GIODO: bezpieczeństwo PESEL do poprawy, Ministerstwo Cyfryzacji oponuje

GIODO: bezpieczeństwo PESEL do poprawy, Ministerstwo Cyfryzacji oponuje14.09.2017 10:56
Mariusz Błoński

Na swojej witrynie Generalny Inspektor Ochrony Danych Osobowych poinformował o wynikach kontroli w Ministerstwie Cyfryzacji. Wykazała ona, że minister cyfryzacji, jako administrator danych przetwarzanych w rejestrze PESEL, naruszył przepisy odpowiedniej ustawy. A naruszenia te nawet osobie średnio zorientowanej w kwestiach bezpieczeństwa bazodanowego każą zadać pytanie o kompetencje ludzi zajmujących się bazą.

Jak stwierdził GIODO, nie opracowano procedur opisujących sposób postępowania w razie incydentu związanego z danymi, jednemu użytkownikowi przyznawano więcej niż jedną kartę z certyfikatem umożliwiającym zdalny dostęp do bazy, w aplikacji, która umożliwiała dostęp do PESEL brak jest funkcji umożliwiającej wpisanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze, nie wdrożono oprogramowania do analizy logów systemowych. Na odpowiedź Ministerstwa Cyfryzacji nie trzeba było długo czekać:

Odnosząc się do opublikowanego dziś stanowiska GIODO Ministerstwo Cyfryzacji informuje, że wnioski w nim zawarte są nieprawdziwe. Minister Cyfryzacji z najwyższą starannością podchodzi do kwestii bezpieczeństwa danych osobowych, w tym przetwarzanych w rejestrze PESEL. Podkreślamy, że wszystkie dane zawarte w rejestrach państwowych pozostają w pełni bezpieczne, a do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione

Ministerstwo Cyfryzacji stwierdza, że GIODO mija się z prawdą, a ubiegłoroczna informacja o niepokojąco dużej liczbie zapytań do bazy PESEL to tylko bicie piany przez media. No i prokuraturę oraz ABW, które wszczęły śledztwo w tej sprawie. Czym zatem GIODO naraził się na krytykę Ministerstwa Cyfryzacji?

Wspomniana kontrola miała miejsce w lutym bieżącego roku i była związana ze wspomnianym już wyciekiem danych. W marcu minister cyfryzacji został poinformowany o wnioskach. W odpowiedzi na pisma GIODO Ministerstwo deklarowało usunięcie niedociągnięć, jednak w tak odległych terminach, że GIODO nie wyraził na to zgody. W związku z tym Generalny Inspektor wydał 12 września decyzję, w której nakazuje, by do 31 grudnia 2017 roku opracowano i wdrożono procedury postępowania w razie incydentu oraz wdrożono oprogramowanie do analizy logów systemowych, do 30 września bieżącego roku ma być wprowadzony system, w ramach którego jeden użytkownik nie będzie mógł otrzymać więcej niż jednej kary z certyfikatem. Ponadto do 31 marca 2018 roku aplikacja dostępowa do bazy PESEL ma umożliwiać podawanie powodu, dla którego użytkownik dokonuje w niej sprawdzenia.

Co prawda śledztwo w sprawie domniemanego ubiegłorocznego wycieku wykazało, że dane z systemu PESEL nie trafiły w ręce osób nieuprawnionych jednak były zbierane nadmiarowo, bez uzasadnienia. Żeby sprawdzić dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji, który administruje rejestrem PESEL.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na