Reklama

E-urząd został załatany, ale wcale nie jest bezpieczny. Lekceważona ustawa o ochronie danych osobowych

07/02/2008 15:33
We wtorek pisaliśmy o lukach w bezpieczeństwie znajdujących się w uruchomionym przez Urząd Gminy w Kartuzach systemie e-urząd, które umożliwiały każdemu dostęp do danych osobowych zarejestrowanych użytkowników. Luki w oprogramowaniu zostały usunięte, ale dane osobowe w systemie w dalszym ciągu nie są bezpieczne, a sam system i sposób administrowania nim nie spełnia wymogów ustawy o ochronie danych osobowych.

W systemie gromadzone i przetwarzane są dane osobowe petentów urzędu (użytkowników systemu) takie jak imię i nazwisko, adres zamieszkania i PESEL. W wyniku błędów w oprogramowaniu możliwe było uzyskanie danych osobowych wszystkich zarejestrowanych w nim użytkowników.

Po naszym artykule otrzymaliśmy informację od Michała Szylera, naczelnika wydziału organizacyjnego kartuskiego magistratu, że firma Centrum Elektronicznych Banków Informacji Publicznej sp. z o.o. poprawiła system w taki sposób, że usunęła wskazane przez nas luki w oprogramowaniu.

Z korespondencji pomiędzy CEBIP, a gminą wynika, że ta pierwsza zobowiązała się do wprowadzenia szyfrowania w ciągu 14 dni. Oznacza to, że dane osobowe przesyłane w systemie nie są w dalszym ciągu zabezpieczone przed "podsłuchem" i każdy, kto monitoruje informacje przesyłane w sieci ma do nich dostęp. Ponadto nie wprowadzono żadnego zabezpieczenia przez założeniem konta z użyciem danych osobowych innej osoby.

Publiczne udostępnienie niezabezpieczonego systemu gromadzącego i przetwarzającego dane osobowe, a w szczególności choćby nieumyślne naruszanie obowiązku zabezpieczenia danych osobowych przed dostępem osób nieuprawnionych, jest przestępstwem określonym w art. 52 ustawy o ochronie danych osobowych.

W kartuskim urzędzie ktoś musiał zgubić tą ustawę, gdyż wynikają z niej również inne obowiązki, o których zapomniano.

System e-urząd w trakcie rejestracji użytkowników gromadzi ich dane osobowe (np. pesel, adres zamieszkania), które są następnie przetwarzane. W systemie, wbrew przepisom ustawy, nie ma informacji kto jest administratorem danych osobowych, jaki jest adres jego siedziby, jaki jest cel zbierania danych, jakie są prawa osoby, których one dotyczą, w tym prawo dostępu do nich i ich poprawiania oraz czy podanie danych jest dobrowolne czy obowiązkowe i z czego taki obowiązek wynika. Gdyby ktoś zajrzał do ustawy być może stwierdziłby, że jest to przestępstwo określone w art. 54.

Zachodzi także duże prawdopodobieństwo, że administrator danych osobowych (nie wiemy kto nim jest, gdyż pomimo złożenia zapytania o to w urzędzie gminy wraz z prośbą o pilną odpowiedź, jeszcze jej nie otrzymaliśmy) nie dopełnił obowiązku wynikającego z Art. 40 ustawy tj. zgłoszenia zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Danych Osobowych, co wyczerpuje znamiona przestępstwa określonego w Art. 53 Ustawy.

Popieramy wprowadzanie nowoczesnych rozwiązań komunikacyjnych, które będą ułatwiać nam, obywatelom załatwianie spraw w urzędach. Nie powinno się to jednak wprowadzać ich w pośpiechu, bez analizy zagrożeń i niezgodnie z prawem.

Do sprawy z pewnością jeszcze wrócimy.

Bartosz Kitowski

P.S. Na chwilę przed publikacją artykułu otrzymaliśmy informację od Michała Szylera, że producent dokonał kolejnego usprawnienia systemu - wprowadzono szyfrowanie danych przesyłanych w składanych do urzędów wnioskach. Jak przed chwilą sprawdziliśmy, dane podawane przez użytkowników podczas rejestracji, w dalszym ciągu nie są szyfrowane.
Aplikacja na Androida

Obserwuj nas na Obserwuje nas na Google NewsGoogle News

Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!

Reklama

Komentarze opinie

  • Awatar użytkownika
    ja - niezalogowany 2008-02-08 13:22:42

    Te niemerytoryczne, a raczej zjadliwe komentarze - będące reakcją na nasze zaangażowanie żeby system był bezpieczniejszy - nasuwają mi myśl że w całej tej sprawie wcale nie chodzi o to o czym pisze ten artykuł. Wygląda na to ze nawet gdyby e-gmina była zabezpieczona jak systemy w pentagonie to Pan i tak byłby niezadowolony.[/quote] Ja myślę ze to akurat zależałoby od tego czy Pani Mirka jest pis-akowa czy nie jest :lol: ;)

    odpowiedz
    • Zgłoś wpis
  • Awatar użytkownika
    migotka - niezalogowany 2008-02-08 13:15:06

    bo gliguś już taki jest :razz: i za to go lubimy :grin:

    odpowiedz
    • Zgłoś wpis
  • Awatar użytkownika
    radzimskik - niezalogowany 2008-02-08 12:04:18

    Te niemerytoryczne, a raczej zjadliwe komentarze - będące reakcją na nasze zaangażowanie żeby system był bezpieczniejszy - nasuwają mi myśl że w całej tej sprawie wcale nie chodzi o to o czym pisze ten artykuł. Wygląda na to ze nawet gdyby e-gmina była zabezpieczona jak systemy w pentagonie to Pan i tak byłby niezadowolony.

    odpowiedz
    • Zgłoś wpis

Podziel się swoją opinią

Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.



Reklama

Wideo Kartuzy.info




Reklama
Reklama
Reklama
Reklama
Najnowsze wiadomości