GoldenLine
Zaloguj się
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Instytucja nadzorująca (IN) instytucję publiczną wymagała do tej pory przekazywania pewnych podstawowych danych identyfikacyjnych pracowników (usprawiedliwione celami wykonania zadań nadzorczych określonych przepisami prawa). Teraz IN wdraża nowe oprogramowanie i zażądała peseli pracowników. Przepisy nie dają IN wprost uprawnień do przetwarzania peseli. IN argumentuje, że w systemie informatycznym, jaki zakupiła, osoba w celu jednoznacznej identyfikacji musi być identyfikowana niepowtarzalnym identyfikatorem.

Czy to rozwiązanie nie narusza prawa? Czy numery pesel pracowników można im w tym celu udostępnić mimo braku wyraźnego przyzwolenia w dotyczącej działalności IN ustawie?

Czy może IN powinna identyfikować osoby inaczej, ograniczając się do danych ustawowych, a dostawca oprogramowania ma się dostosować?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

W każdym systemie informatycznym użytkownik posiada swój unikatowy identyfikator. Jednak pierwszy raz spotykam się, żeby jako ID system wymagał numeru PESEL. System powinien mieć możliwość nadawania losowych lub przypisanych przez osobę wprowadzającą numerów ID.

Odpowiadając... trudno sprecyzować nie mając informacji jaki to podmiot i IN. Często przepisy odrębnej ustawy regulują takie kwestie. Ogólnikowo przepisy prawa stanowią, że przy każdym udostępnieniu danych podmiot, który zgłasza prośbę musi podać podstawę prawną. Jeżeli nie jest to konieczne do wykonywania określonych przepisami prawa obowiązków IN, nie można takich danych udostępnić.
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Pesel jako identyfikator w systemie informatycznym

Nie wszystkie firmy nadają identyfikatory swoim pracownikom. W takim wypadku PESEL wydaje się być takim niepowtarzalnym ID.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Uważałbym... oj uważał,...
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Postawić się IN w tej sprawie, czy nie marudzić?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Postawić. PESEL nie jest numerem ID, a numerem ID ;-)

A poważnie. Zawiera dane, które nie są niezbędne do ...
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Pesel jako identyfikator w systemie informatycznym

Przypuszczam, że chodzi o niepowtarzalność identyfikatora. Szczególnie przy bazach rozległych lub z długim okresem replikacji. Jednak skoro w pierwszej fazie nie był on wymagany to można przypuszczać, że nie wchodził w zakres danych niezbędnych. Tak więc NIE. Spotykając się z takimi przypadkami stwierdziłem, że zapomina się o tym, że systemy baz danych stanowić mają wsparcie, a nie dane osobowe mają wspierać te systemy.

Proponuję generator liczb pseudolosowych i 11 cyfrowe ID ;-).

Pozdrawiam kolegów bo dawno nie miałem czasu tu zaglądać. Jak zwykle ciekawe dyskusje, z których wiele się uczę.

Pozdrawiam
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Pesel jako identyfikator w systemie informatycznym

Trzeba tu zauważyć jedną ciekawą rzecz - jeśli PESEL będzie identyfikatorem osoby tj. będzie służył do uwierzytelnienia się (będzie loginem), to będzie on niejako przy okazji zapisywany także w rozmaitych logach systemu czy aplikacji.

Niekiedy do logów mają dostęp firmy wspierające system(y) informatyczne... Logi są czasami przesyłane do innych systemów (log management, SIEM) - i wtedy ciężko będzie zapanować nad tym, gdzie te dane są - a pamiętajmy, że sam PESEL uważa się już za dane osobowe... (zob. http://www.giodo.gov.pl/317/id_art/973/j/pl/)
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Pesel jako identyfikator w systemie informatycznym

Niektóre interpretacje GIODO są dyskusyjne. Moim zdaniem tak właśnie jest z samym PESEL'em. Jak Kowalski może określić tożsamość konkretnej osoby bez ponoszenia nadmiernych kosztów, czasu i działań?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Przepisy regulujące działalność IN nie wspominają o prawie do przetwarzania numerów Pesel w tym celu. Czy wdrożenie nowego systemu informatycznego będzie wystarczającym usprawiedliwieniem dla IN do gromadzenia Peseli?
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Pesel jako identyfikator w systemie informatycznym

Szymon S.:
Niektóre interpretacje GIODO są dyskusyjne. Moim zdaniem tak właśnie jest z samym PESEL'em. Jak Kowalski może określić tożsamość konkretnej osoby bez ponoszenia nadmiernych kosztów, czasu i działań?

Zgadzam się w pełni. W swojej książce (proszę wybaczyć autoreklamę) pisałem na ten temat:

