Czy pamiętacie “wyciek” z bazy PESEL z sierpnia 2016 roku? GIODO właśnie ogłosił, że ten “wyciek” wykazał pewne braki w bezpieczeństwie danych Polaków. Nie dochodziło do pobierania danych przez osoby nieuprawnione, ale osoby uprawnione miały zbyt dużą swobodę w dostępie do danych.

O wspomnianym “wycieku” z bazy PESEL celowo piszemy używając cudzysłowu. Chyba nic nie wyciekło, ale Centralny Ośrodek Informatyki zorientował się, że pewne kancelarie komornicze masowo odpytywały bazę PESEL. Pojawiła się obawa, że dane mógł pobierać ktoś nieuprawniony, albo osoba uprawniona pobierała więcej danych niż to konieczne. Media początkowo trochę przesadziły z nadmuchaniem sprawy, ale… pewne fakty wyglądały naprawdę źle.

Ten “wyciek” sprawił, że wiele osób zaczęło odpytywać Ministerstwo Cyfryzacji o dostęp do ich danych w rejestrach państwowych. Na podstawie historii związanych z tymi zapytaniami można by napisać osobny, ciekawy artykuł.

Tymczasem historia samego wycieku ma swój dalszy ciąg. Sprawę zaczęła badać prokuratura i GIODO, a właśnie dziś GIODO ogłosił wynik swojej kontroli.

GIODO wytyka naruszenia Ministrowi

GIODO stwierdził, że Minister Cyfryzacji naruszył przepisy o ochronie danych osobowych jako administrator danych przetwarzanych w rejestrze PESEL.

Naruszenia miały polegać na:

  • braku procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych;
  • przyznawaniu jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych;
  • brakach w funkcjonalności aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL (tzn. aplikacja powinna umożliwić wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL);
  • niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

GIODO zbadał sprawę przeprowadzając kontrole w kancelariach i izbach komorniczych. Okazało się, że choć dane z rejestru PESEL nie były pozyskiwane przez osoby nieuprawnione, to jednak były zbierane nadmiernie i bez uzasadnienia. Aby ustalić źródło problemów konieczna była także kontrola w Ministerstwie Cyfryzacji. Po tej kontroli GIODO doszedł do wniosku, że istnieje poważne zagrożenie dla bezpieczeństwa danych Polaków, gdyż możliwe jest masowe pozyskiwanie danych bez wskazywania uzasadnienia, czyli w sposób właściwie niekontrolowany.

GIODO informował ministra o problemach po raz pierwszy w marcu 2017 r. MC deklarowało usunięcie tych uchybień, ale zdaniem GIODO zaproponowane terminy były nie do przyjęcia. Dlatego wczoraj GIODO wydał decyzję, w której nakazał:

  • opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
  • zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Przeczytaj także: