9:38
23/2/2024

Incydent w BNP Paribas GSC pokazał spory problem z systemem ZUS

Autor: Marcin Maj | Tagi:  

Ten problem nie dotyczy tylko BNP Paribas GSC. To sprawa, z której powinni zdać sobie sprawę wszyscy pracodawcy, zarówno duże firmy, osoby prowadzące JDG (Jednoosobową Działalność Gospodarczą), jak również wszyscy “zwykli pracownicy“, którzy niekoniecznie muszą wiedzieć, że ich dane są na platformie PUE-ZUS.

Na czym polega problem?

Jeśli Wasz pracodawca nadał któremuś z pracowników dostęp do PUE-ZUS (co jest dość popularną praktyką), a potem zwolnił tę osobę (lub ta osoba sama się zwolniła), to jest spora szansa, że zapomniano tej osobie odebrać uprawnienia w PUE-ZUS. To oznacza, że ta osoba wciąż ma dostęp do Waszych danych i — o czym nie wszyscy wiedzą — w niektórych przypadkach także danych członków Waszych rodzin (!).

Co gorsza, nawet jeśli firma zorientuje się, że na liście “uprawnionych” do PUE-ZUS ma kogoś, kto już w firmie nie pracuje i będzie chciała się dowiedzieć, czy ta osoba “podglądała to czego nie powinna”, to ZUS nie udzieli firmie odpowiedzi w tym zakresie. ZUS nie posiada logów, które są w stanie stwiedzić, czy konkretne logowanie nieuprawnionego ex-pracownika było “prywatne” czy “służbowe” (czyli, co ktoś przeglądał na platformie PUE).

Jenym słowem, mamy w Polsce poważny problem RODO… A dokładniej, wiele firm i pracowników go ma, ale część z Was dowie się o nim dopiero z tego artykułu.

BNP Paribas GSC informuje pracowników o incydencie

Ale zacznijmy od początku. A dokładniej, początku lutego, bo wtedy dowiedzieliśmy się od pewnej osoby, że w firmie BNP Paribas GSC miał miejsce incydent ochrony danych dotyczący pracowników. Tu wyjaśnijmy, że nie chodzi o bank BNP Paribas, ale o BNP Paribas Group Service Center, czyli spółkę grupy BNP Paribas, która świadczy m.in. usługę wynajmu długoterminowego urządzeń.

Incydent polegał na tym, że byłemu pracownikowi spółki nie odwołano skutecznie dostępu do PUE ZUS. Okres, w którym ten pracownik mógł mieć dostęp do danych to 1 stycznia — 25 sierpnia 2023.

Inne istotne fakty:

  • spółka powiadomiła UODO o incydencie 15 września 2023 r.,
  • spółka zwróciła się do ZUS z prośbą o ustalenie, czy były pracownik mógł wykorzystać swój nieodwołany dostęp w celu obejrzenia lub pobrania danych pracowników,
  • w grudniu 2023 spółka dowiedziała się, że ZUS nie ma możliwości sprawdzenia co wyświetlał w PUE-ZUS pracownik spółki.

Przypomnijmy tutaj, że w PUE ZUS znajdują się takie dane pracowników jak:

  • imiona i nazwiska,
  • adresy (zamieszkania i zameldowania),
  • numery PESEL,
  • numery dokumentów,
  • informacje o zwolnieniach lekarskich,
  • informacje o członkach rodziny zgłoszonych do ubezpiecznia.

BNP Paribas GSC poinformowała pracowników o tym incydencie dopiero na początku roku 2024. Warto jednak podkreślić, że wcześniej firma starała się ocenić ryzyko naruszenia. Nie było pewne, czy były pracownik nadużył nieskutecznie odwołanego dostępu. Tak przynajmniej wywnioskowaliśmy z informacji o incydencie, jaka dotarła do pracowników. Oczywiście chcieliśmy dowiedzieć się czegoś więcej.

❌ Księgowość, kadry i IT — te działy powinny regularnie usuwać nie tylko uprawnienia “ex-pracowników”. W różnych firmowych systemach czai się wiele tzw. danych toksycznych. O tym jak sobie poradzić z kwestią retencji i “usuwania danych, które powinny być usunięte” oraz jakie problemy mogą wyniknąć z ich nieusunięcia — w tym temacie polecamy nagranie świetnego wykładu mecenasa Michała Kluski. Na hasło PUE możecie uzyskać dostęp do tego nagrania z 50% zniżką. Kod jest ważny tylko do końca dnia, ale bez obaw, na zapoznanie się z materiałem będziecie mieli 30 dni, więc na pewno zdążycie. Tu ✅ bezpośredni link do koszyka.

Nie wyciek, a “potencjalny dostęp”

Z prośbą o skomentowanie sprawy zwróciliśmy do BNP Paribas GSC. Odpowiedzi udzielił nam Maciej Kawecki, dyrektor finansowy.

Tu wyjaśnijmy, że nie chodzi o tego dra Macieja Kaweckiego, który niegdyś pracował w GIODO i był współodpowiedzialny za reformę ochrony danych, ale o Macieja Kaweckiego z BNP Paribas GSC, której to spółki nie powinniście mylić z bankiem BPN Paribas. ZUS jest jednak w tej historii tym ZUS-em, o którym myślicie, a konto w PUE-ZUS, nawet jeśli tego nie wiecie, możecie mieć. Proste, nie? :)

Maciej Kawecki potwierdził w oświadczeniu dla naszej redakcji, że opisany incydent był bardziej “nieodwołanym dostępem” niż “wyciekiem”:

Przedmiotem zawiadomienia do PUODO było naruszenie ochrony danych osobowych polegające na potencjalnym dostępie byłego pracownika BNP Paribas GSC S.A. do danych osobowych innych pracowników BNP Paribas GSC S.A. w wyniku opóźnienia w odwołaniu pełnomocnictwa w ZUS dla tego byłego pracownika BNP Paribas GSC S.A., co skutkowało pozostawieniem aktywnego dostępu do danych w PUE-ZUS, co do których pracownik wcześniej miał dostęp na mocy upoważnienia. Spółka nie ma podstaw by twierdzić, że doszło do jakiegokolwiek wycieku danych osobowych pracowników BNP Paribas GSC S.A., ani by były pracownik faktycznie miał dostęp do tych danych (…)
Nie zauważono żadnych niepokojących sytuacji mogących świadczyć o tym, że dane pracowników mogły zostać wykorzystane.

Skoro nie ma podstaw to dlaczego jednak poinformowano pracowników? I dlaczego w rozesłanych do nich ostrzeżeniach wspomniano o możliwości podjęcia pewnych działań ochronnych? Jak wyjaśnił Maciej Kawecki, potencjalne ryzyko zidentyfikowano w sierpniu 2023r. Wtedy spółka zwróciła się z prośbą o informację do ZUS. W tym czasie UODO już wiedział o incydencie, ale:

  • Dopiero w grudniu 2023 r. BNP Paribas GSC S.A. otrzymała odpowiedź, w której ZUS poinformował o datach logowań byłego pracownika na jego profilu ZUS-PUE, jednak również o braku możliwości ustalenia, czy i jakie dane były przez niego przeglądane
  • Ze względu na rodzaj danych przetwarzanych w ZUS-PUE ryzyko naruszenia praw i wolności dla podmiotów danych zostało ocenione jako wysokie.
  • Co ważne, spółka otrzymała od UODO pismo informujące, że w wyniku analizy zawiadomienia w ocenie PUODO BPN Paribas GSC S.A. wdrożyła adekwatne środki bezpieczeństwa i środki zaradcze oraz podjęła działania mające na celu zminimalizowanie negatywnych skutków naruszenia i ryzyka jego ponownego wystąpienia.

I tu dochodzimy do senda problemu.

Poważne braki w PUE i ZUS

Powtórzmy jeszcze raz — ZUS przekazał spółce informacje o logowaniach byłego pracownika, ale nie był w stanie stwierdzić, co ten pracownik widział (bo ZUS tego nie wie).

Czy sam fakt logowania się pracownika do PUE ZUS nie świadczy o wycieku danych? Nie, ponieważ w systemach ZUS-u nie ma czegoś takiego jak “konto pracownika”. Jest prywatny profil, który dostaje upoważnienie do danych pracodawcy. Równie dobrze, ta osoba mogła się logować w swoich prywatnych sprawach i jest niejeden powód aby to robiła.

