Sprawy generalne Rzecznika Praw Obywatelskich

Wystąpienie do Minister Cyfryzacji w sprawie wycieku danych z bazy PESEL.

Od około roku Rzecznik Praw Obywatelskich zajmuje się nagłośnionym w mediach "wyciekiem danych z bazy PESEL". W ramach przysługujących uprawnień Rzecznik zwrócił się w tej sprawie do szeregu organów z prośbą o przedstawienie dodatkowych informacji i wyjaśnień. W sprawie tej zwrócił się również do Minister Cyfryzacji.

Biuro Generalnego Inspektora Ochrony Danych Osobowych przekazało Rzecznikowi informację o tym, że w lutym 2017 r. przeprowadzona została w Ministerstwie Cyfryzacji oraz Centralnym Ośrodku Informatyki kontrola, mająca na celu ustalenie zasad przyznawania komornikom dostępu do rejestru PESEL za pomocą urządzeń teletransmisji danych oraz sposobów weryfikacji tego, czy spełniają oni wymagania bezpieczeństwa podyktowane przepisami prawa - w szczególności ustawą o ewidencji ludności oraz dokumentami opisującymi środki bezpieczeństwa wymagane przy dostępie do danych przetwarzanych w ramach rejestru PESEL.

W związku z dokonanymi podczas kontroli ustaleniami GIODO zwróciło się do Ministerstwa Cyfryzacji o podjęcie działań w celu zabezpieczenia danych osobowych przed dostępem osób nieupoważnionych oraz przed przetwarzaniem danych w sposób naruszający ustawę. Działania wskazane przez GIODO mają na celu realizację wymogów wynikających z art. 36 ustawy o ochronie danych osobowych. Obejmują one między innymi podjęcie prac legislacyjnych mających na celu rozszerzenie uprawnień kontrolnych, o których mowa w przepisach ustawy o ewidencji ludności, na podmioty, którym przyznany został dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych (to jest także wobec komorników sądowych).

W związku z powyższym Rzecznik zwrócił się z prośbą o poinformowanie o działaniach podjętych dla realizacji zaleceń GIODO przekazanych po kontroli w lutym 2017 r., w szczególności dotyczących proponowanych zmian w ustawie o ewidencji ludności, a także procedur sprawdzenia w bazie PESEL (konieczność podawania uzasadnienia, postępowanie z incydentami czy wykluczenie możliwości przyznawania użytkownikom więcej niż jednej karty z certyfikatem umożliwiającym dostęp do bazy).

 

Wystąpienie dołączone do tego dokumentu:

Data odpowiedzi:

Opis odpowiedzi:

Minister Cyfryzacji w piśmie z 2 października 2017 r. zapewniła, że w podległym jej resorcie nieustannie podejmowane są działania o charakterze tak analitycznym, jak i wykonawczym, których celem jest podniesienie poziomu bezpieczeństwa prowadzonych w Ministerstwie rejestrów publicznych. System Rejestrów Państwowych jest monitorowany w trybie ciągłym i zapewnia bezpieczeństwo w procesach udostępniania danych m.in. z rejestru PESEL oraz dysponuje znaczną liczbą zabezpieczeń we wszystkich elementach kanałów dystrybucji danych. Właśnie realizacja tego zadania pozwoliła na identyfikację pewnych nieprawidłowości w zakresie udostępniania danych za pomocą urządzeń teletransmisji i w konsekwencji zgłoszenia powyższego odpowiednim organom. Minister poinformowała także, że w resorcie cyfryzacji podejmowane są na bieżąco wszelkie dostępne działania mające na celu wypełnienie przez administratora danych osobowych zgromadzonych w rejestrach funkcjonujących w ramach SRP zadań wynikających z ustawy o ochronie danych osobowych, związanych z bezpieczeństwem danych osobowych, jak i samych systemów teleinformatycznych, w których dane te są przetwarzane.