GIODO: Minister cyfryzacji naruszył przepisy o ochronie danych. Resort odpowiada: Te wnioski są nieprawdziwe

GIODO: Minister cyfryzacji naruszył przepisy o ochronie danych. Resort odpowiada: Te wnioski są nieprawdziwe

Dane osobowe, zdj. ilustracyjne
Dane osobowe, zdj. ilustracyjne Źródło: Fotolia / czarny_bez
Generalny Inspektor Ochrony Danych Osobowych (GIODO) przeprowadził kontrolę w Ministerstwie Cyfryzacji, która wykazała, że minister cyfryzacji – jako administrator danych przetwarzania w rejestrze PESEL – naruszył przepisy o ochronie danych osobowych. Resort twierdzi, że wnioski GIODO są „nieprawdziwe”.

GIODO w komunikacie wymienia, w jaki sposób minister cyfryzacji naruszył przepisy:

  • brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych,
  • przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Inspektor podkreśla, że wykryte braki stanowią powazne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. „Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane” – czytamy.

Decyzja GIODO

GIODO podkreśla dalej, że o problemach tych poinformował ministra cyfryzacji po raz pierwszy w marcu 2017 roku, jednak w wyjaśnieniach nadesłanych w odpowiedzi na pisma, resort deklarował usunięcie uchybień w bardzo odległych terminach. W związku z tym GIODO wydał decyzję nakazującą:

  • opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
  • zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Odpowiedź ministerstwa

Resort cyfryzacji wydał komunikat w odpowiedzi na dziś opublikowaną opinię GIODO. „Minister Cyfryzacji z najwyższą starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione” – zaznaczono.

Źródło: WPROST.pl / giodo.gov.pl, ministerstwo cyfryzacji