Teoretycznie ZUS wie kiedy ktoś się logował, ale nie wie co robił na koncie. ZUS-PUE nie ma czegoś, co można by nazwać odpowiednim “audit logiem”. I to, w kontekście tego, jak ta platforma jest wykorzystywana, jest dość zaskakujące, żeby nie powiedzieć, smutne.


W tym miejscu spółkę BNP Paribas GSC można nawet pochwalić. Incydent został zgłoszony, wykryty, zbadany. Ostatecznie powiadomiono też pracowników. Sytuacja trochę podobna jak kiedyś opisany u nas incydent w Twisto. Firma założyła, że ryzyko istniało i wolała poinformować, że coś ryzykownego mogło się wydarzyć, choć w podobnych sytuacjach wiele innych firm powiedziałoby, że skoro nie ma dowodu nadużycia to ryzyko jest niskie.

Przerażające w tej historii są trzy kwestie.

  1. To, że ZUS potrzebował kilku miesięcy, aby przekazać wykaz logowań.
  2. To, że ZUS nie ma wystarczająco precyzyjnych logów dla dość istotnej z punktu widzenia prywatności funkcji
  3. I wreszcie to, że pewnie wielu z Was pracuje w firmach, gdzie nikt po zwolnieniu pracownika (lub ustaniu stosunku pracy) nie odebrał mu dostępu do firmowego konta PUE-ZUS. I ta osoba wciąż widzi dane Wasze, Waszych kolegów i Waszych rodzin.

No cóż, kontakty z ZUS-em to nigdy nie są “szybkie akcje”, ale też i rozwijana przez nich platforma do najprostszych nie należy. Sami kiedyś zgłaszaliśmy do ZUS naprawdę poważne dziury i wolno to szło. Ba! Zdarzało nam się zgłaszać dziury jeszcze poważniejsze niż te poważne (też związane z rolami i uprawnieniami na platformie) i też na samą zapowiedź ich łatania czekaliśmy miesiącami.

Czy możemy liczyć na to, że Zakład Ubezpieczeń Społecznych poprawi architekturę systemu np. dodając pełniejsze logowanie zdarzeń związanych z przeglądaniem danych, do których uzyskało się upoważnienie, czyli w zasadzie coś, co powinno być dostępne do automatycznego pobrania za jednym kliknięciem na koncie każdego pracodawcy? Już zwróciliśmy się do ZUS z pytaniami i cierpliwie czekamy, ale ewentualne zmiany raczej nie będą szybkie. Mamy jednak nadzieję, że odpowiedź dostaniemy przed wakacjami. Tego roku ;)

Co robić, jak żyć?

Do tego czasu, upewnijcie się, że na liście upoważnionych na PUE-ZUS nie ma ex-pracowników, a jak są, to ich usuńcie i zgłoście incydent do UODO oraz poinformujcie pracowników. Upewnijcie się też, że inne z danych, które trzeba skasować/zanonimizować macie pokasowane z firmowych zasobów lub poanonimizowane. A jak nie wiecie co trzeba regularnie kasować, to przypominamy instrukcje autorstwa Michała Kluski i kod PUE, który jest ważny do końca dnia i da Wam na te instrukcje 50% zniżkę. Prześlijcie ją do Waszych księgowych, kadrowych, dyrektorów IT i oczywiście prawników, zwłaszcza tych od RODO.

Aktualizacja 26.02.2024 8:36

Rzecznik ZUS Paweł Żebrowski przesłał nam oświadczenie następującej treści.

Zgodnie z obowiązującymi przepisami uprawnienia do logowania się do PUE-ZUS dla pracownika nadawane są przez pracodawcę. Pracodawca może również cofnąć pełnomocnictwo byłemu pracownikowi wypełniając specjalny formularz. ZUS nie weryfikuje danych o zwolnieniu pracownika. Podkreślenia wymaga, że ZUS jest w stanie ustalić czy osoba loguje się na swoim koncie ubezpieczonego (co może być traktowane jako dostęp w celu prywatnym), a kiedy logowanie następuje na profilu pracodawcy, do którego obsługi posiada pełnomocnictwo (dostęp w celu służbowym). To na pracodawcy jednak ciąży ciężar odwołania pełnomocnictwa i poinformowania o tym ZUS. W sytuacji zaniechania realizacji tego obowiązku przez pracodawcę nie można mówić o wycieku danych z ZUS. Możliwość nieuprawnionego dostępu do danych jest w takim przypadku wyłącznym efektem postępowania pracodawcy. Zakład Ubezpieczeń Społecznych będzie pracował z przedsiębiorcami, aby usprawnić proces administracji PUE-ZUS.

Czyli sytuacja wymaga dalszego wyjaśnienia. Dlaczego firmie BNP Paribas GSC odpowiedziano, że ZUS nie ma możliwości sprawdzenia co widział pracownik? Możliwości są trzy:

  1. Jedna ze stron mówi nieprawdę (ZUS albo spółka),
  2. doszło do jakiegoś nieporozumienia, albo…
  3. …ZUS wie kto i co widział, ale nie powie bo to na pracodawcy ciąży zarządzanie tym wszystkim.

O ile w 100% można się zgodzić, że to pracodawca ma zarządzać uprawnieniami to nadal uważamy, że powinien istnieć jakiś audit log do ustalenia kto co widział. Przesłaliśmy dodatkowe pytania rzecznikowi ZUS i czekamy na odpowiedzi.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

44 komentarzy

Dodaj komentarz
  1. MK 2024.02.23 10:15 | # | Reply

    No to będzie kara. Tak jak Santander. Ilość takich przypadków zamiecionych pod dywan jest ogromna. https://uodo.gov.pl/decyzje/DKN.5131.33.2021

  2. Piotr 2024.02.23 10:32 | # | Reply

    Myślę, że dotyczy to praktycznie każdej firmie w Polsce która kiedykolwiek zmieniła kadrową lub księgowość. BNP zamiast dostawać karę powinien dostać nagrodę za poważne podejście do tematu a nie karę.

    Karę to powinien dostać ZUS, który nie daje możliwości łatwego odwoływania tego typu pełnomocnictw, tylko wymaga składania oddzielnego formularza od każdego odwołania każdej osoby dla każdego płatnika, co przy konieczności odpięcia jednej osoby od kilku podmiotów (albo kilkudziesięciu) jest mega trudne a ZUS odmawia odpięcia masowo.

  3. janko 2024.02.23 10:37 | # | Reply

    Głupie pytanie: nie mogli zapytać tego pracownika czy podglądał? xD Wyobrażam sobie że u nas w firmie by tak było – Pani Gosia odchodzi na emeryturkę, mamy wątpliwości to dzwonimy do niej, wołamy na kawkę, przedstawiamy sytuację i wypytujemy xD To tak pół-żartem pół-serio ;)
    A tak serio to imo problem ze wszelkimi zmianami w systemach IT sfery budżetowej jest taki: albo decydujesz się zrobić system wykorzystując swoje zasoby (sprzętowe, osobowe itp.) – często gorsze ale dostępne na już albo zlecasz przetarg na każdą pierdołę, co drugi leży w KIO przez 2 lata i zmiany wprowadzasz po 4-5 latach od pomysłu…

    • stukot 2024.02.25 03:27 | # |

      @janko

      Mogliby zapytać, ale to nie zmienia sytuacji prawnie, jedynie dokłada jakiś parametr do oceny ryzyka. W małej firmie w której i tak wszyscy się znają, oraz jest nie bardzo prawdopodobne, że incydent zostanie wykryty,moglibyście pewnie zaryzykować uwierzenie Pani Gosi (przy czymnie mówię, że powinniście), ale w banku to nie byłby dobry pomysł.
      A systemu współczesnego o wysokiej dostępności dla potencjalnych setek tysięcy czy milionów użytkowników na sprzęcie którym na dany moment dysponuje Twoja instytucja w dzisiejszych czasach nie zrobisz. Po prostu. Musisz pozyskać zasoby z zewnątrz. Jako Zamawiający natomiast możesz wyspecyfikować przedmiot przetargu tak, by był to sensowny system i abyś miał możliwość wprowadzania zmian. Albo tak, by wygrał kto ma wygrać.

    • WkurzonyBialyMis90210 2024.03.08 00:14 | # |

      Nie jestem prawnikiem, ale: pracownik generalnie byl uprawniony wczesniej (spelnial kryteria dostepu) czyli gdyby spelnil je teraz w sposob obejmujacy wczesniejszy okres (np. zaswiadczeniej o niekaralnosci bo potwierdza ono stan obecny i stan z przeszlosci, zwlaszcza w polaczeniu z wczesniejszym zaswiadczeniem (zeby wzias pod uwage teoretycznie mozliwa sytuacje odzyskania statusu osoby niekaranej)) to nie mozna by go zwyczajnie wstecznie autoryzowac?

  4. Jan 2024.02.23 11:08 | # | Reply

    W sumie tu jest jeszcze jedno ciekawe pytanie, czyli:
    Na jakiej podstawie ZUS udostępnił jakiejś firmie historię prywatnych logowań do profilu jakiegoś człowieka? Bo skoro sam ZUS nie może określić, czy logowanie było służbowe, czy prywatne to z jakiej racji wysyła wszystko do byłego pracodawcy?
    Naruszenie prywatności było pewnie małe, ale wszystkie wątki tej sprawy pokazują, że ZUS absolutnie nie ma pojęcia jak obsługiwać takie incydenty. I IMHO to jest o wiele straszniejsze niż brak audit logów, bo to oznacza problemy na stopniu organizacyjnym, a nie czysto techniczne “przeoczenie”.

    • sulo 2024.02.26 00:46 | # |

      +1
      Faktycznie! Albo to niefortunnie napisane zdanie (bo może jednak ZUS wydał tą informację UODO, a nie Paribasowi?), albo ZUS do ukarania :)

    • stukot 2024.02.26 09:30 | # |

      U źródła jest przede wszystkim wadliwa logicznie architektura systemu, nie rozróżniająca czy logujemy się w imieniu płatnika czy w imieniu ubezpieczanego czyli swoim.

    • Observer 2024.02.27 10:17 | # |

      Przecież o 8:30 była aktualizacja, gdzie rzecznik ZUS twierdzi, że mają oddzielnę zapisy ostatnich logowań do profilu prywatnego jak i płatnika. Czyli najpewniej Paribas wie, że ten pracownik logował się do danych pracowników firmy po tym jak już stracił pracę.

  5. Piotr 2024.02.23 11:14 | # | Reply

    I najlepsze, że logowanie do ZUS dalej nie ma 2FA i później ktoś logując się do ZUS danymi kadrowej z automatu ma dostęp do wszystkich danych…

    I nawet jeśli ktoś chce logować się tylko przez profil zaufany to i tak nie da się wyłączyć logowania przez hasło :(

    Już nawet bank Millennium zapowiedział, że wprowadza weryfikację dwuetapową przy logowaniu. Kiedy w końcu ZUS to ogarnie ? Przecież tam jest masa danych.

    Obecnie w ZUS nie mamy żadnej możliwości się zabezpieczyć, bo nawet jeśli my ustawimy silne, unikalne hasło do ZUS, to ktoś może zalogować się na konto kadrowej i i tak będzie miał dostęp do naszych danych.
    Czy to na prawdę aż taki duży problem wdrożyć 2FA ? Przecież nie muszą startować od U2F czy autoryzacji w aplikacji, na początek już kody SMS / E-mail byłby super [oczywiście są to najgorsze możliwe opcje 2FA, ale i tak 100 razy lepsze niż całkowity brak dwuetapowego logowania]

    Generalnie to wszystkie strony wyświetlające nasze dane typu pesel, nr dowodu powinny mieć 2FA, jak już nie do logowania to chociaż ochronę przed wyświetleniem tych danych. A niestety jest masa miejsc, gdzie pesel czy nr dowodu widać normalnie, bez żadnej dodatkowej autoryzacji. Później mamy takie dziwne sytuacje, że w niektórych bankach trzeba podać login + hasło + zatwierdzić logowanie + zatwierdzić operację wyświetlenia danych, a w innym miejscu wszystkie dane wyświetlają się po wpisaniu loginu i hasła bez żadnych dodatkowych weryfikacji :(

    • pm1 2024.02.24 21:28 | # |

      Ale po co w banku Millenium 2fa przy logowaniu? Przecież logowanie jest w pełni bezpieczne, bo oprócz hasła trzeba podać cyfry z PESEL-u.

    • janko 2024.02.26 11:39 | # |

      Czy logowanie za pomocą podpisu kwalifikowanego nie spełnia roli 2fa? – trzeba mieć fizycznie token/kartę/apkę w przypadku podpisów chmurowych + trzeba znać do tego pin. Pytam całkiem poważnie – czy logowanie podpisem kwalifikowanym jest traktowane jako two-factor authentication ?

