GIODO: są zastrzeżenia do samospisu internetowego

W związku z pojawiającymi się doniesieniami, że w czasie trwającego spisu powszechnego GUS nie zapewnił odpowiednich środków zabezpieczających dostęp do danych osobowych, GIODO przeprowadziło kontrolę. Wynika z niej, że GUS zastosował niezbędne środki techniczne i organizacyjne mające na celu zabezpieczenie danych osobowych. Pewne zastrzeżenia budzi jednak samospis internetowy.

Generalny Inspektor Ochrony Danych Osobowych przeprowadził kontrolę w GUS m.in. w związku z pojawiającymi się doniesieniami medialnymi dotyczącymi możliwości podszycia się pod inną osobę przy wypełnianiu formularza internetowego na potrzeby spisu powszechnego lub pozyskania danych osób fizycznych przez osoby do tego niepowołane. Wynika z niej, że GUS zastosował niezbędne środki techniczne i organizacyjne mające na celu zabezpieczenie danych osobowych. W poprawny sposób opracowano też politykę bezpieczeństwa, wyznaczono administratora bezpieczeństwa informacji i zarządzano upoważnieniami osób mającymi dostęp do przetwarzania danych osobowych.

"Pewne zdziwienie ze strony Generalnego Inspektora Ochrony Danych Osobowych wywołały kwestie zabezpieczenia danych przed włamaniami zapobiegania tym włamaniom. W tym zakresie stwierdziliśmy, że nie zostały wdrożone uznane za normalne i naturalne systemy zapobiegania atakom, takie jak IPS/IDS. Z uwagi na zakres przetwarzanych danych, które były wykorzystywane przez GUS, wydawałoby się, że niezbędne jest zastosowanie wszelkich środków zmniejszających ryzyko nieautoryzowanego dostępu do danych" - mówił dzisiaj na konferencji dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony. Jak dodał, nie ma informacji, aby ktokolwiek próbował dokonać włamania lub ataku i aby brak takiego systemu negatywnie wpłynął na sam sposób zbierania i przetwarzania danych, w tym na ich bezpieczeństwo.

Zobacz również:

  • Policja z nową usługą - trwają testy e-Notatnika
  • Europejska chmura Oracle

Analizie poddano także kwestię sposobu uwierzytelniania osób, które wzięły udział w samopisie internetowym Z informacji GUS wynika, że przy opracowywaniu systemu uwierzytelniania na potrzeby samopisu pod uwagę brano, z jednej strony, ryzyko dostania się danych osobowych w ręce osób nieuprawnionych, a z drugiej jego "przyjazność". "Kwestia przyjazności metody uwierzytelniania przeważyła nad względami, które potraktowałbym jako taką pryncypialną ochronę danych osobowych" - wyjaśniał dr Wiewiórowski. Jak mówił, wypełnienie formularza spisowego za inną osobę było możliwe jedynie w przypadku, gdy w źródłach uznanych za powszechnie dostępne znajduje się dość duża liczba informacji o takiej osobie. GIODO podkreślał jednak, że zastosowany sposób uwierzytelniania osób spisujących się przez Internet budzi jego zastrzeżenia.

"Mogą mieć bowiem miejsce sytuacje, gdy bezprawne działania osób trzecich będą prowadziły do ujawnienia danych osobowych w zakresie adresu zamieszkania lub zameldowania" - mówił dr Wiewiórowski. Wskazywał też, że przy spisie reprezentacyjnym, po potwierdzeniu adresu, podawane są dane tj. imiona i nazwiska osób przyporządkowanych do danego adresu, co rodzi niebezpieczeństwo ujawnienia danych osobowych. "Jeżeli chodzi o kwestię ujawnienia danych osobowych osób fizycznych uznajemy, że jest to zastrzeżenie dość istotne, aczkolwiek w żaden sposób nie skłaniające Generalnego Inspektora do podjęcia działań, takich jak zatrzymanie procesu spisowego bądź przekazanie informacji dotyczącej nieuprawnionego udostępnienia danych, co stanowiłoby przestępstwo w rozumieniu ustawy o ochronie danych osobowych" - dodał dr Wiewiórowski. GIODO poinformował, że przekazał swoje zastrzeżenia prezesowi GUS i oczekuje informacji o tym, jakie działania zostały podjęte w celu usunięcia stwierdzonych uchybień.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200