Biuletyn Informacji Publicznej RPO

Od około roku Rzecznik Praw Obywatelskich zajmuje się nagłośnionym w mediach „wyciekiem danych z bazy PESEL”. W ramach przysługujących uprawnień Rzecznik zwrócił się w tej sprawie do szeregu organów z prośbą o przedstawienie dodatkowych informacji i wyjaśnień. W sprawie tej zwrócił się również do Minister Cyfryzacji.

Biuro Generalnego Inspektora Ochrony Danych Osobowych przekazało Rzecznikowi informację o tym, że w lutym 2017 r. przeprowadzona została w Ministerstwie Cyfryzacji oraz Centralnym Ośrodku Informatyki kontrola, mająca na celu ustalenie zasad przyznawania komornikom dostępu do rejestru PESEL za pomocą urządzeń teletransmisji danych oraz sposobów weryfikacji tego, czy spełniają oni wymagania bezpieczeństwa podyktowane przepisami prawa – w szczególności ustawą o ewidencji ludności oraz dokumentami opisującymi środki bezpieczeństwa wymagane przy dostępie do danych przetwarzanych w ramach rejestru PESEL.

W związku z dokonanymi podczas kontroli ustaleniami GIODO zwróciło się do Ministerstwa Cyfryzacji o podjęcie działań w celu zabezpieczenia danych osobowych przed dostępem osób nieupoważnionych oraz przed przetwarzaniem danych w sposób naruszający ustawę. Działania wskazane przez GIODO mają na celu realizację wymogów wynikających z art. 36 ustawy o ochronie danych osobowych. Obejmują one między innymi podjęcie prac legislacyjnych mających na celu rozszerzenie uprawnień kontrolnych, o których mowa w przepisach ustawy o ewidencji ludności, na podmioty, którym  przyznany został dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych (to jest także wobec komorników sądowych).

W związku z powyższym Rzecznik zwrócił się do Minister z prośbą o poinformowanie o działaniach podjętych dla realizacji zaleceń GIODO przekazanych po kontroli w lutym 2017 r., w szczególności dotyczących proponowanych zmian w ustawie o ewidencji ludności, a także procedur sprawdzenia w bazie PESEL (konieczność podawania uzasadnienia, postępowanie z incydentami czy wykluczenie możliwości przyznawania użytkownikom więcej niż jednej karty z certyfikatem umożliwiającym dostęp do bazy).