  6. Mariusz 2024.02.23 11:50 | # | Reply

    Te z Banku co zapomniał odebrać uprawnienia i ten z ZUSu co odpisał po pół roku, powinni dołączyć do grona bezrobotnych jak ten co miał dostęp.
    Tak w praktyce wygląda bezpieczeństwo Twoich danych jak je oddasz korporacją i państwu.

  7. sss3 2024.02.23 12:00 | # | Reply

    Czy człowiek w momencie odejścia z pracy zmienia się w potwora? No bo jak inaczej wytłumaczyć fakt, że gdy ma dostęp będąc pracownikiem to wszystko jest super, a gdy ten sam człowiek ma dostęp dzień później to jest strasznym zagrożeniem?
    Oczywiście, że dostęp powinien być odebrany ale ryzyko jest podobne niezależnie czy jest pracownikiem czy już nie. Przecież jeśli jest złym człowiekiem to równie dobrze może źle wykorzystać dane przed końcem pracy, albo skopiować w trakcie pracy i wykorzystać później.

    • stukot 2024.02.25 03:55 | # |

      @ss3

      Proponuję ćwiczenie myślowe: załóżmy że rozwodzisz się z żoną lub mężem. Po co odbierać jej / jemu pełnomocnictwo do konta bankowego? Przecież dzień po rozwodzie nie zmieni się nagle w potwora, a skoro jej / jemu ufałeś przed rozwodem, to niemożliwe by później stała / stał się zagrożeniem.

      A i przed rozwiązaniem relacji formalnie łączącej dwie strony, dobrze jest logować działania. W przypadku pełnomocnictwa do konta bankowego widzisz operacje wykonywane przez pełnomocnika, można pobrać “logi”- dzienniki zdarzeń (czyli wyciągi) itd. W przypadku opisanym w artykule, że dajesz komuś pełnomocnictwo do konta Twojej firmy na portalu zusu, nie ma dzienników zdarzeń, czyli nie wiesz co zrobił przy Twojej domniemanej akceptacji pełnomocnik upoważniony przez Ciebie do działania w imieniu Twojej firmy. Uprzedzając pytanie, tak, technicznie jest możliwe by takie dzienniki zdarzeń istniały. Normalne firmy mają systemy rejestrowania zdarzeń dostępu do danych, pobrania danych itp. Z artykułu wynika, że zus tego nie ma. Co za amatorszczyzna.

    • sulo 2024.02.26 00:43 | # |

      To samo chciałem napisać, ale przecież zdarzają się dyscyplinarki.

  8. Jaś 2024.02.23 12:25 | # | Reply

    Ja rozumiem, że ktoś kto pracował i już nie pracuje nie powinien mieć dostępu, ale bez przesady żeby robić z tego powodu taka aferę.
    Na dobrą sprawę jeśli takiemu pracownikowi będzie zależało na uzycie tych danych do niecnych celów to nie będzie czekał aż przestanie być pracownikiem aby wtedy ściągnąć te dane. Po prostu ściągnie sobie wszystkie dane będąc jeszcze pracownikiem, poczeka do zwolnienia i wtedy ściągnięte dane wykorzysta.

    Posty takim podejściu może jeszcze zmuszajmy pracowników podczas zwolnienia do wglądu do prywatnego telefonu aby usunąć wszystkie numery telefonów współpracowników żeby ich gdzieś nie sprzedał przypadkiem.

    • Janek 2024.02.23 16:51 | # |

      Odchodziłem w piątek z firmy i kazałem w poniedziałek o 8 zmienić koleżance hasło. O 10 zadzwoniłem z nowej firmy i ją zrąbałem, że jeszcze tego nie zrobiła.

  10. Leszek 2024.02.23 13:06 | # | Reply

    Mam wątpliwość odnośnie fragmentu: “upewnijcie się, że na liście upoważnionych na PUE-ZUS nie ma ex-pracowników”. Jak to zrobić? Jako osoba z dostępem chciałem to zrobić ale nie ma takiej opcji. Mogę tylko zobaczyć listę firm, do których ja mam dostęp – to widać na zrzucie ekranu w tym artykule. Może mam zbyt małe uprawnienia ? Zadzwoniłem na infolinię ZUSu i pan mi wyjaśnił, ze muszę złożyć wniosek POG. Tak zrobiłem ale odpowiedź będzie w ciągu miesiąca.

    • Michał 2024.02.26 09:13 | # |

      Jakaś konkretna forma tego POG? Wysyłałeś pismo przez PUE ZUS czy w formie tradycyjnej korespondencji do ZUS? Odpowiedź będzie poprzez PUE czy listownie?

    • Leszek 2024.02.27 09:33 | # |

      Udało mi się sprawdzić kto ma dostęp do PUE jednej z firm, które obsługuję. Zrobiłem tak: Loguję się na PUE, wybieram odpowiedniego płatnika -> Usługi -> Katalog usług -> w polu “Lista usług” wpisuję “POG” i klikam “Filtruj” -> Zaznaczam “Złożenie dokumentu POG” i klikam przejdź do usługi -> Potwierdzam OK -> Wybieram “WNIOSEK” i nadaję jakiś tytuł, na stronie 2 pisze o co chodzi, klikam “Zapisz” i “Zamknij” -> “Wyślij”. Odpowiedź dostałem po kilku dniach.

    • LeszekR 2024.02.29 10:18 | # |

      Ja na profilu płatnika wszedłem w ustawienia zakładka role i upoważnienia i widzę osoby które mają upoważnienie do mojego zusu.

  11. 123 2024.02.23 15:31 | # | Reply

    Nie do końca widzę sens robienia afery.

    Pracownik upoważniony w ZUS może przecież przeglądać te dane zarówno ze służbowego jak i z domowego komputera, bo dane logowanie są takie same. Jeśli do tej pory ufano, że pracownik nie będzie po powrocie z pracy kradł danych to nie widzę powodu, by nagle miał zacząć to robić po odejściu z jakiejś firmy.

    • stukot 2024.02.26 09:24 | # |

      @123

      Jeśli nie widzisz problemu w tym, że były pracownik ma po rozwiązaniu umowy formalnej z daną firmą możliwość dalszego dokonywania zmian w jej imieniu wobec zus, w tym wobec osób które zostały zatrudnione już po jego odejściu (a mogą być ich setki), to masz małe doświadczenie lub małą wyobraźnię. Jak cokolwiek zrobi, nawet przez pomyłkę, firma która nie odwołała mu pełnomocnictwa ponosi za to pełną odpowiedzialność prawną.

  12. Jan 2024.02.23 16:11 | # | Reply

    Z PUE jest tego więcej.
    Nie da się sprawdzić kto ma aktualne pełnomocnictwo do działania w imieniu podmiotu (np. spółki). Trzeba wysłać pismo i potem po tygodniu lub dwóch przychodzi skan pisma z odpowiedzią, w której jest powiedziane, że to Kowalski, Nowak i Malinowski.

  13. Janek 2024.02.23 16:48 | # | Reply

    Czego oczekiwać od HR Managera, który bierze tylko 20000 miesięcznie na rękę.
    Karta obiegowa rodem z lat 90 odziedziczona po matce lub cioci, która była kadrową. Kto by tam dopisał nową pozycję odnośnie dostępów. Może za 25000 netto, to i owszem.

  14. ZUSowicz 2024.02.23 19:34 | # | Reply

    Ze strony ZUS – Pomoc do portalu PUE
    ==============================
    Okno Role i upoważnienia zawiera listę ról nadanych użytkownikowi, posiadane i udostępnione upoważnienia.
    (…)
    – udzielone upoważnienia – w tej sekcji wyświetlana jest lista wszystkich upoważnień, które użytkownik nadał innym podmiotom

    Źródło:
    https://www.zus.pl/portal/pomoc/

    • Jan 2024.02.23 23:36 | # |

      “– udzielone upoważnienia – w tej sekcji wyświetlana jest lista wszystkich upoważnień, które użytkownik nadał innym podmiotom ”

      Błędna informacja.

      Logujesz się do PUE i tam możesz mieć wiele ról. Np. Jan Kowalski jest płatnikiem, bo reprezentuje spółkę. Problem w tym, że niezależnie od tego jaką rolę/profil Jan wybierze w PUE, to udzielone upoważnienia odnoszą się zawsze do człowieka Jana Kowalskiego, a nie do płatnika, czyli podmiotu który reprezentuje.

