Bezpieczeństwo danych w rejestrze PESEL do poprawy

Kontrola przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w Ministerstwie Cyfryzacji wykazała, że Minister Cyfryzacji - jako administrator danych przetwarzanych w rejestrze PESEL - naruszył przepisy o ochronie danych osobowych, poprzez:

  • brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych,
  • przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Braki wykryte przez GIODO podczas kontroli w lutym 2017 r. stanowią poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji - jako administrator danych - przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane.

O problemach tych GIODO poinformował Ministra Cyfryzacji po raz pierwszy już w marcu 2017 r. Ministerstwo w wyjaśnieniach nadsyłanych w odpowiedzi na pisma GIODO deklarowało usunięcie tych uchybień, lecz w bardzo odległych terminach, na co GIODO nie mógł się zgodzić. W związku z tym Generalny Inspektor Ochrony Danych Osobowych, w trosce o jak najszybsze zapewnienie należytego poziomu bezpieczeństwa danych obywateli, wydał 12 września 2017 r. decyzję nakazującą:

  • opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
  • zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL. Wprawdzie, jak ustalono, nie doszło wówczas do udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych