Instytucje i firmy prywatne zbyt łatwo uzyskują szeroki dostęp do numerów PESEL Polaków. Brak jest należytej kontroli zasadności takich praktyk – twierdzi Urząd Ochrony Danych Osobowych. I to po raz kolejny, bo prezes UODO (wcześniej jako generalny inspektor ochrony danych osobowych) już kilkukrotnie interweniował w sprawie zbyt szerokiego strumienia udostępniania danych obywateli.
Najnowsza interwencja UODO związana jest z tym, o czym w DGP napisaliśmy dwa tygodnie temu („Dane o Polakach na widelcu firm”, DGP z 18 października 2018 r.). Wskazaliśmy wówczas, że spółka udzielająca chwilówek, której nie wyszedł biznes, ma dostęp do rejestru PESEL. Zgodę na to otrzymała w 2015 r. Dziś nie ma ani zarządu, ani rady nadzorczej. Jest to dostęp w trybie weryfikacyjnym, czyli pracownicy podmiotu nie mogli przeglądać swobodnie danych Polaków. Otrzymywali jedynie z oficjalnego źródła potwierdzenie, czy wskazane przez nią dane są prawdziwe, czy fałszywe. Ale zdaniem ekspertów to i tak za wiele.
– Po pierwsze, można sobie bez trudu wyobrazić sytuację, w której np. firma pożyczkowa zebrała dane osobowe znacznie większej liczby osób, niżeli ma klientów. Po drugie, istotą jest odpowiednie zabezpieczenie danych, które pozyskują prywatne podmioty – spostrzegał na naszych łamach radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016.
Ministerstwo Cyfryzacji w odpowiedzi na nasze pytania podkreśliło, że zgoda na dostęp do rejestru wydana została jeszcze za poprzedniej władzy. I że obecnie resort weryfikuje zasadność uprawnień, które kiedyś przyznano przedsiębiorcom.
W sprawę intensywnie angażuje się UODO. Prezes urzędu Edyta Bielak-Jomaa w piśmie do ministra cyfryzacji zaapelowała o szeroką weryfikację dostępu do numerów PESEL. Zwróciła się także z prośbą o przekazanie informacji na temat wdrożonych środków organizacyjnych i technicznych mających na celu weryfikację podmiotów wnioskujących o dostęp do rejestru PESEL oraz o informację, czy podmioty mające taki dostęp są odpowiednio kontrolowane.
– Podejmowane przez UODO działania związane z dostępem do rejestru PESEL to wyraz troski o zapewnienie jak najlepszego bezpieczeństwa danych Polaków zgromadzonych w tym rejestrze. Jest to istotne tym bardziej, że numer PESEL jest szczególnym identyfikatorem, który – zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO) – powinien być chroniony ze szczególną starannością – tłumaczy Agnieszka Świątek-Druś, rzecznik prasowy UODO. I zapewnia, że urząd w razie potrzeby będzie podejmował dalsze działania mające na celu ochronę obywateli.
Edyta Bielak-Jomaa chciałaby również nowelizacji przepisów prawa krajowego, tak by były one zgodne z RODO oraz przewidywały lepsze rozwiązania dla weryfikacji bezpieczeństwa rejestrów publicznych, w tym rejestru PESEL. UODO w swym niedawnym stanowisku podkreślił, że o zmianę przepisów wystąpił już 30 marca 2017 r.
„Tymczasem unijne prawo i nowa krajowa ustawa o ochronie danych osobowych zaczęły być stosowane od 25 maja 2018 r., lecz stosownych zmian w ustawie branżowej dotąd nie wprowadzono” – spostrzegają urzędnicy.
Po naszym tekście odezwała się przedstawicielka opisanej firmy pożyczkowej. Zapewniła, że od czasu rozpoczęcia procedury likwidacji spółki nikt w firmie nie korzysta z dostępu do rejestru PESEL.