14:10
15/4/2020

Kilka dni temu ZUS rozesłał do przedsiębiorców komunikat w sprawie Tarczy Antykryzysowej. E-mailem. Nie ukrywając adresów e-mail odbiorców. Wpadka? Tak, bo nie przystoi wysyłać takich e-maili do ~2000 adresów w paczce, nie ukrywając żadnego z nich. No po prostu nie przystoi. Ale czy podnoszone przez niektórych internautów zastrzeżenia co do “złamania prawa” i naruszenia RODO przez ZUS są zasadne?

ZUS chciał dobrze…

Oto jak wyglądała wiadomość rozesłana do przedsiębiorców:

Takich e-maili dostaliśmy kilkadziesiąt. Pracownicy ZUS-u z różnych oddziałów (Rybnik, Warszawa) rozsyłali je paczkami po kilka tysięcy odbiorców…

Brak ukrycia adresów e-mail w korenspondencji do klientów to tylko jeden z wielu błędów, jakie mogą popełnić pracownicy. I szczerze mówiąc, najmniej poważny. O wszystkich przestrzegamy w naszym 3h internetowym kursie “Cyberbezpieczeństwo w Firmie“. Kurs edukuje pracowników, ale zawiera także porady dla działów IT. Bo wielu pomyłkom proacowników i wygenerowanym przez nich incydentom można zapobiec, o ile wdroży się odpowiednie procedury i narzędzia…

Materiał kursu dostosowaliśmy do najczęściej występujących w Polsce ataków na firmy i incydentów, które obserwujemy u naszych klientów od ponad 10 lat. To wiedza, którą powinien mieć każdy pracownik i jedyny tak przekrojowy i poparty prawdziwymi przykładami kurs z cyberbezpieczeństwa w Polsce. Zobacz za darmo jedną z lekcji, a potem zapoznaj się z pełną agendą naszego kursu “Cyberbezpieczeństwo w Firmie” i przeszkol wszystkich pracowników z bezpiecznej pracy na komputerze podłączonym do internetu.

Zapobieanie incydentom jest tańsze niż reagowanie…

Moglibyśmy dołączyć do szydery na ZUS, bo wytykaliśmy palcem takie błędy niejednej firmie. Moglibyśmy usprawiedliwiać, że stres, działanie w pośpiechu, praca z domu, ZARAZA, itp. Ten przypadek jest jednak trochę inny i choć niesmak pozostaje, to ciężko ocenić, czy to naruszenie czy nie. Dlaczego?

Które adresy e-mail podlegają ochronie, a które nie?

Mamy tu do czynienia z komunikacją Urząd i firma. A — jak podnoszą niektórzy — adresy firmowe nie podlegają takiej samej ochronie jak prywatne. Czy na pewno? Zapytaliśmy o to Michała Kluskę, adwokata z Kancelarii Domanski Zakrzewski Palinka.

Adresy e-mail przypisane są do jakiegoś konkretnego przedsiębiorstwa. Jeżeli jest to adres należący do tzw. jednoosobowej firmy, to traktujemy te adresy e-mail jak dane osobowe. Nie ma tu znaczenia czy rozróżnienia na prywatne czy służbowe. W przypadku spółek, sprawa wygląda trochę inaczej. Tylko adresy e-mail imienne podlegają ochronie, bo identyfikują osoby fizyczne.

A co jeśli ktoś, kto prowadzi firmę, podał ZUS-owi we wniosku swój adres prywatny, w domenie GMaila lub Onetu zamiast firmowej (z rozpędu lub roztargnienia) chociaż wniosek składał w imieniu firmy?

Nie ma znaczenia w jakiej domenie posiada się adres e-mail. Przedsiębiorca może podać przecież dowolny adres e-mail. Nie wszyscy dysponują przecież własnymi domenami. Ale to czy korzystanie z GMail etc. do celów służbowych to dobry pomysł, to już osobny temat :)

Czyli adres biuro@firma.pl nie jest tak samo chroniony jak jan.kowalski@firma.pl i jego ujawnienie nie podlega, w kontekście RODO, tym samym “karom”?

Tak. Adresy biuro@spółka.pl to nie kłopot z perspektywy RODO, ale adres biuro@jednoosobowadzialalnoscgospodarcza.pl już tak.

