13:59
13/9/2017

Czy pamiętacie “wyciek” z bazy PESEL z sierpnia 2016 roku? GIODO właśnie ogłosił, że ten “wyciek” wykazał pewne braki w bezpieczeństwie danych Polaków. Nie dochodziło do pobierania danych przez osoby nieuprawnione, ale osoby uprawnione mogły mieć zbyt dużą swobodę w dostępie do danych.

O wspomnianym “wycieku” z bazy PESEL celowo piszemy używając cudzysłowu. Chyba nic nie wyciekło, ale Centralny Ośrodek Informatyki zorientował się, że pewne kancelarie komornicze masowo odpytywały bazę PESEL. Pojawiła się obawa, że dane mógł pobierać ktoś nieuprawniony, albo osoba uprawniona pobierała więcej danych niż to konieczne. Media początkowo trochę przesadziły z nadmuchaniem sprawy, ale… pewne fakty wyglądały naprawdę źle.

Ten “wyciek” sprawił, że wiele osób zaczęło odpytywać Ministerstwo Cyfryzacji o dostęp do ich danych w rejestrach państwowych. Na podstawie historii związanych z tymi zapytaniami można by napisać osobny, ciekawy artykuł.

Tymczasem historia samego wycieku ma swój dalszy ciąg. Sprawę zaczęła badać prokuratura i GIODO, a właśnie dziś GIODO ogłosił wynik swojej kontroli.

GIODO wytyka naruszenia Ministrowi

GIODO stwierdził, że Minister Cyfryzacji naruszył przepisy o ochronie danych osobowych jako administrator danych przetwarzanych w rejestrze PESEL.

Naruszenia miały polegać na:

  • braku procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych;
  • przyznawaniu jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych;
  • brakach w funkcjonalności aplikacji, za pośrednictwem której realizowany jest dostęp do rejestru PESEL (tzn. aplikacja powinna umożliwić wskazanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL);
  • niewdrożenie oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

GIODO zbadał sprawę przeprowadzając kontrole w kancelariach i izbach komorniczych. Okazało się, że choć dane z rejestru PESEL nie były pozyskiwane przez osoby nieuprawnione, to jednak były zbierane nadmiernie i bez uzasadnienia. Aby ustalić źródło problemów konieczna była także kontrola w Ministerstwie Cyfryzacji. Po tej kontroli GIODO doszedł do wniosku, że istnieje poważne zagrożenie dla bezpieczeństwa danych Polaków, gdyż możliwe jest masowe pozyskiwanie danych bez wskazywania uzasadnienia, czyli w sposób właściwie niekontrolowany.

GIODO informował ministra o problemach po raz pierwszy w marcu 2017 r. MC deklarowało usunięcie tych uchybień, ale zdaniem GIODO zaproponowane terminy były nie do przyjęcia. Dlatego wczoraj GIODO wydał decyzję, w której nakazał:

  • opracowanie i wdrożenie do 31 grudnia 2017 r. procedur postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych przetwarzanych w ramach rejestru PESEL,
  • zapewnienie do 30 września 2017 r., aby jednemu użytkownikowi nie mogła zostać wydana więcej niż jedna karta z certyfikatem umożliwiającym dostęp do rejestru PESEL za pomocą urządzeń teletransmisji danych,
  • modyfikację aplikacji dostępowej do rejestru PESEL do 31 marca 2018 r. w taki sposób, aby umożliwiała ona podanie uzasadnienia dla dokonywanego sprawdzenia danych w rejestrze PESEL,
  • wdrożenie do 31 grudnia 2017 r. oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników, którym przyznany został dostęp do rejestru PESEL.

Aktualizacja

Ministerstwo Cyfryzacji opublikowało swoje oświadczenie, w którym nazwało wnioski GIODO “nieprawdziwymi”. Co ciekawe, zdaniem ministerstwa to właśnie weryfikowanie celowości pobierania danych mogłoby rodzić obowiązek gromadzenia nadmiernej ilości danych.

W Ministerstwie Cyfryzacji nieustannie podejmowane są działania o charakterze analitycznym i wykonawczym, których celem jest podniesienie poziomu bezpieczeństwa w prowadzonych rejestrach publicznych (…) W prowadzonej z GIODO korespondencji wskazaliśmy, że w terminie do 31 sierpnia br. zostanie zaktualizowana Polityka Certyfikacji dla infrastruktury SRP v.2.1 oraz Polityka Certyfikacji dla operatorów SRP v.1.9. Działania takie zostały podjęte, a dokumenty zostały przyjęte w dniu 31 sierpnia br. i opublikowane na stronie internetowej Ministerstwa Cyfryzacji.

Należy też wskazać, że obowiązek podawania sygnatury prowadzonej sprawy (dotyczy głównie kancelarii komorniczych) w celu pozyskania danych z rejestru PESEL nie wynika wprost z przepisów prawa, nie ma zatem możliwości weryfikowania celowości pobierania danych na tej właśnie podstawie. Dodatkowo rodzi to obowiązek gromadzenia nadmiernej, w naszej ocenie, ilości danych. Nawet wprowadzenie takiego obowiązku w przepisach prawa nie daje też gwarancji prawidłowej weryfikacji celowości pobierania danych, ze względu na fakt, że Ministerstwo Cyfryzacji nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej właśnie konkretnej sprawie. Odpowiedzialność w tym zakresie ciąży więc na odbiorcy danych. Dodatkowo, takie rozwiązanie byłoby możliwe do zastosowania wyłącznie wobec podmiotów, które dostęp do danych zgromadzonych w rejestrze PESEL i RDO uzyskują za pośrednictwem aplikacji ŹRÓDŁO (aplikacji dostępowej do SRP). Rekomendowane przez Generalnego Inspektora rozwiązanie nie znajdzie zastosowania w przypadku, w którym podmiot uzyskuje dostęp do danych za pomocą swojego systemu teleinformatycznego. A taki dostęp mają np. kancelarie komornicze.

Uwzględniając rekomendację Generalnego Inspektora, kilka tygodni temu Centralnemu Ośrodkowi Informatyki zlecono jednak analizę możliwości technicznych wdrożenia zmiany w aplikacji ŹRÓDŁO polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury akt sprawy. Jednak zaplanowany na rok 2017 budżet dla SRP jak i wniosek o uruchomienie rezerwy celowej nie przewidywał finansowania tej modyfikacji aplikacji ŹRÓDŁO, jej realizacja będzie możliwa z rezerwy celowej zabezpieczonej na rok 2018. Dlatego planowany, realny termin wdrożenia zmiany może nastąpić w III kwartale 2018 roku.

Wypada jeszcze odnotować, że system PESEL nie zawsze był super-hiper bezpieczny. W roku 2013 ówczesne Ministerstwo Spraw Wewnętrznych rozbrajająco szczerze przyznało, że dane z tego systemu mogły po prostu wyparować, co byłoby o wiele gorszym scenariuszem.

Poza tym nie można zignorować faktu, że to właśnie Centralny Ośrodek Informatyki wykrył masowe pobieranie danych. W ogóle nie byłoby kontroli GIODO gdyby nie działania COI podległego Ministerstwu Cyfryzacji.

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. Nie powinno być dla nikogo tajemnicą, że samo istnienie bazy jest już zagrożeniem dla zwykłego obywatela. Taką bazę można ukraść tak, jak to się stało – osoby posiadające legalny dostęp zaczęły nadużywać prawa do korzystania z tego systemu i prawdopodobnie też wynosić z pracy wyniki zapytań do późniejszego użycia w celach prywatnych. Samo dodanie uzasadnienia też niczego nie wnosi. To jedynie utrudnienie, ale łatwe do obejścia. Można w nim napisać po prostu, że chodzi o weryfikację danych w celu wyeliminowania pomyłek w dokumentacji. I tak metodą copy-paste wracamy do stanu poprzedniego.
    Wydawanie danej kancelarii więcej niż jednej karty dostępu też nie jest problemem, ale jednemu użytkownikowi, tj. np. jednemu komornikowi już nie. Nie wiem w ogóle po co dano taką możliwość. Narzędzie do analizy logów systemowych było w takim systemie niezbędne od samego początku, choćby po to, żeby zapewnić administracji możliwość sprawowania jakiejkolwiek kontroli nad tą bazą.

    Niestety, procedura tradycyjnie polska. Najpierw robimy, potem myślimy, a na końcu dajemy znać, że była potrzeba.

    • Typowe polskie zachowanie, narzekać, narzekać i tylko narzekać …

    • czego przykładem jest pewien ‘Noname’, który narzeka na narzekanie, ale nic nowego, konstruktywnego nie wnosi, ani nie podejmuje dyskusji.

    • Narzędzie do analizy logów w systemie jest. Nie wiem czy ktokolwiek potrafi się nim posłużyć. Bali się też, że to narzędzie samo w sobie może agregować za dużo informacji (nie ma podstawy ustawowej do tworzenia zindeksowanego zbioru danych zalogowanych z rejestru PESEL).

