GIODO: bezpieczeństwo PESEL do poprawy, Ministerstwo Cyfryzacji oponuje
Na swojej witrynie Generalny Inspektor Ochrony Danych Osobowych poinformował o wynikach kontroli w Ministerstwie Cyfryzacji. Wykazała ona, że minister cyfryzacji, jako administrator danych przetwarzanych w rejestrze PESEL, naruszył przepisy odpowiedniej ustawy. A naruszenia te nawet osobie średnio zorientowanej w kwestiach bezpieczeństwa bazodanowego każą zadać pytanie o kompetencje ludzi zajmujących się bazą.
Jak stwierdził GIODO, nie opracowano procedur opisujących sposób postępowania w razie incydentu związanego z danymi, jednemu użytkownikowi przyznawano więcej niż jedną kartę z certyfikatem umożliwiającym zdalny dostęp do bazy, w aplikacji, która umożliwiała dostęp do PESEL brak jest funkcji umożliwiającej wpisanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze, nie wdrożono oprogramowania do analizy logów systemowych. Na odpowiedź Ministerstwa Cyfryzacji nie trzeba było długo czekać:
Odnosząc się do opublikowanego dziś stanowiska GIODO Ministerstwo Cyfryzacji informuje, że wnioski w nim zawarte są nieprawdziwe. Minister Cyfryzacji z najwyższą starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione
Ministerstwo Cyfryzacji stwierdza, że GIODO mija się z prawdą, a ubiegłoroczna informacja o niepokojąco dużej liczbie zapytań do bazy PESEL to tylko bicie piany przez media. No i prokuraturę oraz ABW, które wszczęły śledztwo w tej sprawie. Czym zatem GIODO naraził się na krytykę Ministerstwa Cyfryzacji?
Wspomniana kontrola miała miejsce w lutym bieżącego roku i była związana ze wspomnianym już wyciekiem danych. W marcu minister cyfryzacji został poinformowany o wnioskach. W odpowiedzi na pisma GIODO Ministerstwo deklarowało usunięcie niedociągnięć, jednak w tak odległych terminach, że GIODO nie wyraził na to zgody. W związku z tym Generalny Inspektor wydał 12 września decyzję, w której nakazuje, by do 31 grudnia 2017 roku opracowano i wdrożono procedury postępowania w razie incydentu oraz wdrożono oprogramowanie do analizy logów systemowych, do 30 września bieżącego roku ma być wprowadzony system, w ramach którego jeden użytkownik nie będzie mógł otrzymać więcej niż jednej kary z certyfikatem. Ponadto do 31 marca 2018 roku aplikacja dostępowa do bazy PESEL ma umożliwiać podawanie powodu, dla którego użytkownik dokonuje w niej sprawdzenia.
Co prawda śledztwo w sprawie domniemanego ubiegłorocznego wycieku wykazało, że dane z systemu PESEL nie trafiły w ręce osób nieuprawnionych jednak były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.