Jak widzicie, sprawa tego, co można bezkarnie (w kontekście RODO) wrzucać w nagłówke TO: e-maili nie jest taka prosta. Choć od wejścia w życie RODO minęło już sporo czasu, dalej firmy mają pytania i nie zawsze postępują zgodnie z prawem. Co byście powiedzieli, gdybyśmy Michała wzięli na “lajwa”, w sobotę, 25 kwietnia o 20:00 na naszego YouTuba i Facebooka? Zrobilibyśmy takie “zapytaj prawnika o RODO”. Byliby chętni? Dajcie znać w komentarzach.

To nie koniec wpadek ZUS-u

Nasz kolejny Czytelnik, Artur, zauważył jeszcze jeden aburd na stronie ZUS-u. Oddajmy mu głos:

postanowiłem skorzystać z możliwości zadania tzw. “zapytania ogólnego”, które każdy może wysłać przez stronę www ZUS (zakładka “Kontakt/Zadaj pytanie ZUS“). Na początku widzimy czerwony komunikat, który nas uspokaja i przekonuje o bezpieczeństwie tej formy kontaktu z ZUS:

“Formularz kontaktowy zapytania ogólnego (w przeciwieństwie do poczty elektronicznej e-mail) gwarantuje bezpieczeństwo przekazywanych informacji, dlatego można zawrzeć w nim informacje osobiste dotyczące zgłaszanej sprawy przez klienta Zakładu”.

Czytelnik uwierzył w to zapewnienie, pytanie przesłał przez bezpieczny formularz i…

jakież było moje zdziwienie, kiedy na adres mailowy podany w powyższym formularzu otrzymałem po chwili DWA potwierdzenia:
1. od nadawcy “Zakład Ubezpieczeń Społecznych ” z tematem “Potwierdzenie wysłania zapytania” i treścią: “Wysłano zapytanie ogólne z serwisu pue.zus.pl o tresci: (tu była cała treść mojego zapytania)”,
2. od nadawcy “noreply@zus.pl” z tematem “Potwierdzenie wysyłki formularza zapytania ogólnego” i treścią: “Witaj,(tu moje nazwisko), Twoje zapytanie o treści (tu była cała treść mojego zapytania) zostało wysłane (tu dokładna data i godzina) do cot@zus.pl”.

No niby nie zostało to zapytanie wysłane niebezpiecznym e-mailem. Jak widać, najwyraźniej odesłanie to nie to samo co wysłanie ;) Ale co do jednego, ZUS się nie mylił — e-maile od nich nie są “tak bezpieczne”. Jak widać, serwery pocztowe nie zaszyfrowały połączenia… (w którym roku my żyjemy?)

Ale to nie koniec! Oddajmy głos kolejnemu Czytelnikowi, który pomagał tacie w złożeniu wniosku.

Po godzinnej walce z nieresponsywnoscia strony ZUS PUE udalo sie znalezc odpowiednie formularze. Dodam, ze moj tata jest daltonista i nie jest w stanie odroznic edytowalnych pol od nieaktywnych, bo ZUS PUE wyswietla je w na blado-niebiesko. Ogolnie rzecz mowiac ZUS PUE dostarcza najgorszych mozliwych rozwiazan, zarownood strony UX, jak i technicznej (podglad formularza jest realizowany… flashem).

Przy probie podpisu certyfikatem kwalifikowanym widze komunikat “Trwa wysylanie wniosku…” i nic sie nie dzieje. W konsoli developerskiej widze, ze idzie 404 na URLu https://www.zus.pl/portal/js/xades/asmcrypto.js.

Przy probie podpisania poprzez ePUAP pojawiaja sie inne problemy – aplikacja ktora kazali pobrac (PZSigner) pokazuje wszystkie zarejestrowane certyfikaty – bez dat waznosci, wiec osoba nietechniczna nie moze odroznic wyglaslych od aktualnych. Mi to sie udalo rozroznic po fingerprincie. Po wpisaniu PINu do PZSignera, system ePUAP wyswietlal graficzke spinnera, po czym wrocil do pierwszej strony podpisywania wniosku – bez komunikatu bledu. Po N-tej probie W KONCU sie udalo. Caly proces trwal 2h.

ZUS nie jedno ma imię

Poza pracownikami poszczególnych oddziałów ZUS-u, do akcji braku BCC w mailach dołączyli się też pracownicy PEFRON-u :)

Podsumowując, uważajcie jakie dane przekazujecie w różnych wnioskach pomocowych. W stresie, pośpiechu łatwo o pomyłkę. Zarówno z Waszej strony, jak i ze strony urzędników. I jak zwykle, wszystkie podawane “przez internet” dane, nawet “w bezpiecznym formularzu” od razu traktujcie jako publicznie dostępne. Dla każdego. Na zawsze.

