Nie musieliśmy mieć długów, a komornicy i tak zaglądali, kiedy chcieli, do bazy z naszymi numerami PESEL. To pokazuje, jak bardzo dziurawy był system ochrony naszych danych. Odpowiedzialność za to ponosi resort cyfryzacji. Sąd przyznał rację Urzędowi Ochrony Danych Osobowych.
Trzeba poprawić bezpieczeństwo danych w rejestrze PESEL. O tym problemie GIODO (dziś UODO) informował już w zeszłym roku. Inspektor wymienił szereg naruszeń. Na przykład: użytkownik mógł mieć więcej niż jedną kartę z certyfikatem umożliwiającym dostęp do rejestru PESEL. Ponadto w aplikacji nie dało się zaznaczyć, w jakim celu użytkownik chce zbadać dane. Nie zainstalowano również oprogramowania do analizy zdarzeń dotyczących systemu (logów systemowych). Bez tego nie dało się wyśledzić, kto się loguje i co robi w systemie PESEL. Wymienione luki zauważyli komornicy i korzystali z nich ponad miarę.
Co stwierdził sąd?
- Nieprawidłowości polegały m.in. na tym, że osoby uprawnione do pozyskiwania danych mogły ich pobrać zdecydowanie więcej niż było im niezbędne do prowadzonych postępowań. Nie musiały przy tym podawać żadnego uzasadnienia, w jakim celu to robią. Mogły zatem pozyskiwać gigantyczną ilość informacji, niezależnie od tego, czy były im potrzebne – wyjaśnia Monika Krasińska, dyrektor Zespołu ds. Sektora Publicznego w Urzędzie Ochrony Danych Osobowych. - To poważne naruszenie zasad ochrony danych osobowych - dodaje.
W 2017 roku GIODO wezwał Ministra Cyfryzacji do usunięcia naruszeń, a ten zaskarżył decyzję administracyjną. Wojewódzki Sąd Administracyjny 19 lipca tego roku odrzucił jednak skargę przedstawiciela resortu, uznając, że GIODO miał rację. Wyrok nie jest prawomocny. Dodajmy, że resort cyfryzacji zdążył w międzyczasie wprowadzić uwagi GIODO w życie.
Monika Krasińska z UODO zwraca uwagę, że dodatkowo po 25 maja 2018 r. każdy z podmiotów prowadzących rejestry publicznie musi przestrzegać również przepisów RODO.
- Ten wyrok pokazuje, ile pracy czeka wszystkie podmioty prowadzące wspomniane rejestry. Przegląd procedur bezpieczeństwa jest ważny ze względu na ilość i jakość danych w nich gromadzonych. Niejednokrotnie bowiem znajdują się w nich szczególne kategorie danych, tzw. dane wrażliwe. Dodatkowo, administrator danych musi stale dokonywać oceny ryzyka, jakie wiąże się z prowadzeniem rejestru, i wdrażać adekwatne środki bezpieczeństwa. To nie może być jednorazowa ocena, ale ciągły proces – wyjaśnia ekspertka UODO.
Ministerstwo Cyfryzacji tłumaczyło, że nie ma podstaw prawnych do tego, by weryfikować, kto i dlaczego loguje się do systemu. Resort powoływał się na ustawę o ewidencji ludności. Wojewódzki Sąd Administracyjny wskazał, że nie wszystkie rozwiązania muszą wynikać wprost z tego dokumentu, bo mogą wynikać też z przepisów o ochronie danych osobowych. Te przepisy ministerstwo musi stosować.
Eksperci są przekonani, że zarówno dla organu nadzoru nad ochroną danych osobowych, jak i dla Ministerstwa Cyfryzacji bezpieczeństwo bazy PESEL było i jest priorytetem. Zwracają jednak uwagę na to, że w wymiarze technicznym trudno mówić zawsze o bezwzględnej gwarancji bezpieczeństwa.
- Konieczne są stałe ulepszenia, inwestycje i zmiany. Równie istotne są właściwe procedury, procesy i szkolenia osób mających dostęp do takiej bazy jak baza PESEL. Niemniej nie obawiałbym się o bezpieczeństwo tych danych bardziej aniżeli informacji przetwarzanych o nas np. przez instytucje finansowe czy ubezpieczeniowe. Procedura, której brak wskazywał organ nadzoru, i tak zapewne została przez ministerstwo przygotowana w kontekście RODO. Pozostałe elementy mają charakter techniczny – mówi mecenas Michał Kluska, ekspert ds. ochrony danych z kancelarii DZP.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl
