MISZMASZ TWOJA GAZETA

PORTAL DLA DŁUŻNIKÓW, WIERZYCIELI, KOMORNIKÓW, SĘDZIÓW I PRAWNIKÓW
Dziś jest:  piątek  22 września 2017r.

PRZEGLĄD PRASY

  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar
  • Miszmasz - Czarny Piar

assassination attempt 268910 340GIODO nakazał Ministrowi Cyfryzacji usunięcie naruszeń dotyczących przetwarzania danych w rejestrze PESEL. Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL

 

Kontrola przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w Ministerstwie Cyfryzacji wykazała, że Minister Cyfryzacji – jako administrator danych przetwarzanych w rejestrze PESEL – naruszył przepisy o ochronie danych osobowych, poprzez:

brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych,

przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,

brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,

niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

 

Braki wykryte przez GIODO podczas kontroli w lutym 2017 r. stanowią poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych.

 

Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane.

 

O problemach tych GIODO poinformował Ministra Cyfryzacji po raz pierwszy już w marcu 2017 r.

Ministerstwo w wyjaśnieniach nadsyłanych w odpowiedzi na pisma GIODO deklarowało usunięcie tych uchybień, lecz w bardzo odległych terminach, na co GIODO nie mógł się zgodzić.

 

W związku z tym Generalny Inspektor Ochrony Danych Osobowych, w trosce o jak najszybsze zapewnienie należytego poziomu bezpieczeństwa danych obywateli, wydał 12 września 2017 r. decyzję nakazującą:

opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,

zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,

modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,

wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

 

Inspekcja przeprowadzona w Ministerstwie Cyfryzacji była następstwem wcześniejszych kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL. Wprawdzie, jak ustalono, nie doszło wówczas do udostępnienia danych z rejestru PESEL osobom nieuprawnionym, ale dane były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.

 

 

Stanowisko Ministerstwa Cyfryzacji

 

W odpowiedziach udzielanych GIODO Ministerstwo Cyfryzacji jednoznacznie informowało, że wskazywane przez Generalnego Inspektora obawy i zastrzeżenia są nieuzasadnione. W szczegółowych pismach Ministerstwo Cyfryzacji odniosło się do wszystkich wątpliwości zgłaszanych przez organ ochrony danych osobowych.

 

W Ministerstwie Cyfryzacji nieustannie podejmowane są działania o charakterze analitycznym i wykonawczym, których celem jest podniesienie poziomu bezpieczeństwa w prowadzonych rejestrach publicznych. Niezależnie od przedstawionej przez GIODO opinii, Ministerstwo stale podejmuje kroki, których celem jest podnoszenie poziomu bezpieczeństwa danych osobowych, do gromadzenia których minister jest zobowiązany. 12 września br. w Ministerstwie Cyfryzacji odbyło się kolejne z cyklu spotkanie kierownictwa resortu z kierownictwem Centralnego Ośrodka Informatyki w tej właśnie sprawie.

 

W prowadzonej z GIODO korespondencji wskazaliśmy, że w terminie do 31 sierpnia br. zostanie zaktualizowana Polityka Certyfikacji dla infrastruktury SRP v.2.1 oraz Polityka Certyfikacji dla operatorów SRP v.1.9. Działania takie zostały podjęte, a dokumenty zostały przyjęte w dniu 31 sierpnia br. i opublikowane na stronie internetowej Ministerstwa Cyfryzacji.

 

Należy też wskazać, że obowiązek podawania sygnatury prowadzonej sprawy (dotyczy głównie kancelarii komorniczych) w celu pozyskania danych z rejestru PESEL nie wynika wprost z przepisów prawa, nie ma zatem możliwości weryfikowania celowości pobierania danych na tej właśnie podstawie. Dodatkowo rodzi to obowiązek gromadzenia nadmiernej, w naszej ocenie, ilości danych. Nawet wprowadzenie takiego obowiązku w przepisach prawa nie daje też gwarancji prawidłowej weryfikacji celowości pobierania danych, ze względu na fakt, że Ministerstwo Cyfryzacji nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej właśnie konkretnej sprawie.

 

Odpowiedzialność w tym zakresie ciąży więc na odbiorcy danych. Dodatkowo, takie rozwiązanie byłoby możliwe do zastosowania wyłącznie wobec podmiotów, które dostęp do danych zgromadzonych w rejestrze PESEL i RDO uzyskują za pośrednictwem aplikacji ŹRÓDŁO (aplikacji dostępowej do SRP). Rekomendowane przez Generalnego Inspektora rozwiązanie nie znajdzie zastosowania w przypadku, w którym podmiot uzyskuje dostęp do danych za pomocą swojego systemu teleinformatycznego. A taki dostęp mają np. kancelarie komornicze.

 

Uwzględniając rekomendację Generalnego Inspektora, kilka tygodni temu Centralnemu Ośrodkowi Informatyki zlecono jednak analizę możliwości technicznych wdrożenia zmiany w aplikacji ŹRÓDŁO polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury akt sprawy.

Jednak zaplanowany na rok 2017 budżet dla SRP jak i wniosek o uruchomienie rezerwy celowej nie przewidywał finansowania tej modyfikacji aplikacji ŹRÓDŁO, jej realizacja będzie możliwa z rezerwy celowej zabezpieczonej na rok 2018.

 

Dlatego planowany, realny termin wdrożenia zmiany może nastąpić w III kwartale 2018 roku.

 

 

 

LS

GIODO

MC

 

 

 

 

 

 

miszmasz-menu-module

NA SKRÓTY