Brak ukrycia adresów e-mail w korenspondencji do klientów to tylko jeden z wielu błędów, jakie mogą popełnić pracownicy. I szczerze mówiąc, najmniej poważny. O wszystkich przestrzegamy w naszym 3h internetowym kursie “Cyberbezpieczeństwo w Firmie“. Kurs edukuje pracowników, ale zawiera także porady dla działów IT. Bo wielu pomyłkom proacowników i wygenerowanym przez nich incydentom można zapobiec, o ile wdroży się odpowiednie procedury i narzędzia…

Materiał kursu dostosowaliśmy do najczęściej występujących w Polsce ataków na firmy i incydentów, które obserwujemy u naszych klientów od ponad 10 lat. To wiedza, którą powinien mieć każdy pracownik i jedyny tak przekrojowy i poparty prawdziwymi przykładami kurs z cyberbezpieczeństwa w Polsce. Zobacz za darmo jedną z lekcji, a potem zapoznaj się z pełną agendą naszego kursu “Cyberbezpieczeństwo w Firmie” i przeszkol wszystkich pracowników z bezpiecznej pracy na komputerze podłączonym do internetu.

Zapobieanie incydentom jest tańsze niż reagowanie…

Przeczytaj także:



36 komentarzy

Dodaj komentarz
  1. No ok, część adresów email nie będzie podpadać pod dane osobowe i rygor RODO. Nie zmienia to jednak faktu, że w wysyłce ZUS z pewnością znalazły się adresy JDG, prywatne itp. czyli mamy do czynienia z naruszeniem – wiecie czy ZUS jakkolwiek do niego odniósł?

    PS. no i sama kwestia higieny pracy – stawiam dolary przeciwko orzechom, że nikt w ZUSie nie siedział i się nie zastanawiał “czy ten adres email jest daną osobową w kontekście art. 4 RODO?” tylko po prostu ktoś niefrasobliwy nie ukrył kopii maili i tyle.

    • Ludzie, zacznijcie się buntować przeciwko tym e-Pułapkom i innym elektronicznym rozwiązaniom. ONE NIE SĄ BEZPIECZNE i nigdy nie będą. Nie dajmy się zmuszać do tego, podobnie jak zmuszono do aplikacji Kwarantanna domowa. Wystarczy zbić termomoetr by nie mieć gorączki. W przypadku kwarantannny domowej wystarczy mieć stary telefon bez wymaganego sytemu lub zbić kamerę w telefonie lub też telefonu się pozbyć.
       
      W przypadku e-Puap wystarczy iść do urzędu i żądać usunięcia konta, a resztę załatwić listownie lub osobiście [obecnie osopiździe zamiast osobiście póki nie otworzą urzędów].

  2. No ok, część adresów z wysyłki nie będzie uznana za dane osobowe i nie będzie podlegać ochronie RODO. Nie zmienia to jednak faktu, że w mailach na pewno były takie dotyczące JDG, prywatne etc. czyli nadal mamy “klasyczne naruszenie” BCC. Wiecie czy ZUS się jakkolwiek odniósł do tego?

    PS. to i pozostaje jeszcze kwestia higien pracy – stawiam dolary przeciwko orzechom, że nikt nie siedział w ZUSie i nie zastanawiał się “ten adres email będzie uznany za dane osobowe w rozumieniu art. 4 RODO, a tamten nie, to przy tamtym nie musimy ukrywać kopii :)”, po prostu ktoś niefrasobliwy nie zrobił BCC i tyle (pewnie większość urzędów wysyłała ukryte kopie).

  3. Do mnie akurat wysyłał jakiś bardziej kumaty gośc i w polu ‘do’ mam pusto. Wniosek z tego, że zrobił UDW.
    Brawa dla niego :)

    • jeż dostałem z pustym “do”
      pytanie, czy redakcja niebezpiecznika na własne oczy widziała źle wysłane maila, czy to może fake news?

    • Pierwszy obrazek w artykule przedstawia screena z maila z wielką czerwoną plamą, co sugeruje, że redakcja widziała na własne oczy takiego maila : )

    • Ja akurat jestem ze szczęśliwej grupy ludzi których maile prywatne zostały upublicznione… Co za rażący brak kompetencji.