    • Świetny komunikat. W nagłówku czytamy:
      “Podkreślamy, że (…) do rejestru nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione.”

      A w trzecim akapicie:
      “Ministerstwo Cyfryzacji nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej (…) sprawie”.

      Brawo MC :D

  2. Chciałbym się dowiedzieć, czy moje dane z bazy PESEL były pobierane przez kancelarie komornicze.
    Czy jest przewidziana jakaś procedura umożliwiająca uzyskanie odpowiedzi na takie zapytanie?

    • Tak – opisalismy ja w artykule, ktory jest tu przywolany.

  3. “choć dane z rejestru PESEL nie były pozyskiwane przez osoby nieuprawnione, to jednak były zbierane nadmiernie i bez uzasadnienia.”
    Czy to nie oznacza przypadkiem, że pobierano dane osób, których to danych pobrać się nie powinno? Bo skoro pobrano “nadmiernie” i “bez uzasadnienia” to wychodzi na to, że albo wielokrotnie pobierano dane tych samych osób, albo pobierano dane osób, których pobrać nigdy nie powinni…. a jeśli nie powinni to znaczy, że nie byli uprawnieni do ich pobrania. Bo tu mamy pewny lapsus – z jednej strony ktoś może być uprawniony do pobierania danych z bazy PESEL, ale to nie oznacza, że jest uprawniony do pobierania danych wszystkich i zawsze (i generalnie w tym widziano problem, gdy cała ta “afera” wypłynęła)…

    • Dokładnie. W dodatku jeśli taka kancelaria już je pobrała, to czy GIODO sprawdził jak były te dane po stronie kancelarii zabezpieczone? Środowisko prawnicze w Polsce jest raczej mocno na bakier z jakimikolwiek zabezpieczeniami, na co było już wiele przykładów.

  4. Ja tylko wpadłem powiedzieć, że spełniacie ważną misją poprzez pisanie o takich sprawach. Dzięki wielkie.

  5. Część tego to chyba jakiś żart albo trolling ze strony GIODO.

    Wpisywanie uzasadnienia dostępu do danych w każdym przypadku = paraliż pracy w urzędach. Już widzę jak przed okienkiem stoi matka z dzieckiem na ręku, i jak jej pracownik USC mówi by trochę uciszyła berbecia i jeszcze poczekała, bo musi wpisać elaborat dlaczego wyszukując jej rekordu na liście wyników zobaczył jeszcze piętnaście innych Kowalskich. Przecież i tak wszystkie czynności są logowane.

    Sprawa z komornikami to też nie wyszła “sama z siebie” tylko jak rozumiem to twórcy systemu zauważyli że w ramach legalnie realizowanego dostępu nagle zwiększyły się wolumeny pobrań, i powiadomili organy.

    • Pytanie dlaczego pracownik USC zobaczył tych 15 innych Kowalskich? Podanie PESELu jest powinno być jednoznaczne i generować pojedynczy rekord. Jeśli zaś pracownik USC rejestrując berbecia szuka jego rodziców po nazwisku to najwyraźniej robi to źle.

    • @Runaurufu berbeć nie ma jeszcze peselu. Co wtedy?

    • Jaja sobie robicie? Jak “berbeć” nie ma PESELu (bo przyszło się rejestrować urodzenie), to w USC rodziców się po tym numerze szuka, a nie wpisuje się nazwisko, by zyskać dane to miliona Kowalskich i drugiego tyle Nowaków. Po to przecież utrzymano ten relikt komunizmu.

    • W ciągu 14 dni od urodzenia berbecia musi mieć wydany akt urodzenia wraz z przydziałem numeru PESEL. W tym czasie najczęściej leży jeszcze na porodówce z mamą albo robi w pieluchę.

  6. Nie wiem skąd u was taki łagodzący ton tego “wycieku”. Jeśli uprawniony podmiot pozyskiwał dane, których faktycznie nie potrzebował do prowadzonych postępować, to nie był już podmiotem uprawnionym. Co się działo dalej z tymi pozyskanymi danymi? Sprzedawano je? Prokuratura już rok bada i zbadać nie może.A dane poszły w świat, bo nie wierzę, że kancelarie pozyskiwały niepotrzebne dane i nic dalej z nimi nie robiły.

    • Łagodzący ton, bo pani ministra czyta Niebezpiecznika i tak w ogóle to zawsze była ta dobra i co złego to nie ona.

    • Prokuratura powinna zając się tą sprawą, ale od strony osób pobierających dane. Skoro komornicy mają dostęp do bazy PESEL to oznacza, że zapewne jest umocowanie prawne. Wątpię natomiast, żeby w ustawie był zapis “Komornik może zrealizować xx zapytań dziennie”. Z tych dwóch faktów wynika, że MC nie ma prawnej możliwości ograniczania dostępu do bazy dla osób uprawnionych.

