photo-1415226161018-3ec581fa733d

Baza PESEL na celowniku

Dodano: Wrzesień 1, 2016 Kategoria: Administrator danych, Podmiot danych Autor: Katarzyna Witkowska-Nowakowska

Ten tydzień upływa pod znakiem udostępniania danych z bazy PESEL. Najpierw media informowały o gigantycznym wycieku danych z tej bazy, teraz Ministerstwo Cyfryzacji i Prokuratura Okręgowa w Warszawie uspokajają, tłumacząc, że wycieku najprawdopodobniej nie było, a to, co wzbudziło
podejrzenia Ministerstwa to pobieranie danych z bazy PESEL o nietypowych porach. O co chodzi w tej sprawie i czym jest baza PESEL? Poniżej przedstawiamy krótki komentarz.

Istota sprawy
Sprawa dotyczy pobierania danych z bazy PESEL przez kancelarie komornicze. Choć pierwotnie w doniesieniach telewizyjnych i medialnych przeważały komunikaty o tym, że doszło do wycieku z bazy danych PESEL, na razie nie ustalono, że taki wyciek miał miejsce. Nie stwierdzono nieuprawnionego pobrania danych przez nieupoważniony do tego podmiot. Nie ma też na obecną chwilę mowy o cyberataku. To co wzbudziło podejrzenie Ministerstwa to fakt podbierania danych przez kancelarie w porze nocnej. Z wyjaśnień Minister Anny Streżyńskiej wynika, że skala pobieranych danych nie była w ocenie Ministerstwa niepokojąca. Jeżeli chodzi o pobieranie danych nocą, nie można wykluczyć, że kancelarie stosowały taką praktykę, żeby usprawnić proces pobierania danych i nie obciążać swoich sieci internetowych w godzinach pracy. To z pewnością będą wyjaśniać organy prowadzące postępowanie.

Dostęp do bazy PESEL
Administratorem danych przetwarzanych w bazie PESEL jest Ministerstwo Cyfryzacji i to Ministerstwo odpowiada za bezpieczeństwo danych w tej bazie. Dostęp do bazy nie jest dowolny. Uprawnienie do pobierania danych z tej bazy mają:
  • organy administracji publicznej,
  • sądy,
  • prokuratura,
  • policja,
  • Straż Graniczna,
  • Służba Więzienna,
  • Służba Kontrwywiadu Wojskowego,
  • Służba Wywiadu Wojskowego,
  • Służba Celna,
  • Żandarmeria Wojskowa,
  • Agencja Bezpieczeństwa Wewnętrznego,
  • Agencja Wywiadu,
  • Biuro Ochrony Rządu,
  • Centralne Biuro Antykorupcyjne,
  • Szef Krajowego Centrum Informacji Kryminalnych,
  • organy wyborcze,
  • straże gminne /miejskie/,
  • komornicy sądowi – w zakresie niezbędnym do prowadzenia postępowania egzekucyjnego,
  • organy kontroli skarbowej i wywiadu skarbowego,
  • państwowe i samorządowe jednostki organizacyjne oraz inne podmioty – w zakresie niezbędnym do realizacji zadań publicznych określonych w odrębnych przepisach,
  • Polski Czerwony Krzyż – w zakresie danych osób poszukiwanych,
  • podmioty, które wykażą interes prawny.
Powyższy katalog obejmuje komorników, którzy w zakresie niezbędnym do prowadzenia postępowania egzekucyjnego mogą pobierać dane z bazy PESEL. W analizowanej sprawie dane były więc pobierane przez podmioty uprawnione. Oczywiście, uprawnienie do pobierania danych nie jest nieograniczone. Zakres danych, do których dostęp mają komornicy też jest ograniczony, a wyznaczają go ramy prowadzonego postępowania. Kontroli powinno podlegać więc także to, czy pobierane dane faktycznie potrzebne są do wykonywania czynności w danym postępowaniu.
Zawsze istnieje też ryzyko, że np. w wyniku ataku hakerskiego cyberprzestępcy uzyskają kontrolę nad siecią wydzieloną dla bazy PESEL i dane dostaną się w niepowołane ręce. Podobnie – zawsze istnieje ryzyko, że podmiot uprawniony do pobierania danych z bazy PESEL przekaże je dalej osobom nieuprawnionym. Zgodnie z komunikatami Ministerstwa i Prokuratury Okręgowej w Warszawie w opisywanej sprawie takich działań na razie nie stwierdzono.
 
Co robić?
Sprawa pobierania danych z bazy PESEL przykuła natomiast uwagę do kwestii bezpieczeństwa danych, a na jej kanwie sformułowano wiele sugestii, z jakich środków korzystać mogą osoby, które boją się, że ich dane zostały ujawnione w sposób nieuprawniony. Wśród tych sugestii pojawiła się m.in. propozycja uruchamiania alertów w Biurze Informacji Kredytowej. Skorzystanie z takich usług warto rozważyć zawsze, jeżeli mamy podejrzenie, że ktoś mógł wejść w posiadanie dużego zakresu danych na nasz temat lub jeżeli sami udostępniliśmy zbyt wiele danych niesprawdzonemu podmiotowi. W takich wypadkach, uruchomienie alertów może pomóc nam ustrzec się np. prób wyłudzenia pożyczki na nasze dane. Tego typu usługi wymagają jednak podawania szeregu danych osobowych i nie każdy chce z nich korzystać.
Warto jednak pamiętać, że ustawa o ochronie danych osobowych także przewiduje pewne mechanizmy weryfikacyjne. Każda osoba, której dane dotyczą może się zwrócić do administratora danych z pytaniem m.in. o to, jakie dane na jej temat ten ADO przetwarza, w jakim zakresie i celu, komu te dane udostępnił. Zgodnie z ustawą o ochronie danych osobowych takie pytanie można skierować do danego ADO nie częściej niż raz na 6 miesięcy. Pamiętać też trzeba, że art. 32 ustawy o ochronie danych, który zakłada, że każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, wskazuje otwarty katalog informacji, których możemy żądać od administratora. Każdy z nas może więc zwrócić się do Ministerstwa Cyfryzacji, które jest administratorem zbioru danych przetwarzanego w ramach bazy PESEL z wnioskiem o udzielenie informacji o przetwarzaniu jego danych w tej bazie.
 
Zgłaszanie naruszeń
Obecna ustawa o ochronie danych nie przewiduje natomiast obowiązkowego zgłaszania naruszeń ochrony danych osobowych przez administratorów danych do GIODO. Takie mechanizm, w którym administrator danych będzie musiał poinformować organ nadzorczy, że doszło do naruszenia przewiduje natomiast art. 33 unijnego rozporządzenia ogólnego o ochronie danych, które będziemy stosować od 25 maja 2018 roku. Zgodnie z nowymi przepisami, administrator danych niezwłocznie, a nie później niż 72 godziny od stwierdzenia naruszenia będzie musiał poinformować o nim organ nadzorczy (chyba, że będzie mało prawdopodobne, by naruszenie skutkowało ryzkiem naruszenia praw lub wolności osób fizycznych). Poza tym, administrator danych będzie miał także obowiązek poinformowania o naruszeniu, które może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych, właśnie osoby, których dane dotyczą. To oznacza, że w przyszłości, jeżeli dojdzie do wycieku danych, będziemy o nim informowani niezwłocznie.

Dziś pozostaje mieć nadzieję, że informacje przekazywane przez Ministerstwo i Prokuraturę się potwierdzą i że do wycieku danych nie doszło. Warto jednak przy okazji tej sprawy przypomnieć, że każda instytucja, która przetwarza nasze dane, nawet na podstawie upoważnienia wynikającego wprost z przepisów, musi te dane chronić i nie może ich udostępniać w sposób niekontrolowany i nieograniczony.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik
katarzyna.witkowska@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej