W wydanym niedawno wyroku Wojewódzki Sąd Administracyjny oddalił skargę ministra cyfryzacji na decyzję Generalnego Inspektora Ochrony Danych Osobowych dotyczącą uszczelnienia dostępu do systemu PESEL przez podmioty uprawnione do korzystania z aplikacji Źródło.
GIODO nakazał zabezpieczenie systemu PESEL
Jak mówi Monika Krasińska, dyrektor Zespołu ds. Sektora Publicznego w Urzędzie Ochrony Danych Osobowych, ta decyzja administracyjna miała wielkie znaczenie, ponieważ GIODO uznał w niej, że w jak najszybszym czasie muszą być podjęte działania mające na celu wyeliminowanie zagrożeń dla bezpieczeństwa danych zgromadzonych w rejestrze PESEL. - Mocą nakazów Generalnego Inspektora Ochrony Danych Osobowych, którego kontynuatorem jest obecnie Urząd Ochrony Danych Osobowych, wskazaliśmy na konieczność opracowania procedur dotyczących postępowania po wystąpieniu incydentu dotyczącego danych przetwarzanych w rejestrze PESEL. Nakazaliśmy również, by nie było możliwe wydanie więcej niż jednej karty z certyfikatem umożliwiającym dostęp do tego rejestru za pomocą urządzeń teletransmisji danych. Taka stwierdzona w toku kontroli sytuacja została oceniona przez nas skrajnie negatywnie. To, że jeden użytkownik mógł mieć realnie więcej niż jedną kartę z takim certyfikatem, nie analizując systemowych logów dostępu do rejestru, rodziło ryzyko, iż dostęp do PESEL-a mógłby następować w sposób niezgodny z zasadami ochrony danych osobowych - mówi dyr. Krasińska.
Dane pobierane bez uzasadnienia
W ocenie Urzędu dostęp do systemu PESEL nie powinien być realizowany w taki sposób, żeby dane można było pozyskać bez podania uzasadnienia, w jakim celu dany podmiot, nawet jeśli jest do tego uprawniony, chce je sprawdzić. Po wspomnianej kontroli uznano także, że musi być wdrożone oprogramowanie służące do analizy logów systemowych, tak by było wiadomo, kto i jakie dane pozyskuje z rejestru PESEL. A także kiedy pozyskuje i w jakim zakresie. – Częściowo nakazy organu nadzorczego zostały wykonane, ale nie wszystkie. To, że doszło do takiej sytuacji, wskazuje na brak dokonania odpowiedniej analizy ryzyka związanego z prowadzeniem rejestru - ocenia Monika Krasińska.
Według niej, system był prowadzony w sposób niezapewniający pełnych gwarancji ochrony danych osobowych. Tymczasem to niezwykle ważne, bo - jak podkreśla dyr. Krasińska - danych w rejestrze PESEL jest bardzo dużo i ich liczba stale wzrasta, gdyż jest on wciąż zasilany dodatkowymi danymi osobowymi w związku z działalnością uprawnionych organów publicznych.
Ponadto zaznacza, że korzysta z niego coraz więcej podmiotów, nie tylko dla realizacji zadań publicznych. Po spełnieniu określonych warunków prawnych pozyskują z niego dane m.in. banki, ubezpieczyciele i inni przedsiębiorcy, ale też osoby fizyczne. I przypomina, że w spornym przypadku chodziło o dostęp komorników, którzy są oczywiście podmiotami uprawnionymi, ale pozyskiwali dane w nadmiarze, często bez związku z prowadzonym postępowaniem. - A ministerstwo nie weryfikowało tej okoliczności, nie miało wprowadzonych mechanizmów pozwalających na sprawdzenie, dla jakich faktycznie celów w tak szerokim zakresie dane osobowe są pozyskiwane przez te podmioty - komentuje przedstawicielka UODO.
Trzeba szybko zmienić krajowe przepisy
Według Urzędu, ta sytuacja wskazuje także na konieczność dokonania zmian przepisów prawa krajowego, które powinny być zgodne z unijnym rozporządzeniem o ochronie danych (RODO). Jak mówi dyr. Krasińska, powinny one przewidywać zdecydowanie lepsze rozwiązania dla weryfikacji bezpieczeństwa rejestrów publicznych, w tym rejestru PESEL. I podkreśla, że o zmianę tych przepisów GIODO wystąpił 30 marca 2017 r. Tymczasem unijne prawo i nowa krajowa ustawa o ochronie danych osobowych zaczęły być stosowane od 25 maja, lecz stosownych zmian w ustawie branżowej nie wprowadzono. Przepisy powinny zapewniać szersze uprawnienia kontrolne dla Ministerstwa Cyfryzacji wobec podmiotów, którym przyznano dostęp do systemu PESEL za pomocą urządzeń transmisji danych. Postulowanych przez organ nadzorczy zmian w przepisach o ewidencji ludności nadal nie wprowadzono i być może będą one uwzględnione w prowadzonych obecnie pracach nad projektem ustawy dostosowującej prawo sektorowe do wymagań RODO. Ten problem powinien być w tym kontekście przedmiotem szczególnej uwagi - mówi dyr. Krasińska, przypominając, iż gospodarzem tego projektu jest właśnie Ministerstwo Cyfryzacji.
Potrzebne systemowe zabezpieczenia
Zdaniem Urzędu Ochrony Danych Osobowych, w tej dziedzinie muszą być wprowadzone systemowe rozwiązania, a administratorzy prowadzący rejestry publiczne muszą zwracać szczególną uwagę na to, czy rejestry te po 25 maja 2018 roku są prowadzone w sposób uwzględniający przepisy RODO. Czy są wprowadzone mechanizmy, by tego typu ryzyka wykluczyć albo zminimalizować. W tym celu należy też wdrożyć odpowiednie rozwiązania techniczne i organizacyjne, by zarówno twórcy nowych rozwiązań technologicznych oraz prowadzący wszystkie rejestry publiczne w swoich działaniach brali pod uwagę przepisy rozporządzenia o ochronie danych. Monika Krasińska przypomina, że od 25 maja Urząd Ochrony Danych Osobowych ma różnego rodzaju uprawnienia umożliwiające weryfikowanie przestrzegania postanowień RODO, w tym także nowe, do nakładania administracyjnych kar finansowych.
Poszkodowani mogą żadać odszkodowań
Przedstawicielka UODO przypomina, że jeśli z takich rejestrów wypłyną dane w sposób nieuprawniony, jeżeli nie będzie takiej kontroli zapewnionej, to każda osoba, której dane dotyczą, ma prawo wystąpić o odszkodowanie za naruszenie zasad ochrony danych osobowych. Bo po 25 maja pojawił się nowy rodzaj roszczeń odszkodowawczych za naruszenie przepisów RODO. – Dlatego wszystkie podmioty zobowiązane do przestrzegania RODO, a zwłaszcza prowadzący różnego rodzaju rejestry, szczególnie te duże, muszą zadbać o odpowiednie rozwiązania i o niezbędny nadzór nad ich działaniem - podsumowuje dyr. Monika Krasińska.