komendantów i szefów służb. "Równolegle powiadomiono Prokuraturę Okręgową w Warszawie o uzasadnionym przypuszczeniu popełnienia przestępstwa. Zgodnie z obowiązującymi przepisami RODO, zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu bezpieczeństwa danych osobowych" - dodało RCB.
28 grudnia 2020 roku Rządowe Centrum Bezpieczeństwa opracowało formularze umożliwiające różnym grupom zawodowym zgłaszanie się na szczepienia przeciwko COVID-19. Łącznie za ich pomocą zarejestrowało się kilkaset tysięcy osób. "Sytuacja związana z potencjalnym, nieuprawnionym dostępem do danych osobowych dotyczy wyłącznie grupy osób, która została zarejestrowana w terminie 12-20 kwietnia br. (około 22 tys. rekordów). Sukcesywnie zawiadamiamy o zaistniałym fakcie ww. osoby przekazując niezbędne wytyczne" - informowało w środę Centrum.
Źródło: PAP
Źródło zdjęcia głównego: Shutterstock