  7. Wiem ze to nie na temat ale gdzie jak nie tutaj – czy ktos sie orientuje jak dzialaja te szajki spamerow ktore chwile po zalozeniu nowej firmy jednoosobowej wysylaja listy zachecajace do dopisywania sie do roznych baz itp? Zgaduja NIP? Czy CEIDIG ma po API spis NOWYCH firm? Bo to ze sie da odpytac to wiem..

    Ogolnie uwazam ze dane jednoosobwych przedsiebiorstw nie sa wystarczajaco chronione..

    • Kiedyś można było w wyszukiwarce na CEIDG wyszukiwać z zakresem dat założenia.
      Potem możliwość tę usunięto, ale przez pewien czas wyłączenie polegało na głębokim ukryciu pól poprzez ujęciem fragmentu strony w komentarz. Po usunięciu tego oznaczenia (w przeglądarce) pola wracały i działały.
      Teraz pól tych nie ma już w widoku, ale nie zdziwiłbym się, gdyby nadal działały. Niestety, nie mam ich nazwy aby sprawdzić.

    • Wystarczy robić crawling całej bazy i samodzielnie robić diffy. Ot – nowe spółki.

  8. Niestety coraz częściej dane chronione są najbardziej… przed tym kogo dotyczą. Śmiechu warte jest, że byle “sprzedawca garnków” czy “wylosowaliśmy pana” ma więcej danych i nic sobie nie robi z ustaw o ochronie danych osobowych Dodatkowo wdraża się gniota RODO nakładającego niebotyczne kary na podmioty które ustawę o ochronie danych osobowych przestrzegały a jakoś zapomina się o tych “spamerach rejestrowych” i komórkowych naciągaczach. Jak zwykle prawo jak elektryczny pastuch: wąż się prześlizgnie, tygrys przeskoczy a zwykła spokojna krowa dostanie prądem…

    • O ile pamietam, w RODO ów problem rozwiązano. Jeżeli firma wejdzie w posiadanie danych osobowych w sposób nieuprawniony, to z automatu staje się administratorem tych danych, (poprzez sam fakt ich posiadania). A w związku z tym musi być w stanie udowodnić, że danymi przetwarza zgodnie z zapisami rozporządzenia – ma określone obowiązki. A skoro ich nie dopełnia ( a jest bardzo wysokie prawdopodobieństwo, że tego nie robi prawidłowo) to można na nią nakładać kary.

    • @Czarek – wszystko fajnie dopóki mówisz o faktycznie działających firmach. Ale większość tego procederu realizowana jest przez osoby mające pełną świadomość tego, że działają wbrew prawu. Zatrudniasz na słuchawce studenta, w instrukcji ma napisane, że dzwoni w imieniu firmy XYZ z siedzibą na ulicy takiej i śmakiej, ale taka firma nie istnieje. Umowę ma z firmą typu call center, która działa na oprogramowaniu klienta, a klientem jest spółka założona na słupa, albo w ogóle fikcyjny podmiot (spółka call center udaje głupa, że nie wiedziała). RODO uderzy tylko i wyłącznie w legalnie działające podmioty, które popełnią błąd. Owszem – często te błędy wynikają z zaniedbań i wtedy kary są uzasadnione. Ale na sprzedawców garnków, kocy, bezpłatne badania lekarskie połączone z prezentacją maści na szczury – na to już nie zadziała.

  9. Wyszukiwać można nie tylko po nr-ze PESEL, taka jest idea wyszukiwarki, żeby dało się znaleźć osobę. W tym np. jeśli nie ma przy sobie dokumentów (bo zgubione/ukradli), a numerów nie pamięta, bo nie ma obowiązku.

  10. Jak zdefiniować pojęcie “urządzenia teletransmisji danych”?

  11. ciąg dalszy jest oczywisty. Bolszewicy zlikwidują GIODO i zwiększą inwigilację. Zresztą już teraz inwigilacja trwa na niespotykaną dotąd skalę, kto ma znajomych w polskich telekomach to wie co się dzieje.

    • Coś bliżej możesz powiedzieć?