    • Jaki byl powod tego, ze podales prywatnego maila kontaktujac sie z zusem w sprawie sluzbowej?

    • Też dostałem bez wpisów w do :)
      ZUS II oddział w Wawie ma kogoś ogarniętego

    • Nie powiem nic nowego. Naprawdę wszystkie instytucje państwowe, ZUS i inne, tak samo sejm i senat, wszyscy powinni przejść wymagane szkolenie ws. bezpieczeństwa w sieci i zapobiegania wycieku poufnych danych. A jak coś wyjdzie to ktoś traci stanowisko.

  4. Ze swojej strony dodam że też kilka dni temu korzystałem z tego „bezpiecznego formularza” ale co ciekawe strona na której on jest zamieszczony nie ma https :) idzie po standardowym http

    • brawo ty

  5. No i co dalej? Państwowy ZUS zapłaci ileś tam cebulionów państwowemu UODO? To tak jakbym przekładał sobie pieniądze z lewej do prawej kieszeni. :)

    • czy aby na pewno. w tym wypadku pieniadze wlozone do jednej kieszeni na bank nie trafia do Twojej drugiej w trakcie “przelozenia”. Administracyjna Amba

  6. “Adresy biuro@spółka.pl to nie kłopot z perspektywy RODO, ale adres biuro@jednoosobowadzialalnoscgospodarcza.pl już tak.” – ten cytat z powyższego jednoznacznie pokazuje bezużyteczność, szkodliwość, albo wręcz głupotę związaną z tym całym RODO. I choć redakcja będzie pewnie jak zwykle tej chorej dyrektywy bronić, prawda jest taka, że jedyne co ona daje to pracę dla prawników i haki na przedsiębiorców.
    Osobiście uważam, że w zasadzie jakakolwiek urzędowa “ochrona” danych, które dobrowolnie “upubliczniam”* nie ma sensu. No i nie działa.
    *) upubliczniam w znaczeniu cytatu z powyższego: wszystkie podawane “przez internet” dane, nawet “w bezpiecznym formularzu” od razu traktujcie jako publicznie dostępne. Dla każdego. Na zawsze.

    • No i okazało się, że nie jestem jedyny ze takim myśleniem.
      A swoją drogą, jeśli państwo chce mnie jakoś chronić, to niech chroni mnie jako osobę, a nie moje dane osobowe, których nie sposób jest upilnować.
      Chodzi mi o to, aby nikt posługując się moimi danymi osobowymi nie był w stanie np wziąć kredytu, ani zdublować karty SIM.

      No, ale czego się spodziewać po komunistach z UE.

    • @Therminus

      Danych osobowych Państwo powinno przede wszystkim jak najmniej zbierać.
      A te które ma, uważam że pilnować powinno – i niepotrzebne dane natychmiast kasować, a nie archiwizować na 10, 20 czy 50 lat.

      Brak możliwości wzięcia pożyczki czy kredytu na cudze dane powinien być oczywistością.

      Jednak to nie znaczy, że nasze dane powinny fruwać bez zabezpieczeń “bo i tak nie można nimi nikogo skrzywdzić więc nie ma problemu”. Nie! Sama dostępność naszych danych dla osób niepowołanych to zło, zwłaszcza gdy dane zbiera państwo i to przymusowo.

  7. Ja jestem jak najbardziej chętny na tego “lajwa” 25 kwietnia!!!

  8. Zaciekawiła mnie część o emailach w przypadku jednoosobowych działalności. Mam taki przypadek, że dawno temu miałem działalność, którą zawiesiłem i zostala ona już wykreślona. Jako że w szkole niezbyt wiele mówią o interakcji z zusem, USem czy ogólnie zakładaniu dzialalności, to niestety miałem tam publicznie podanego emaila i nr telefonu nie wiedząc, że nie muszę tego podawać (to było daaaawno temu, miałem 22 lata i inne rzeczy w głowie niestety). Jako że wpis do ewidencji jest już wykreślony, trafiło to do archiwum i dopiero po 10 latach “zniknie”. Pani na infolinii powiedziała, że nie da się z tym nic zrobić, tylko czekać. Wie ktoś może co przepisy RODO mówią na takie przypadki?

