Instytucje i firmy prywatne zbyt łatwo uzyskują szeroki dostęp do numerów PESEL Polaków. Brak jest należytej kontroli zasadności takich praktyk – alarmuje UODO. Po ostatniej interwencji Prezesa Urzędu, minister cyfryzacji cofnął swoją wcześniejszą decyzję przyznającą taki dostęp firmie zajmującej się egzekwowaniem długów.
To nie pierwszy przypadek, gdy Prezes Urzędu Ochrony Danych Osobowych interweniuje w związku ze zbyt szerokim dostępem różnych podmiotów do rejestru PESEL.
W ostatnim czasie Urząd weryfikował kwestię dostępu do rejestru PESEL prywatnej firmy zajmującej się egzekucją wierzytelności. Po tej interwencji UODO minister cyfryzacji cofnął swoją wcześniejszą decyzję przyznającą taki dostęp.
UODO wnioskuje o szeroką weryfikację dostępu do numerów PESEL
Zaniepokojona takimi praktykami dr Edyta Bielak-Jomaa, Prezes Urzędu, wystąpiła do ministra cyfryzacji z wnioskiem o zweryfikowanie również innych wydanych decyzji, na podstawie których różne podmioty mają dostęp do bazy PESEL. Prezes UODO zwróciła się także o przekazanie informacji na temat wdrożonych środków organizacyjnych i technicznych mających na celu weryfikację podmiotów wnioskujących o dostęp do rejestru PESEL oraz o informację, czy podmioty mające taki dostęp są odpowiednio kontrolowane.
Na straży bezpieczeństwa danych w rejestrze
Nierozważne i niepoddane należytej kontroli przyznawanie dostępu do rejestru PESEL może prowadzić do masowego i niczym nieuzasadnionego pozyskiwania zawartych w nim danych. Może zatem skutkować zdobywaniem informacji nadmiarowych, zbędnych do realizacji celów, w jakich dostęp do rejestru został przyznany.
W głośnej już sprawie „wycieku” danych z kancelarii komorniczych sprzed kilku lat, organ ds. ochrony danych osobowych w wydanej decyzji zalecił Ministerstwu Cyfryzacji uszczelnienie dostępu do rejestru PESEL. Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie (sygn. akt. II SA/Wa 2168/17) potwierdził słuszność tej decyzji.
Prowadzone przez UODO sprawy związane z dostępem do rejestru PESEL to wyraz troski o bezpieczeństwo danych Polaków. Jest to istotne tym bardziej, że numer PESEL jest szczególnym identyfikatorem, który – zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO) – powinien być chroniony ze szczególną starannością.
Potrzebna zmiana przepisów
UODO wskazuje także na konieczność dokonania zmian przepisów prawa krajowego, które powinny być zgodne z unijnym rozporządzeniem o ochronie danych (RODO) i przewidywać zdecydowanie lepsze rozwiązania dla weryfikacji bezpieczeństwa rejestrów publicznych, w tym rejestru PESEL. O zmianę tych przepisów Urząd wystąpił już 30 marca 2017 r. Tymczasem unijne prawo i nowa krajowa ustawa o ochronie danych osobowych zaczęły być stosowane od 25 maja 2018 r., lecz stosownych zmian w ustawie branżowej dotąd nie wprowadzono.
https://uodo.gov.pl/pl/138/550