Po powzięciu informacji o możliwym, nieuprawnionym dostępie do danych osobowych, zgodnie z obowiązującymi w Rządowym Centrum Bezpieczeństwa procedurami, wszystkie dane zostały niezwłocznie i ponownie zabezpieczone. Zamknięto także dalszą możliwość wprowadzania kolejnych rekordów w formularzu.
W RCB trwa wewnętrzna procedura wyjaśniająca. Wspólnie z inspektorem ochrony danych osobowych natychmiast wprowadzono procedury dodatkowej weryfikacji wszystkich czynności podejmowanych w systemie, za pośrednictwem którego RCB przetwarza dane osobowe. Zaplanowano także dodatkowy audyt, którego celem będzie weryfikacja i usprawnienie procedur związanych z ochroną danych osobowych. Dyrektor RCB spotkał się również z Pełnomocnikiem Komendanta Głównego Policji ds. Bezpieczeństwa Cyberprzestrzni w sprawie oceny sytuacji i wzmocnienia ochrony systemów informatycznych Centrum.
Zdarzenie zgłoszono do CSIRT GOV, powiadomiono także komendantów i szefów służb o ww. zdarzeniu. Równolegle powiadomiono Prokuraturę Okręgową w Warszawie o uzasadnionym przypuszczeniu popełnienia przestępstwa. Zgodnie z obowiązującymi przepisami RODO, zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu bezpieczeństwa danych osobowych.
Od 28 grudnia 2020 roku Rządowe Centrum Bezpieczeństwa opracowało formularze umożliwiające różnym grupom zawodowym zgłaszanie się na szczepienia przeciwko COVID-19. Łącznie, za ich pomocą zarejestrowało się kilkaset tysięcy osób. Sytuacja związana z potencjalnym, nieuprawnionym dostępem do danych osobowych dotyczy wyłącznie grupy osób, która została zarejestrowana w terminie 12-20 kwietnia br. (około 22 tys. rekordów). Sukcesywnie zawiadamiamy o zaistniałym fakcie ww. osoby przekazując niezbędne wytyczne.
Grzegorz Matyasik
Zastępca Dyrektora
Rządowego Centrum Bezpieczeństwa