Zdaniem GIODO, przy realizacji spisu powszechnego GUS powinien zastosować wszelkie środki zmniejszające ryzyko nieautoryzowanego dostępu do danych.
Generalny Inspektor Ochrony Danych Osobowych (GIODO) między 13-15 kwietnia oraz 18-22 kwietnia 2011 r. przeprowadził w Głównym Urzędzie Statystycznym (GUS) kontrolę dotyczącą zgodności przetwarzania danych osobowych na potrzeby realizacji narodowego spisu powszechnego ludności i mieszkań w 2011 r.
W jej toku ustalono, że generalnie GUS zastosował niezbędne środki techniczne i organizacyjne mające na celu zabezpieczenie danych osobowych. W poprawny sposób opracowano politykę bezpieczeństwa, wyznaczono administratora bezpieczeństwa informacji i zarządzano upoważnieniami osób mającymi dostęp do przetwarzania danych osobowych.
- Pewne zdziwienie ze strony Generalnego Inspektora Ochrony Danych Osobowych wywołały kwestie zabezpieczenia danych przed włamaniami i zapobiegania tym włamaniom. W tym zakresie stwierdziliśmy, że nie zostały wdrożone uznane za normalne i naturalne systemy zapobiegania atakom, takie jak IPS/IDS (Instrusion Prevention System/ Instrusion Detection System). Z uwagi na zakres przetwarzanych danych, które były wykorzystywane przez GUS, wydawałoby się, że niezbędne jest zastosowanie wszelkich środków zmniejszających ryzyko nieautoryzowanego dostępu do danych – mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych podczas konferencji prasowej zorganizowanej w Warszawie 30 maja 2011 r.
Jak dodał, nie ma informacji, aby ktokolwiek próbował dokonać włamania lub ataku i aby brak takiego systemu negatywnie wpłynął na sam sposób zbierania i przetwarzania danych, w tym na ich bezpieczeństwo.
Analizie poddano także kwestię sposobu uwierzytelniania osób, które wzięły udział w samopisie, czyli samodzielnie wypełniły ankietę spisową dostępną w Internecie. Z informacji GUS wynika, że przy opracowywaniu systemu uwierzytelniania na potrzeby samopisu pod uwagę brano, z jednej strony, ryzyko dostania się danych osobowych w ręce osób nieuprawnionych, a z drugiej jego „przyjazność”. - Kwestia przyjazności metody uwierzytelniania przeważyła nad względami, które potraktowałbym jako taką pryncypialną ochronę danych osobowych – wyjaśniał dr Wojciech Rafał Wiewiórowski. Jak mówił, wypełnienie formularza spisowego za inną osobę było możliwe jedynie w przypadku, gdy w źródłach uznanych za powszechnie dostępne znajduje się dość duża liczba informacji o takiej osobie. GIODO podkreślał jednak, że zastosowany sposób uwierzytelniania osób spisujących się przez Internet budzi jego zastrzeżenia. – Mogą mieć bowiem miejsce sytuacje, gdy bezprawne działania osób trzecich będą prowadziły do ujawnienia danych osobowych w zakresie adresu zamieszkania lub zameldowania – mówił dr Wojciech Rafał Wiewiórowski. Wskazywał też, że przy spisie reprezentacyjnym, po potwierdzeniu adresu, podawane są dane (imiona i nazwiska) osób przyporządkowanych do danego adresu, co rodzi niebezpieczeństwo ujawnienia danych osobowych.
- Jeżeli chodzi o kwestię ujawnienia danych osobowych osób fizycznych uznajemy, że jest to zastrzeżenie dość istotne, aczkolwiek w żaden sposób nie skłaniające Generalnego Inspektora do podjęcia działań, takich jak zatrzymanie procesu spisowego bądź przekazanie informacji dotyczącej nieuprawnionego udostępnienia danych, co stanowiłoby przestępstwo w rozumieniu ustawy o ochronie danych osobowych – dodał mówił dr Wojciech Rafał Wiewiórowski.
GIODO poinformował, że przekazał swoje zastrzeżenia prezesowi GUS i oczekuje informacji o tym, jakie działania zostały podjęte w celu usunięcia stwierdzonych uchybień.
źródło: GIODO