    • Hmm z jednej strony “Prawo nie działa wstecz” z drugiej zaś RODO podobno chroni dane, które nie są publiczne (w skrócie tam wyżej dane firm). Fakty są takie jak Ravbc napisał, RODO póki co spowodowało, że ileś gier MMO się zwinęło bo nie mogli zrobić restrukturyzacji połączenia pod dyktando RODO “na wczoraj”, prawnicy mogą zacierać rączki na przyszłych “klientów” aka “uczciwych obywateli” aka “konfidentów” bo jakiś Kowalski “przetrzymuje dane” Nowaka wbrew woli czy inne chore scenariusze.
      W ramach “P.S.” polecam zapoznać się z E-Dowodem (Osobistym). Więcej “bezpieczeństwa” ;)

  9. Myślę, że w tym przypadku najlepszym rozwiązaniem było zastosować zasadę, jeśli nie mam pewności, wysyłam jako UDW. Ewidentnie niekompetencja pracownika i tyle.

  10. Marketing marketingiem ale to już zaczyna być jarmark, do tego pomarańczowego tła dajcie jeszcze czerwoną pogrubioną czcionke 20 i duże litery i najlepiej po 3 emotikony w każdym rzędzie.

  11. Musieli szybko się ogarnąć, bo ja dostałem do “undisclosed-recipients” ;)

    X.

  12. > tylko po prostu ktoś niefrasobliwy nie ukrył kopii maili i tyle.

    Taaaak, zakładasz, że p. Zosieńka, która nagle musiała wysłać emaila w ogóle wie co robi. No jak to – wpisujesz adres i wysyłasz więc jak 4000 osób to wklejasz 4000 adresów, nie?
    – Gosiu, a gdzie kliknąć, żeby to wysłać? Ja już się w tym gubię.

  13. Hint: Jeśli ktoś się boksuje z podpisem w ZUS PUE to niech nie traci czasu i podpisuje Profilem Zaufanym. Profil Zaufany jeśli się nie ma to można założyć przez konto w banku (np PKO BP, Millenium, mBank, Alior, ING … ).

  14. […] Więcej o “wpadkach” Zakładu Ubezpieczeń Społecznych przeczytacie w artykule Niebezpiecznika. […]

  15. Co do ZUSu dołożyłbym jeszcze jeden temat – Szafir za pomocą którego podpisuje się dokumenty jako księgowy firm wymaga STAREJ WERSJI JAVY – na nowej nie będzie działać! Na Chrome czy Firefox również nie działa, tylko Internet Explorer, najlepiej niezaktualizowany!
    Ostatnio miałem problem z PUE ZUS żeby wysłać dokumenty klienta w sprawie “Tarczy antykryzysowej” i co? Java wyrzuca błąd, że certyfikat strony jest niepewny. Zalecenia ZUS? Dodać stronę ZUS do białej listy Javy aby komunikat nie wyskakiwał… Także no, tak to wygląda.

    • A gdzieś w ogóle podpis kwalifikowany działa sensownie przez www? Od paru lat się z tym nie stykałem ale pamiętam że już koło 2015 roku trzeba było mieć nienajświeższą javę żeby działało. Dla mnie na takich stronach najgłupsze jest to że próbują od razu odpalać plugin i najczęściej nie ma możliwości żeby sobie w cywilizowany sposób pobrać xmla, podpisać i odesłać.

    • Jedyną słuszną przeglądarką www w ZUS jest właśnie IE. Instalacja innych nie wchodzi w rachubę.

  16. Czy można na taką wiadomość odpowiedzieć wszystkim i zrobić sobie reklamę?

    • można, najwyżej trafisz na RBL-e i bedzie ci odrzucalo normalne maile.

  17. ZUS zauważył problem i ponformował pracowników aby przy masowej wysyłce korzystali z UDW.

  18. […] A może wy doszukacie się jeszcze jakiegoś zastosowania tej wyroczni? Tak czy inaczej, osobom podlegającym kwarantannie radzimy podawać w różnych rządowych bazach osobne, dedykowane numery telefonów i dedykowane adresy e-mail. Patrząc jak państwo obraca tymi danymi, trzeba założyć, że one wyciekną, tak jak zresztą już niektóre z nich powyciekały. […]

  19. […] (tygo)dniach mieliśmy całkiem sporo wycieków danych. Cyfrowe, KSSIP, dostawca energii, a nawet ZUS. W przypadku Zippo, atakującym udało się pozyskać — poza danymi klientów — […]

  20. RODO to jedno, ale czy taki wyciek nie powinien też zainteresować UOKiK, w kontekście pierwszego K?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: