Od kiedy pamiętam, bębni się o bezpieczeństwie, o przechowywaniu danych poufnych, RODO i tym podobnym. Dzięki temu rośnie świadomość społeczeństwa na temat prawa do ochrony swoich danych, również tych powierzonych obcym podmiotom. Wyjadacze chleba powoli zaczynają wiedzieć, co się, z czym je. Niestety wielkie firmy dalej mają z tym problem. Odpowiednie organy w ostatnim czasie zaczęły wnikliwie przyglądać się różnym instytucjom. Sprawdzają one, czy stosowane przez nie rozwiązania wystarczają, aby nasze dane były bezpieczne. Nie pomogło to jednak numerom PESEL miliona Polaków, które niedawno wypłynęły do sieci.
Według rozporządzenia RODO danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Do takich należy choćby właśnie numer PESEL. Bez problemu można nas po nim zidentyfikować i podkraść tożsamość. Ważne jest, aby przechowywać go z daleka od oczu osób trzecich. Za przetwarzanie danych osobowych uznaje się wykonywanie jakichkolwiek operacji na danych osobowych. W tym ich: zbieranie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy też usuwanie, zwłaszcza jeżeli realizuje się je w systemach informatycznych.
Organizacje posiadają różnego rodzaju informacje na nasz temat
Liczymy jednak, że pozostaną one poufne. Ochrona danych osobowych powinna zabezpieczyć takie informacje przed wyciekiem, ujawnieniem, zniszczeniem. Niedopuszczalna jest bowiem sytuacja, w której takie dane będą przetwarzane przez osoby niemające do tego upoważnienia. Tym bardziej zastanawiające jest, kiedy wielka firma czy też instytucja pozwala sobie na wyciek tak ważnych informacji. Tym razem nawalił Krajowy Rejestr Sądowy. Ciężko jest uwierzyć, ale organizacja opublikowała na swojej stronie numery PESEL. Wraz z PESELami pojawiły się imiona i nazwiska członków zarządów spółek, fundacji oraz stowarzyszeń. O całym zajściu poinformował portal Prawo.pl.
W naszym kraju jest 500 tys. spółek, 22 tysiące fundacji i 112 tysięcy stowarzyszeń.
Jeżeli założymy niezbędne minimum, czyli dwuosobowy zarząd spółki, to możemy łatwo oszacować, że w sieci właśnie widnieją dane osobowe około miliona osób, jak nie więcej. Cała sytuacja dotyczy złożonych elektronicznych sprawozdań za rok 2018. Co więcej, jak wynika z informacji na portalu Prawo.pl, osoby poszkodowane nie zdawały sobie nawet sprawy z tego, że dojdzie do takiej sytuacji. Oczywiste jest, że numer PESEL w połączeniu z imieniem i nazwiskiem jest daną wrażliwą, która powinna być udostępniana tylko i wyłącznie na konkretny wniosek. Co więcej, po wprowadzeniu RODO mamy wiele akcji, które uwrażliwiają nas na dbanie o swoje dane, a tu wycieku dopuścił się KRS. Pojawienie się takich informacji w sieci jest niebezpiecznie i może implikować nawet kradzieżą tożsamości. Poszkodowani są nie tylko członkowie zarządów, ale także biegli rewidenci, księgowi sporządzający dokumenty finansowe oraz pełnomocnicy. Powiedzmy sobie szczerze, że nie mam serca liczyć, ile to osób w rzeczywistości, bo milion już robi na mnie wrażenie.
PESEL jest daną, która zawiera naszą datę urodzenia i płeć.
Jeżeli ktoś potrafi go czytać, to zlepek przypadkowych cyfr zmienia się w portret pamięciowy delikwenta. Pamiętajmy o tym, że wszystkie te dane są używane do uwierzytelnienia w różnych systemach i usługach, ich znajomość ułatwia kradzież tożsamości. Możliwe, że pojedyncze przypadki takich zaniedbań nie są tak niebezpieczne, ale publiczny wyciek danych miliona osób to tragedia na (nie wstydzę się użyć tego określenia) masową skalę. Takie rzeczy nie powinny w ogóle mieć miejsca. Pokazuje to, że instytucje nie potrafią zarządzać naszymi danymi i traktują je jak nic niewarte świstki. Zastanawia mnie w takim razie, po co było tyle babrania się z RODO i innymi przepisami, skoro doprowadzamy dalej do tak absurdalnym sytuacji. Co prawda, Urząd Ochrony Danych Osobowych (UODO) już wielokrotnie zwracał uwagę na potrzebę zmiany obecnych rozwiązań. Grunt to jednak nie gadać, a robić. Nie ocenia się ludzi po słowaCH, ale po czynach, a UODO wyraźnie będzie musiało posypać głowę popiołem, zaraz w kolejce za KRS (ci, to powinni dostać publiczny lincz). UODO obiecuje jednak, że wystąpi z wnioskiem do KRS.
Skąd tak naprawdę pojawił się problem? Przecież taka ilość numerów nie pojawiła się w sieci przypadkowo.
Zapewne chcielibyśmy liczyć, że jakaś durna Grażynka przez przypadek wcisnęła o przycisk za dużo. Niestety, sprawa na o wiele głębsze dno i kilometr mułu. Od 1 października 2018 roku sprawozdanie finansowe może być złożone tylko w formie elektronicznej. Co więcej, taki dokument musi być sygnaturowany podpisem elektronicznym lub profilem zaufanym. Tego typu podpis zawiera takie dane jak numer PESEL oraz imię i nazwisko, co pozwala zidentyfikować osobę podpisującą dokument. Sprawozdania te trafiają do Repozytorium Danych Finansowych i tam można je obejrzeć. W ten sposób właśnie identyfikator staje się ogólnodostępny.
Oczywiście, cała sprawa wzbudziła ogromne oburzenie świata radców prawnych.
Nie mają oni wątpliwości, że taka jawność jest sprzeczna z RODO. Co za tym idzie, także z unijnymi przepisami o ochronie danych osobowych. Niestety, co kraj, to obyczaj. Nasze rodowe przepisy krajowe pozwalają na takie przetwarzanie numeru PESEL. Według art. 5 ust. 1 lit. c RODO administrator powinien każdorazowo określać, jakie dane są niezbędne dla realizacji usługi. Nazywa się to zasadą minimalizacji, którą można naruszyć poprzez przetwarzanie numeru PESEL na taką skalę. Oznacza to mniej więcej tyle, że ujawnianie numeru PESEL w Krajowym Rejestrze Sądowym jest dopuszczone ustawowo. Jestem tym mocno zbulwersowany. Takie przepisy winny zostać jak najszybciej zmodyfikowane. Obecnie prezes UODO przygotowuje do Ministra Sprawiedliwości wystąpienie w sprawie konieczności przeanalizowania dotychczasowego modelu.