GIODO: Minister Cyfryzacji naruszył przepisy o ochronie danych jako administrator bazy PESEL [akt.]

Gorące tematy Państwo Technologie Dołącz do dyskusji (55)
GIODO: Minister Cyfryzacji naruszył przepisy o ochronie danych jako administrator bazy PESEL [akt.]

Bezpieczeństwo danych Polaków w systemie PESEL jednak było zagrożone i to poważnie. Takiego zdania jest Generalny Inspektor Ochrony Danych, który przeprowadził kontrolę w Ministerstwie Cyfryzacji po rzekomym „wycieku” w roku 2016. Wyciek nie był tak groźny jak przedstawiono to w mediach, ale jednak nie był bez znaczenia! 

W sierpniu 2016 roku Polskę obiegła informacja o wielkim „wycieku danych milionów Polaków” z bazy PESEL. Marek Krześnicki napisał wówczas w Bezprawniku, że to „medialna hucpa” i miał sporo racji. Do żadnego wycieku nie doszło natomiast rządowi informatycy zaobserwowali masowe pobieranie danych przez niektóre kancelarie komornicze. Sposób pobierania był na tyle nietypowy, że odnotowano anomalię i zgłoszono sprawę organom ścigania. Niestety wiele mediów nie potrafiło rzetelnie wyjaśnić co właściwie się stało. Niektóre przesadzały z doniesieniami, inne marginalizowały sprawę. Tymczasem stało się coś istotnego, nawet jeśli nie był to wyciek.

GIODO: Bezpieczeństwo PESEL do poprawki

To wydarzenie zainteresowało Generalnego Inspektora Ochrony Danych (GIODO). Przeprowadził on kontrole w kancelariach komorniczych, a później w Ministerstwie Cyfryzacji. Efektem kontroli było wydanie decyzji, w której GIODO stwierdził, iż Minister Cyfryzacji naruszył przepisy o ochronie danych jako administrator bazy PESEL. GIODO nakazał też poprawienie zaobserwowanych nieprawidłowości. Decyzja została wydana wczoraj (12 września 2017 r.)

Co takiego zarzucił GIODO ministerstwu cyfryzacji? Choćby brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych. Ministerstwo nie wdrożyło też oprogramowania, służącego do analizy logów systemowych. Stwierdzono, że jednemu użytkownikowi przyznano więcej niż jedną kartę z certyfikatem umożliwiającym dostęp do rejestru PESEL.

Najważniejsze jednak wydaje się to, że w aplikacji dającej dostęp do rejestru PESEL nie było funkcji wskazania uzasadnienia dla dokonywanego sprawdzenia danych. To oznacza, że choć dane pobierali uprawnieni do tego komornicy, mogli oni pobierać dane nadmiernie, nie tłumacząc dlaczego właściwie to robią. To był najważniejszy problem.

W lutym tego roku GIODO zgłosił ministrowi zaobserwowane braki. Minister zaproponował usunięcie problemów, ale zdaniem GIODO zaproponowano zbyt odległe terminy. Dlatego GIODO zdecydował się wydać decyzję, w której stwierdził naruszenie i nakazał usunięcie braków w aplikacji dostępowej. Poza tym GIODO nakazał ministrowi, by ten opracował i wdrożył procedury na wypadek wycieku oraz by zapewnił, że jednemu użytkownikowi będzie wydana nie więcej niż jedna karta z certyfikatem umożliwiającym dostęp do PESEL. Ministerstwo ma też wdrożyć – do 31 grudnia 2017 r. – oprogramowanie służące do analizy logów systemowych.

Aktualizacja

Ministerstwo Cyfryzacji wydało swoje oświadczenie na temat decyzji GIODO. Zdaniem Ministerstwa wnioski GIODO nie były słuszne, ponieważ:

  • Ministerstwo stale podejmuje kroki, których celem jest podnoszenie poziomu bezpieczeństwa danych osobowych, do gromadzenia których minister jest zobowiązany.
  • Obowiązek podawania sygnatury prowadzonej sprawy przy pobieraniu danych PESEL nie wynika wprost z przepisów prawa. Zdaniem ministerstwa wprowadzenie takiego obowiązku w przepisach prawa nie daje też gwarancji prawidłowej weryfikacji celowości pobierania danych, ze względu na fakt, że Ministerstwo Cyfryzacji nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej właśnie konkretnej sprawie.

Z oświadczenia dowiadujemy się, że Ministerstwo w korespondencji z GIODO wskazało, że w terminie do 31 sierpnia br. zaktualizuję Polityka Certyfikacji dla infrastruktury SRP v.2.1 oraz Polityka Certyfikacji dla operatorów SRP v.1.9. Działania takie zostały podjęte, a dokumenty zostały przyjęte w dniu 31 sierpnia br. i opublikowane na stronie internetowej Ministerstwa Cyfryzacji.

Ponadto kilka tygodni temu Centralnemu Ośrodkowi Informatyki zlecono jednak analizę możliwości technicznych wdrożenia zmiany w aplikacji ŹRÓDŁO polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury akt sprawy. Jednak zaplanowany na rok 2017 budżet dla SRP jak i wniosek o uruchomienie rezerwy celowej nie przewidywał finansowania tej modyfikacji aplikacji ŹRÓDŁO, jej realizacja będzie możliwa z rezerwy celowej zabezpieczonej na rok 2018. Dlatego właśnie planowany, realny termin wdrożenia zmiany może nastąpić w III kwartale 2018 roku.