Już 3. naruszenie ochrony danych osobowych w GUGiK. Tym razem przez serwer integracji

Już trzeci raz w tym miesiącu Główny Urząd Geodezji i Kartografii stwierdził u siebie naruszenie ochrony danych osobowych.

Jak czytamy w komunikacie GUGiK, informację o tym incydencie powzięto 25 lipca o godzinie 13:24 w ramach kontynuowania audytu wewnętrznego. Według ustaleń Urzędu problem z ochroną danych osobowych występował aż przez ponad 4 lata, tj. od 6 lipca 2018 r.

Nieuprawnieni użytkownicy na serwerze integracji

Zgłoszone właśnie naruszenie miało polegać na wielokrotnych przypadkach nieuprawnionego dostępu do zbiorów danych i usług obejmujących obszar całego kraju, odpowiednio gromadzonych i realizowanych z wykorzystaniem tzw. serwerów integracji. Na serwerach tych przetwarzane są dane państwowego zasobu geodezyjnego i kartograficznego oraz inne dane potrzebne do wystawienia przez GUGiK stosownych aplikacji internetowych i usług sieciowych.

Stwierdzone dotąd przypadki nieuprawnionego dostępu do zbiorów danych i usług PZGiK były realizowane (poprzez logowanie do serwerów integracji oraz do paneli zarządzających usługami) z wykorzystaniem systemów informatycznych o identyfikatorach IP należących do zewnętrznego podmiotu gospodarczego, nieposiadającego wymaganych umów czy upoważnień GUGiK w tym zakresie oraz haseł dostępowych.

Poprzez serwery integracji możliwy był dostęp do numerów ksiąg wieczystych nieruchomości na obszarze całego kraju, a w konsekwencji do danych osobowych osób władających tymi nieruchomościami obejmujących: imiona i nazwiska, imiona rodziców, nr PESEL, formę władania oraz inne dane zawarte w KW. W ocenie GUGiK dotyczy to trudnej do określenia liczby osób z obszaru całego kraju posiadających nieruchomości, dla których prowadzone są księgi wieczyste w systemie EKW, i których numery wpisane zostały do ewidencji gruntów i budynków.

Tuż po powzięciu informacji o tym naruszeniu GUGiK usunął istniejącą podatność 25 lipca o godzinie 14:00.

Do trzech razy sztuka?

Jest to już trzecie w tym miesiącu tego typu zgłoszenie publikowane przez GUGiK. 10 lipca Urząd poinformował, że w kwietniu br. na Geoportalu przez pomyłkę udostępniono numery ksiąg wieczystych. Dodajmy, że z powodu niezgłoszenia tego incydentu do Urzędu Ochrony Danych Osobowych instytucja ta nałożyła na GUGiK karę finansową w wysokości 60 tys. zł. GUGiK poinformował zaś, że nie będzie się od tej decyzji odwoływał.

Kolejne zgłoszenie ukazało się już po trzech dniach, a dotyczyło dostępu nieuprawnionych osób do danych osobowych poprzez stronę Zintegrowanego systemu informacji o nieruchomościach (ZSIN).

JK