Urząd Ochrony Danych Osobowych kontroluje rejestry publiczne - rozmowa z Moniką Krasińską

– Procedury kontroli wynikają z przepisów ustawy o ochronie danych osobowych, które określają, w jaki sposób, w jakiej formie i przy wykorzystaniu jakich instrumentów może być skontrolowany każdy administrator i  przetwarzający dane osobowe. Kontrolerzy z Urzędu Ochrony Danych Osobowych analizują m.in. zasady prowadzenia baz danych, zakres gromadzonych w nich danych, zasady dostępu do danych, okres ich przechowywania czy też dalszego wykorzystywania, a także procedury związane z zabezpieczeniem danych. Obecnie administrator musi wykazać, że postępuje zgodnie z przepisami RODO, zagwarantować, że wprowadzone rozwiązania i procedury właściwie zabezpieczają dane. Mają one mieć charakter optymalny i uwzględniać wszystkie ryzyka, jakie przetwarzanie danych osobowych niesie dla praw i wolności osób fizycznych. Kontrola koncentruje się na zweryfikowaniu, jakie polityki ochrony danych osobowych zostały wprowadzone. Obecnie taką kontrolę przeprowadzamy w odniesieniu do rejestru PESEL, w części dotyczącej rejestru mieszkańców. Jak wynika z doświadczeń organu, nawet przy prowadzeniu największych rejestrów publicznych nie zostały ocenione wszystkie ryzyka i nie w pełni została przemyślana strategia budowania bezpieczeństwa takich baz. Na przykład komornicy, starając się o dane PESEL, nie musieli uzasadniać potrzeby ich posiadania. Administrator, czyli Ministerstwo Cyfryzacji, też nie wprowadziło żadnych procedur kontroli dla zbadania uzasadnienia pozyskiwania przez nich danych na masową skalę w trybie teletransmisji. Teraz zostali do tego zobowiązani mocą decyzji organu nadzorczego. A wojewódzki sąd administracyjny całkowicie podzielił zastrzeżenia prezesa Urzędu Ochrony Danych Osobowych.

Jakie są najczęstsze niedociągnięcia?

– O niedociągnięciach w sektorze publicznym w zakresie ochrony danych po rozpoczęciu stosowania RODO trudno jeszcze mówić Po zakończeniu kontroli będziemy mogli sformułować pierwsze wnioski. Natomiast z naszych dotychczasowych doświadczeń wynika, iż do nieuprawnionego bądź nieuzasadnionego udostępnienia danych z zasobów publicznych dochodzi na skutek pomyłek pracowników, zwłaszcza tych nieprzeszkolonych. Dane osobowe są udostępniane w sposób nadmiarowy do Biuletynu Informacji Publicznej, gubiona jest dokumentacja albo błędnie przesyłana na niewłaściwy adres korespondencja. Z przeprowadzonych przed 25 maja 2018 r. kontroli wynikało, iż często wykorzystywane były hasła dostępu przez nieuprawnione osoby, bez odnotowywania komu je udostępniono, nie aktualizowano też sukcesywnie dokumentacji przetwarzania danych. Nawet w Ministerstwie Cyfryzacji, mającym doświadczenie we wprowadzaniu nowoczesnych rozwiązań, doprowadzono np. do istotnego naruszenia, polegającego na tym, iż nie zapewniono, aby jednemu użytkownikowi wydano tylko jedną kartę z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych, co przy braku analizy systemowych logów uniemożliwiało ustalenie, kto i w jakim faktycznie celu pozyskuje dane. Niestety, nie było także procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych. Powstała dopiero w czasie naszej kontroli i wdrożono ją na skutek decyzji GIODO. ?

—rozmawiała Maria Weber