Strona którą oglądasz dotyczy poprzedniej kadencji sejmu. Aktualne informacje znajdziesz tutaj

Szanowna Pani Marszałek,

w odpowiedzi na interpelację numer 34659 Posła na Sejm RP Pani Anny Grodzkiej w sprawie zapewnienia właściwych standardów ochrony danych osobowych znajdujących się w elektronicznym rejestrze stanu cywilnego przed nieuzasadnionym wglądem w dokumenty w nim zawarte przez osoby do tego upoważnione uprzejmie przedstawiam następujące informacje.

Na wstępie pragnę wskazać, że stosownie do art. 5 ust. 1 ustawy z dnia 28 listopada 2014 r. Prawo o aktach stanu cywilnego (Dz. U. poz. 1741 z późn. zm.), Rejestr Stanu Cywilnego jest prowadzony przez ministra właściwego do spraw wewnętrznych, w systemie teleinformatycznym. Mając na uwadze, iż w ww. rejestrze przetwarzane są dane osobowe w rozumieniu przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz. U. z 2014 r., poz. 1182 z późn. zm.) system teleinformatyczny, w którym prowadzony jest przedmiotowy rejestr spełnia wymogi techniczne określone m.in. w powyższej ustawie dla systemów przeznaczonych do przetwarzania danych osobowych.

Jednocześnie uprzejmie informuję, że Minister Spraw Wewnętrznych jako administrator danych zgromadzonych w omawianym rejestrze, na podstawie art. 36 ust. 1 ustawy o ochronie danych osobowych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Realizując powyższe Minister Spraw Wewnętrznych wydał upoważnienia dla wójtów, burmistrzów, prezydentów miast oraz wojewodów do przetwarzania danych osobowych zgromadzonych w Rejestrze Stanu Cywilnego, z prawem dalszego upoważniania pracowników do przetwarzania ww. danych. Zgodnie bowiem z art. 37 przywołanej ustawy, do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Pragnę przy tym nadmienić, że posiadanie przedmiotowego upoważnienia stanowi warunek konieczny do rozpoczęcia pracy w opisanym systemie przez pracowników urzędów stanu cywilnego, wydziałów spraw obywatelskich urzędów wojewódzkich oraz Ministerstwa Spraw Wewnętrznych (MSW), którzy realizują określone w ustawie Prawo o aktach stanu cywilnego zadania lub odpowiadają za techniczne utrzymanie rejestru. Warto w tym miejscu dodać, że osoby, które zostały upoważnione do przetwarzania danych osobowych zgromadzonych w Rejestrze Stanu Cywilnego stosownie do art. 39 ust. 2 ustawy o ochronie danych osobowych zobowiązane są zachować w tajemnicy ww. dane. Jednocześnie uprzejmie informuję, że zgodnie z art. 39 ust. 1 powyższej ustawy Minister Spraw Wewnętrznych jako administrator danych zgromadzonych w Rejestrze Stanu Cywilnego prowadzi ewidencję osób upoważnionych do przetwarzania ww. danych. Ponadto MSW zobowiązało urzędy gmin i wojewódzkie do prowadzenia przedmiotowych ewidencji.

Pragnę również wyjaśnić, że warunkiem umożliwiającym rozpoczęcie pracy w przedmiotowym systemie jest posiadanie przez ww. pracowników kart dostępowych z wgranym przez MSW certyfikatem umożliwiającym dostęp do Rejestru Stanu Cywilnego. Wskazany certyfikat jest wydawany na składany do MSW wniosek, który podpisuje kierownik danej jednostki organizacyjnej. Jednocześnie następuje zdefiniowanie dostępu technicznego dla pracowników, tj. nadanie odpowiedniej roli w systemie umożliwiającej wykonywanie określonych czynności. W przypadku urzędów stanu cywilnego najszersze uprawnienia w zakresie wskazanych ról posiadają kierownicy ww. urzędów.

Jednocześnie uprzejmie informuję, że posiadanie dostępu do zgromadzonych w Rejestrze Stanu Cywilnego danych obywateli przez wymienionych powyżej pracowników wynika z realizacji spraw związanych z rejestracją stanu cywilnego oraz dokonywania czynności z zakresu ww. rejestracji. Niemniej jednak mając na celu zapobieganie przypadkom nadużyć polegających na bezpodstawnym dostępie do danych przez przywołanych pracowników, system informatyczny, w którym prowadzony jest Rejestr Stanu Cywilnego umożliwia kontrolę nad wprowadzaniem i udostępnianiem danych zgromadzonych w rejestrze oraz zapewnia rozliczalność podejmowanych w systemie działań, poprzez ich jednoznaczne przypisanie konkretnym użytkownikom. Wykonywane przez ww. użytkowników czynności są bowiem odnotowywane przez system teleinformatyczny, w którym prowadzony jest Rejestr Stanu Cywilnego. Ponadto Minister Spraw Wewnętrznych realizuje kontrolę nad wprowadzaniem oraz udostępnianiem danych zgromadzonych w ww. rejestrze, poprzez monitoring tzw. logów systemowych.

Pragnę również dodać, że na przełomie grudnia 2014 roku i stycznia 2015 roku Agencja Bezpieczeństwa Wewnętrznego przeprowadziła testy bezpieczeństwa pod kątem odporności Systemu Rejestrów Państwowych (SRP), którego częścią pozostaje Rejestr Stanu Cywilnego na ataki z zewnątrz. Jednocześnie wskazany system został poddany przeprowadzonym przez podmiot zewnętrzny testom bezpieczeństwa w postaci testów penetracyjnych i audytu kodu źródłowego, które miały na celu weryfikację występowania ewentualnych błędów w bezpieczeństwie aplikacji. Wyniki uzyskane w następstwie wymienionych powyżej testów nie wykazały błędów w SRP.

Mając na uwadze opisane w niniejszej odpowiedzi działania zrealizowane we wskazanym w wystąpieniu obszarze uprzejmie informuję, że podjęte przez Ministra Spraw Wewnętrznych zabezpieczenia organizacyjno-techniczne zapewniają odpowiednią ochronę danych zgromadzonych w Rejestrze Stanu Cywilnego przed nieuprawnionym dostępem do nich, zaś obowiązujące przepisy prawa stanowią wystarczającą podstawę do kształtowania obowiązku zachowania w tajemnicy danych osobowych przez uprawnionych użytkowników ww. rejestru.

Z poważaniem,

MINISTER

SPRAW WEWNĘTRZNYCH

z up. Przemysław Kuna

Podsekretarz Stanu