111111

GIODO zakończył kontrolę systemu informatycznego GUS

Zdaniem GIODO, przy realizacji spisu powszechnego GUS powinien zastosować wszelkie środki zmniejszające ryzyko nieautoryzowanego dostępu do danych.

Generalny Inspektor Ochrony Danych Osobowych (GIODO) między 13-15 kwietnia oraz 18-22 kwietnia 2011 r. przeprowadził w Głównym Urzędzie Statystycznym (GUS) kontrolę dotyczącą zgodności przetwarzania danych osobowych na potrzeby realizacji narodowego spisu powszechnego ludności i mieszkań w 2011 r.

W jej toku ustalono, że generalnie GUS zastosował niezbędne środki techniczne i organizacyjne mające na celu zabezpieczenie danych osobowych. W poprawny sposób opracowano politykę bezpieczeństwa, wyznaczono administratora bezpieczeństwa informacji i zarządzano upoważnieniami osób mającymi dostęp do przetwarzania danych osobowych.

- Pewne zdziwienie ze strony Generalnego Inspektora Ochrony Danych Osobowych wywołały kwestie zabezpieczenia danych przed włamaniami i zapobiegania tym włamaniom. W tym zakresie stwierdziliśmy, że nie zostały wdrożone uznane za normalne i naturalne systemy zapobiegania atakom, takie jak IPS/IDS (Instrusion Prevention System/ Instrusion Detection System). Z uwagi na zakres przetwarzanych danych, które były wykorzystywane przez GUS, wydawałoby się, że niezbędne jest zastosowanie wszelkich środków zmniejszających ryzyko nieautoryzowanego dostępu do danych – mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych podczas konferencji prasowej zorganizowanej w Warszawie 30 maja 2011 r.

Jak dodał, nie ma informacji, aby ktokolwiek próbował dokonać włamania lub ataku i aby brak takiego systemu negatywnie wpłynął na sam sposób zbierania i przetwarzania danych, w tym na ich bezpieczeństwo.

Analizie poddano także kwestię sposobu uwierzytelniania osób, które wzięły udział w samopisie, czyli samodzielnie wypełniły ankietę spisową dostępną w Internecie. Z informacji GUS wynika, że przy opracowywaniu systemu uwierzytelniania na potrzeby samopisu pod uwagę brano, z jednej strony, ryzyko dostania się danych osobowych w ręce osób nieuprawnionych, a z drugiej jego „przyjazność”. - Kwestia przyjazności metody uwierzytelniania przeważyła nad względami, które potraktowałbym jako taką pryncypialną ochronę danych osobowych – wyjaśniał dr Wojciech Rafał Wiewiórowski. Jak mówił, wypełnienie formularza spisowego za inną osobę było możliwe jedynie w przypadku, gdy w źródłach uznanych za powszechnie dostępne znajduje się dość duża liczba informacji o takiej osobie. GIODO podkreślał jednak, że zastosowany sposób uwierzytelniania osób spisujących się przez Internet budzi jego zastrzeżenia. – Mogą mieć bowiem miejsce sytuacje, gdy bezprawne działania osób trzecich będą prowadziły do ujawnienia danych osobowych w zakresie adresu zamieszkania lub zameldowania – mówił dr Wojciech Rafał Wiewiórowski. Wskazywał też, że przy spisie reprezentacyjnym, po potwierdzeniu adresu, podawane są dane (imiona i nazwiska) osób przyporządkowanych do danego adresu, co rodzi niebezpieczeństwo ujawnienia danych osobowych.

- Jeżeli chodzi o kwestię ujawnienia danych osobowych osób fizycznych uznajemy, że jest to zastrzeżenie dość istotne, aczkolwiek w żaden sposób nie skłaniające Generalnego Inspektora do podjęcia działań, takich jak zatrzymanie procesu spisowego bądź przekazanie informacji dotyczącej nieuprawnionego udostępnienia danych, co stanowiłoby przestępstwo w rozumieniu ustawy o ochronie danych osobowych – dodał mówił dr Wojciech Rafał Wiewiórowski.

GIODO poinformował, że przekazał swoje zastrzeżenia prezesowi GUS i oczekuje informacji o tym, jakie działania zostały podjęte w celu usunięcia stwierdzonych uchybień.

źródło: GIODO

Opublikowano w BlogTagi , ,  |  Zostaw komentarz

Zostaw komentarz