Spójrzmy jednak na te 11 cyfr, które składają się na numer PESEL, przez pryzmat ustawy o ochronie danych osobowych. Jaki przekaz informacyjny one niosą ze sobą? Dowiemy się z nich daty urodzenia i płci jego posiadacza. Nie poznamy jego tożsamości, bo aby ją poznać, należy uzyskać dostęp do dodatkowych informacji powiązanych z numerem PESEL, a więc w istocie do bazy, w której są numery PESEL powiązane z danymi pozwalającymi na jej identyfikację. Oczywiście każdy może podjąć starania, aby zidentyfikować osobę, mając jej numer PESEL. W tym celu należy wypełnić wniosek, wskazać interes prawny1, wnieść wymaganą opłatę i wysłać do MSWiA, a następnie oczekiwać na odpowiedź. Jak wiemy, „informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań”. Można uznać, że to są już nadmierne działania, bo wniosek musi być chociażby odpowiednio uzasadniony, inaczej dane nie zostaną udostępnione. Sam numer PESEL dla tych, którzy nie mają bezpośrednio dostępu do rejestru PESEL albo innej bazy danych z numerami PESEL i danymi o osobie nie powinien stanowić danych osobowych.
Argumentem, który dodatkowo przemawia za tym, że samego numeru PESEL nie powinno się traktować jako dane osobowe jest chociażby to, że są to ciągi 11 cyfr i można je samodzielnie wygenerować, co zresztą często się robi, aby mieć dane do testowania programów komputerowych. Wyobraźmy sobie teraz, że inspektor GIODO podczas kontroli znajdzie wykaz wygenerowanych samodzielnie testowych numerów PESEL. Jak go przekonać, że to nie są prawdziwe dane osobowe? Wyglądają wszak jak PESEL-e, nawet suma kontrolna w ostatniej cyfrze jest prawidłowa. Co więcej, podczas generowania numerów jest spore ok. 15% prawdopodobieństwo, że trafi się w istniejący, prawdziwy numer PESEL. Kontroler mógłby uznać, że takie dane stanowią zbiór danych, być może niezarejestrowany.

i dodawałem

Mimo że sam numer PESEL w praktyce nie powinien być uznawany za dane osobowe, to lepiej go będzie (z przezorności) tak traktować, mając na uwadze opinie GIODO i fakt, że ustawa o ochronie danych osobowych powołuje się na „numer identyfikacyjny”.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Ja tak tylko nieśmiało chcę przypomnieć, że dane osobowe to po raz dane identyfikujące, a po dwa - dane osoby zidentyfikowanej.

Wcześniej wrzuciłem, że PESEL zawiera pewne informacje. I pytanie - czy te informacje w trakcie przetwarzania jako identyfikator powinny być przetwarzane w tym celu? Czy naprawdę jako identyfikator osoby w zbiorze danych powinniśmy używać daty urodzenia i płci?

To może jako ID użyjemy miejsca zamieszkania i rodzaju zamieszkania - np. stałe, czasowe? I np"
marszałkowska 111/23/s (sorry, jeśli ktoś naprawdę tam mieszka.
królewska 12/56/c

Pamiętajmy o naczelnej zasadzie adekwatności. Do identyfikacji osoby w zbiorze w którym jest unikalny identyfikator uważam, że przetwarzanie daty urodzenia i płci jest NIEPOTRZEBNE, a więc może zostać uznane za zbyt szerokie. No i powodzenia życzę tym, którzy natną się na kobiety, które chcą ukryć swój rzeczywisty wiek. Nie wiem, czy się spotkaliście, ja tak. Lwica na pustyni przy tym to pikuś... ;-)
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Pesel jako identyfikator w systemie informatycznym

Rozważając PESEL jako identyfikator to przyznam, że po przeczytaniu niektórych wypowiedzi, nabrałem wątpliwości.

Co w przypadku gdy większość pracowników ma swoje ID, a np. sprzątaczki nie bo system ich nie uwzględnia? Nadać im jakieś własne ID?Ten post został edytowany przez Autora dnia 19.09.15 o godzinie 10:19
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Numer kadrowy.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

IN nadzoruje większą liczbę podobnych instytucji publicznych. Pracownicy mogą się powtarzać, bo mogą być zatrudnieni na część etatu to tu, to tam. Czy to może być usprawiedliwienie dla IN, aby identyfikować osoby w systemie po Peselach, żeby wykluczyć możliwość, że ten sam człowiek zatrudniony w różnych miejscach będzie figurować jako dwie różne osoby?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Pesel jako identyfikator w systemie informatycznym

Naprawdę nie da się nic innego wymyślić?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

Jeżeli pracownik jest zatrudniony w dwóch różnych instytucjach, to tym bardziej nie może się logować na jednym id (PESEL). Pamiętaj, że po zalogowaniu z instytucji nr 1 nie może mieć dostępu do danych z instytucji nr 2 z poziomu systemu.
Otrzymując z instytucji 1 zakres upoważnienia pracownika nie można go 'doczepić' do zakresu z upoważnienia z instytucji 2 (2 różne ADO).
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Nie nie, to nie aż tak na szczęście. W pierwszym poście faktycznie myląco użyłem słowa identyfikator, ale jednak nie w znaczeniu 'login'.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: Pesel jako identyfikator w systemie informatycznym

Czyli jak rozumiem pola systemu mają wyglądać tak:

Login systemu
Hasło
ID w tabeli użytkownicy - nie jest generowany przez system, tylko wpisany PESEL
Imię
Nazwisko
Instytucja
itp...

Jeżeli taka jest struktura to będzie podatna na błędy...

Druga opcja:

ID w tabeli generowana przez system
ID użytkownika jako pole tekstowe - dodatkowe dane
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Pesel jako identyfikator w systemie informatycznym

Podatności systemu to już na szczęście nie zmartwienie mojego ADO :)
Ja tylko poszukuję odpowiedzi na pytanie, czy wolno nam w tym celu przekazać ten nieszczęsny Pesel mimo braku po drugiej stronie wyraźnej podstawy prawnej do jego przetwarzania.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Jaki format identyfikatora ...




Wyślij zaproszenie do
Anuluj