пропозиції роботи
konto usunięte
Temat: Bezpieczeństwo danych w rejestrze PESEL do poprawy
Bezpieczeństwo danych w rejestrze PESEL do poprawyGIODO nakazał Ministrowi Cyfryzacji usunięcie naruszeń dotyczących przetwarzania danych w rejestrze PESEL.
Kontrola przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w Ministerstwie Cyfryzacji wykazała, że Minister Cyfryzacji – jako administrator danych przetwarzanych w rejestrze PESEL – naruszył przepisy o ochronie danych osobowych, poprzez:
∷brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych,
∷przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
∷brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
∷niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.
Braki wykryte przez GIODO podczas kontroli w lutym 2017 r. stanowią poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany, gdyż nie jest wymagane podanie uzasadnienia zbierania danych. Prowadzi to do pozyskiwania informacji nadmiarowych, nie zawsze niezbędnych do realizacji celu, w jakim są pobierane. Dodatkowo Minister Cyfryzacji – jako administrator danych – przyznając kilka kart dostępu jednemu użytkownikowi oraz nie analizując systemowych logów dostępu do rejestru, nie ma możliwości ustalenia, kto i w jakim celu pozyskuje dane.
O problemach tych GIODO poinformował Ministra Cyfryzacji po raz pierwszy już w marcu 2017 r. Ministerstwo w wyjaśnieniach nadsyłanych w odpowiedzi na pisma GIODO deklarowało usunięcie tych uchybień, lecz w bardzo odległych terminach, na co GIODO nie mógł się zgodzić. W związku z tym Generalny Inspektor Ochrony Danych Osobowych, w trosce o jak najszybsze zapewnienie należytego poziomu bezpieczeństwa danych obywateli, wydał 12 września 2017 r. decyzję nakazującą:
∷opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
∷zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
∷modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
∷wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL
http://www.giodo.gov.pl/pl/1520290/10145