  12. “dane z rejestru PESEL nie były pozyskiwane przez osoby nieuprawnione, to jednak były zbierane nadmiernie i bez uzasadnienia”

    Coś mi to sprawdzanie przez GIODO wygląda na wybiórcze, pozwalające tylko na stwierdzenie, że były wypadki nadmiernego i bez uzasadnienia pobierania danych przez komorników. Z tego wynika, że wystarczy być “osobą uprawnioną” i można pobierać dane każdej osoby z bazy PESEL i w ten sposób zbudować sobie nawet własną kopię bazy PESEL. Wygląda na to, że nie sprawdzono ile w zgłoszonym okresie, było pobieranych danych bez uzasadnienia, bez związku z jakąkolwiek sprawą prowadzoną przez kancelarie komornicze. Najwyraźniej odpuszczono tę sprawę kompletnie i nie będzie żadnych konsekwencji prawnych czy chociażby zgłoszeń do prokuratury o zbadanie, w jakim celu pobierano nadmiarowe dane, w jakim celu je wykorzystywano, co się dalej z tymi danymi działo, komu je przekazywano itp, itd. No ale za to mamy małą przepychankę między urzędami :(

  13. Rzecz w tym, że kancelaria pobiera dane na podstawie numeru PESEL, a PESEL ten jest wskazany na wniosku czy wyroku. Skoro więc posiada dostęp do numeru PESEL i musi ustalić, gdzie dłużnik mieszka, albo jak na imie mają jego rodzice co jest potrzebne do sprawdzenia ksiąg wieczystych to gdzie tu nadużycie? Cała rzecz rozbiła się o to, że wprowadzono dostęp do API gdzie z aplikacji dostępnych dla komorników, można odpytać o wielu dłużników na raz i zapytania te uwierzytelnione są certyfikatem wystawionym przez MC. Szybkość odpytywania SRP o PESELe dłużników wprowadziło zamęt, bo każdy komornik mający dostęp do PESELNET weryfikował swoich dłużników w poszukiwaniu dodatkowych informacji – bo to, że 70% z nich jest nieuchwytna to pewnie osobom, które nie znają tego środowiska ucieka. Pytanie, czy gdyby ktoś z Was stał się wierzycielem to chciałby, by ustalono wszelkie dane o dłużniku czy jednak lepiej wysłać mu jakieś pismo, a kiedy ten się nie zgłosi to sprawę się umorzy i finito?

    Istnieją w Polsce kancelarie, posiadające setki tysięcy spraw i jeśli taka kancelaria sprawdziła sobie choćby 10% swoich dłużników to na serwerze MC zrobiła się całkiem niezła autostrada – i to dotyczyło pierwszego rozdmuchania sprawy.

    • Rzecz w tym, że obecnie nijak nie można skontrolować tego, czy odpytali tylko o “swoich” dłużników, czy też przy okazji o dane osób postronnych. Np po to, żeby komuś takie dane sprzedać. Wśród 10 tysięcy zapytań łatwo ukryć 50 lipnych. W Polsce do danych z PESEL ma dostęp tyle różnych osób, że dziwne jest, że jeszcze nei da się kupić jej kopii w każdym kiosku.

    • @matja, Wszystko super, wszystko fajnie tylko przy masowym odpytaniu SRP o PESEL przez komorników ten PESEL już dawno znajduje się w ich bazie danych – skoro jest PESEL to musi być i wyrok – nie widzę tu więc nieuprawnionego działania.

      Jedynie skala odpytań może budzić wątpliwości – ale to jak mówiłem miało miejsce po udostępnieniu komornikom opcji API do SRP.

  14. Trzeba spojżeć prawdzie w oczy, dane PESEL to dane publicznie dostępne. Wnioskuje to z tego, żę dostęp do tych danych ma NIEOKREŚLONA liczba osób. Gdyby ktoś mnie spytał kto ma dostęp do moich danych to powiedziałbym, że tysiące zupełnie mi obcych osób. Banki, urzędy, przychodnie, szkoły itp. Płynna, ciągle zmieniająca się masa ludzi, którzy przychodzą do pracy, otrzymują dostęp, następnie odchodzą, a na ich miejsce przychodzą inni.

  15. Coś mi to sprawdzanie przez GIODO wygląda na wybiórcze, pozwalające tylko na stwierdzenie, że były wypadki nadmiernego i bez uzasadnienia pobierania danych przez firmy pożyczkowe lub inne służby.

  16. A mi się wydaje że to już kiedyś było. Tzn. masowe rzekome odpytywanie bazy (nie pamiętam czy PESEL) rzekomo przez komorników. Celowo piszę “rzekomo” bo obecnie nie pamiętam, ale takie mam wrażenie więc są ku temu mocne przesłanki. Także czytając tytuł i sam art odniosłem wrażenie jakby dejavu (nie wiem czemu FF nie zna tego słowa)…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: