Generalny Inspektor Ochrony Danych Osobowych nakazał Ministrowi Cyfryzacji usunięcie naruszeń dotyczących przetwarzania danych w rejestrze PESEL. Kontrola stwierdziła naruszenie przepisów o ochronie danych osobowych. Była ona przeprowadzona, jak informuje GIODO, w następstwie wcześniejszej kontroli w kancelariach i izbach komorników sądowych, u których stwierdzono masowe pobieranie danych z rejestru PESEL. Wprawdzie nie doszło wówczas do udostępnienia danych osobom nieuprawnionym, ale dane, zdaniem GIODO, były zbierane nadmiarowo i bez uzasadnienia. Żeby sprawdzić dlaczego jest to możliwe, zdecydowano się na kontrolę w Ministerstwie Cyfryzacji, które jest administratorem systemu PESEL.

Wśród uchybień wskazanych przez kontrolerów znalazły się: brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych; przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym zdalny dostęp do rejestru PESEL; brak w aplikacji pośredniczącej w dostępie do bazy PESEL funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych; brak oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników korzystających z rejestru.

Jak podaje Biuro Generalnego Inspektora Ochrony Danych Osobowych, Ministerstwo Cyfryzacji, jako administrator danych przetwarzanych w systemie PESEL, było informowane o tych problemach po raz pierwszy w marcu 2017 roku. Resort zadeklarował usunięcie naruszeń, ale w zbyt odległych terminach, na które GIODO nie mógł się zgodzić . W związku z tym GIODO wydał 12 września decyzję nakazującą Ministerstwu usunięcie wskazanych nieprawidłowości jeszcze w tym roku lub, jak w przypadku modyfikacji aplikacji dostępowej, najpóźniej do marca przyszłego roku.

Ministerstwo Cyfryzacji poinformowało w wydanym oświadczeniu, że wnioski zawarte w komunikacie GIODO są nieprawdziwe. Resort zapewnił, że do rejestru PESEL nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione.

Urząd twierdzi, że nieustannie podejmuje działania o charakterze analitycznym i wykonawczym, których celem jest podnoszenie poziomu bezpieczeństwa prowadzonych rejestrów publicznych, w tym ochrony danych osobowych. Niezależnie od opinii GIODO 12 września odbyło się kolejne spotkanie kierownictwa resortu z kierownictwem Centralnego Ośrodka Informatyki w tej właśnie sprawie. Wyrazem starań resortu ma być m.in. przyjęcie w sierpniu br., zgodnie z wcześniejszymi założeniami, dokumentów aktualizujących Politykę Certyfikacji dla infrastruktury SRP v.2.1 oraz Politykę Certyfikacji dla operatorów SRP v.1.9.

Ministerstwo Cyfryzacji zwraca również uwagę, że obowiązek podawania sygnatury prowadzonej sprawy (dotyczy głównie kancelarii komorniczych) w celu pozyskania danych z rejestru PESEL nie wynika wprost z przepisów prawa. Nie ma zatem możliwości weryfikowania celowości pobierania danych na tej właśnie podstawie. Nawet jednak wprowadzenie takiego obowiązku nie dawałoby gwarancji prawidłowej weryfikacji celowości pobierania danych, gdyż ministerstwo nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej właśnie konkretnej sprawie.

Uwzględniając, mimo to, rekomendację GIODO resort zlecił kilka tygodni temu Centralnemu Ośrodkowi Informatyki analizę możliwości technicznych wdrożenia zmiany w aplikacji ŹRóDŁO polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury akt sprawy. Zaplanowany na ten rok budżet, jak podaje MC w oświadczeniu, nie przewidywał finansowania tych prac. Nie udało się również uzyskać na nie środków z rezerwy celowej. Realnym terminem wdrożenia zmian jest, według Ministerstwa Cyfryzacji, trzeci kwartał przyszłego roku.