Ten tydzień upływa pod znakiem udostępniania danych z bazy PESEL. Najpierw media informowały o gigantycznym wycieku danych z tej bazy, teraz Ministerstwo Cyfryzacji i Prokuratura Okręgowa w Warszawie uspokajają, tłumacząc, że wycieku najprawdopodobniej nie było, a to, co wzbudziło
podejrzenia Ministerstwa to pobieranie danych z bazy PESEL o nietypowych porach. O co chodzi w tej sprawie i czym jest baza PESEL? Poniżej przedstawiamy krótki komentarz.
Istota sprawy
Sprawa dotyczy pobierania danych z bazy PESEL przez kancelarie komornicze. Choć pierwotnie w doniesieniach telewizyjnych i medialnych przeważały komunikaty o tym, że doszło do wycieku z bazy danych PESEL, na razie nie ustalono, że taki wyciek miał miejsce. Nie stwierdzono nieuprawnionego pobrania danych przez nieupoważniony do tego podmiot. Nie ma też na obecną chwilę mowy o cyberataku. To co wzbudziło podejrzenie Ministerstwa to fakt podbierania danych przez kancelarie w porze nocnej. Z wyjaśnień Minister Anny Streżyńskiej wynika, że skala pobieranych danych nie była w ocenie Ministerstwa niepokojąca. Jeżeli chodzi o pobieranie danych nocą, nie można wykluczyć, że kancelarie stosowały taką praktykę, żeby usprawnić proces pobierania danych i nie obciążać swoich sieci internetowych w godzinach pracy. To z pewnością będą wyjaśniać organy prowadzące postępowanie.
Administratorem danych przetwarzanych w bazie PESEL jest Ministerstwo Cyfryzacji i to Ministerstwo odpowiada za bezpieczeństwo danych w tej bazie. Dostęp do bazy nie jest dowolny. Uprawnienie do pobierania danych z tej bazy mają:
- organy administracji publicznej,
- sądy,
- prokuratura,
- policja,
- Straż Graniczna,
- Służba Więzienna,
- Służba Kontrwywiadu Wojskowego,
- Służba Wywiadu Wojskowego,
- Służba Celna,
- Żandarmeria Wojskowa,
- Agencja Bezpieczeństwa Wewnętrznego,
- Agencja Wywiadu,
- Biuro Ochrony Rządu,
- Centralne Biuro Antykorupcyjne,
- Szef Krajowego Centrum Informacji Kryminalnych,
- organy wyborcze,
- straże gminne /miejskie/,
- komornicy sądowi – w zakresie niezbędnym do prowadzenia postępowania egzekucyjnego,
- organy kontroli skarbowej i wywiadu skarbowego,
- państwowe i samorządowe jednostki organizacyjne oraz inne podmioty – w zakresie niezbędnym do realizacji zadań publicznych określonych w odrębnych przepisach,
- Polski Czerwony Krzyż – w zakresie danych osób poszukiwanych,
- podmioty, które wykażą interes prawny.
Zawsze istnieje też ryzyko, że np. w wyniku ataku hakerskiego cyberprzestępcy uzyskają kontrolę nad siecią wydzieloną dla bazy PESEL i dane dostaną się w niepowołane ręce. Podobnie – zawsze istnieje ryzyko, że podmiot uprawniony do pobierania danych z bazy PESEL przekaże je dalej osobom nieuprawnionym. Zgodnie z komunikatami Ministerstwa i Prokuratury Okręgowej w Warszawie w opisywanej sprawie takich działań na razie nie stwierdzono.
Sprawa pobierania danych z bazy PESEL przykuła natomiast uwagę do kwestii bezpieczeństwa danych, a na jej kanwie sformułowano wiele sugestii, z jakich środków korzystać mogą osoby, które boją się, że ich dane zostały ujawnione w sposób nieuprawniony. Wśród tych sugestii pojawiła się m.in. propozycja uruchamiania alertów w Biurze Informacji Kredytowej. Skorzystanie z takich usług warto rozważyć zawsze, jeżeli mamy podejrzenie, że ktoś mógł wejść w posiadanie dużego zakresu danych na nasz temat lub jeżeli sami udostępniliśmy zbyt wiele danych niesprawdzonemu podmiotowi. W takich wypadkach, uruchomienie alertów może pomóc nam ustrzec się np. prób wyłudzenia pożyczki na nasze dane. Tego typu usługi wymagają jednak podawania szeregu danych osobowych i nie każdy chce z nich korzystać.
Warto jednak pamiętać, że ustawa o ochronie danych osobowych także przewiduje pewne mechanizmy weryfikacyjne. Każda osoba, której dane dotyczą może się zwrócić do administratora danych z pytaniem m.in. o to, jakie dane na jej temat ten ADO przetwarza, w jakim zakresie i celu, komu te dane udostępnił. Zgodnie z ustawą o ochronie danych osobowych takie pytanie można skierować do danego ADO nie częściej niż raz na 6 miesięcy. Pamiętać też trzeba, że art. 32 ustawy o ochronie danych, który zakłada, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, wskazuje otwarty katalog informacji, których możemy żądać od administratora. Każdy z nas może więc zwrócić się do Ministerstwa Cyfryzacji, które jest administratorem zbioru danych przetwarzanego w ramach bazy PESEL z wnioskiem o udzielenie informacji o przetwarzaniu jego danych w tej bazie.
Obecna ustawa o ochronie danych nie przewiduje natomiast obowiązkowego zgłaszania naruszeń ochrony danych osobowych przez administratorów danych do GIODO. Takie mechanizm, w którym administrator danych będzie musiał poinformować organ nadzorczy, że doszło do naruszenia przewiduje natomiast art. 33 unijnego rozporządzenia ogólnego o ochronie danych, które będziemy stosować od 25 maja 2018 roku. Zgodnie z nowymi przepisami, administrator danych niezwłocznie, a nie później niż 72 godziny od stwierdzenia naruszenia będzie musiał poinformować o nim organ nadzorczy (chyba, że będzie mało prawdopodobne, by naruszenie skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych). Poza tym, administrator danych będzie miał także obowiązek poinformowania o naruszeniu, które może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych, właśnie osoby, których dane dotyczą. To oznacza, że w przyszłości, jeżeli dojdzie do wycieku danych, będziemy o nim informowani niezwłocznie.
Dziś pozostaje mieć nadzieję, że informacje przekazywane przez Ministerstwo i Prokuraturę się potwierdzą i że do wycieku danych nie doszło. Warto jednak przy okazji tej sprawy przypomnieć, że każda instytucja, która przetwarza nasze dane, nawet na podstawie upoważnienia wynikającego wprost z przepisów, musi te dane chronić i nie może ich udostępniać w sposób niekontrolowany i nieograniczony.