Nie było „wielkiego wycieku danych z bazy PESEL”

Wraca sprawa „wielkiego wycieku danych z bazy PESEL”, o której głośno było rok temu. Komornicy z kilku kancelarii pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL miesięcznie, co zaniepokoiło Ministerstwo Cyfryzacji, które zawiadomiło o tym prokuraturę. Ostatnio informowaliśmy, że sprawę monitoruje Rzecznik Praw Obywatelskich, który zwrócił się o wyjaśnienia do Ministerstwa Cyfryzacji i Krajowej Rady Komorniczej. Sprawą zajmował się także Generalny Inspektor Ochrony Danych Osobowych, przeprowadzając kontrole w kancelariach i izbach komorniczych.

Z ustaleń GIODO wynika, że dane z rejestru PESEL nie były pozyskiwane przez osoby nieuprawnione, jednak były zbierane nadmiarowo, bez uzasadnienia. Żeby ustalić, dlaczego było to możliwe, GIODO przeprowadził kontrolę w Ministerstwie Cyfryzacji. Okazało się, że minister cyfryzacji – jako administrator danych przetwarzanych w rejestrze PESEL – naruszył przepisy ustawy o ochronie danych osobowych, poprzez:

• brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych,
• przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
• brak funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL,
• niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Zdaniem GIODO jest to poważne zagrożenie dla bezpieczeństwa danych przetwarzanych w rejestrze PESEL. Umożliwia bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane – ustalili inspektorzy GIODO.

GIODO poinformował Ministra Cyfryzacji o wykrytych uchybieniach po raz pierwszy już w marcu 2017 roku. Ministerstwo w swoich wyjaśnieniach deklarowało ich usunięcie, lecz w bardzo odległych terminach, na co GIODO się nie zgodził. W związku z tym Generalny Inspektor Ochrony Danych Osobowych 12 września 2017 r. wydał decyzję, w której nakazał:

• opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
• zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
• modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla sprawdzenia danych w rejestrze PESEL,
• wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.