Generalna Inspektor Ochrony Danych Osobowych postanowiła zbadać sprawę, przeprowadzając kontrole w kancelariach i izbach komorniczych. Po jej zakończeniu uznała, że dla ustalenia, dlaczego to jest możliwe, konieczne było przeprowadzenie kontroli w resorcie cyfryzacji.

Wykazała ona, że Minister Cyfryzacji – jako administrator danych przetwarzanych w rejestrze PESEL – naruszył przepisy o ochronie danych osobowych, poprzez:
- brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych,
- przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
- brak w aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL, funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
- niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

GIODO uważa, że braki wykryte przez podczas tej kontroli stanowią poważne zagrożenie dla bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL. Umożliwiają bowiem użytkownikom, którzy otrzymali dostęp do rejestru, masowe pozyskiwanie danych w sposób w zasadzie niekontrolowany.

W związku z tym GIODO wydał 12 września br. decyzję nakazującą Ministrowi Cyfryzacji usunięcie tych naruszeń, wskazując konkretne terminy, tak by jak najszybciej zapewniony został należyty poziom bezpieczeństwa danych Polaków przetwarzanych w rejestrze PESEL.