  15. nusch 2024.02.23 22:35 | # | Reply

    IMHO w systemie ktory mam ~ ‘zaprojektuj i zbuduj’ ZUS powinien byc maglowany wyłacznie za sposob wydawania publicznych pieniedzy i brak srogich kar umownych za braki w bezpieczenstwie dla wykonawcow swoich systemow. A na poziomie technicznym powinnien sie tłumaczyc rak polskiego IT – firma Asseco. Dopoki bedzie rozmyta odpowiedzialnosc nic w IT w sektorze publicznym nie pójdzie w dobra strone.

  16. Michał 2024.02.25 20:56 | # | Reply

    Problem znany i stary jak świat.. tylko że nikt się do tej pory z tym tematem nie wychylał…

  17. sulo 2024.02.26 00:47 | # | Reply

    Co powiecie na systemy, w których kilka Bożenek i Grażynek w kadrach/płacach ma jedno, wspólne ogólnofirmowe konto?

    Kiedyś się dziwiłem, że niektóre systemy wysyłają token na maila. Ale to jest jednak dobra metoda! Brak dostępu do służbowego maila = brak dostępu do konta.

    • stukot 2024.02.26 09:45 | # |

      @sulo

      Każdy system, w którym nie da się jednoznacznie ustalić kto dokonał danej zmiany, zapisu, pobrania danych itp, stwarza ryzyko prawne dla firmy w której jest wykorzystywany. Gdy nie da się ustalić autora danej operacji, odpowiada firma jako podmiot prawny.

  18. Michał 2024.02.26 11:49 | # | Reply

    Jako praktyk kadr/płac/ZUS PUE powiem tak.
    Poza przypadkiem, że zwalniamy osobę od kadr/płac dyscyplinarnie to nie jest to sytuacja następująca z dnia na dzień.
    Zwykle miesiąc albo 3 miesiące okresu wypowiedzenia to czas wystarczający aby powiadomić ZUS o odwołaniu pełnomocnictwa dla kadrowca (nawiasem mówiąc w dokumencie odwołującym dostęp do PUE pracodawcy jest możliwość wskazania od kiedy ma być zabrany dostęp). Co więcej pracownicy kadr mają jeszcze upoważnienia/dostęp do innych platform/narzędzi zewnętrznych. Otwarta jest kwestia portali pracodawców w zakresie PPK/US/benefitów pracowniczych/itp. i czasu odwołania dostępu dla byłego kadrowca dla tych narzędzi.
    Tu zdecydowanie kara należy się dla podmiotu dla spółki z grupy BNP, że są nie ogarnięci w kwestii podstawowych narzędzi pracy i ochrony danych.
    Ciekawe czy tak samo nonszalancko pozostawiają dostęp dla odchodzących programistów/adminów ?

    Może i ZUS nie ma logów działań pracowników, ale nie ma kwitu o odwołaniu pełnomocnictwa. Jedynie ZUS mógłby zapytać o takiego pełnomocnika w momencie wyrejestrowania takiego człowieka z zatrudnienia, ale to chyba za daleko by szło i zajęło by w ZUSie kilka lat na wdrożeniea.

  19. Bart 2024.02.27 22:08 | # | Reply

    Jak pracownik, który odszedł i najprawdopodobniej oddał laptopa firmy na którym miał VPN zeby móc korzystać z systemów firmy, może z prywatnego sprzętu mieć dostęp do swojego firmowego konta na którym, (pewnie w AD) ma przypisane grupy które dają access do tych danych? Może mi to ktoś wytłumaczyć?

    • Przemek 2024.03.02 20:34 | # |

      Ponieważ logował się do konta w ZUSie – czyli kompletenie zewnętrznego systemu.

  20. AuditLog 2024.02.28 16:56 | # | Reply

    Haha. Tak się właśnie tworzy usługi publiczne. Nie jest istotne co kto widział i co kto skopiował. Bo wywiad gospodarczy w US to pracownicy US. Taka to jest “transparentna” informatyzacja. A ile można na tym zarobić pozapracowo…
    Tak NIE POWINNY wyglądać usługi publiczne. Walić karami proszę!

  21. Ktos 2024.02.28 16:59 | # | Reply

    Życzyłbym sobie byście z takim zaparciem pisali o wtopach Comarch (CVEs) ale jakoś Wam się nie chce pisać?

    • Piotr Konieczny 2024.02.29 10:49 | # |

      Możesz zawsze napisać sam i podesłać nam tekst do publikacji. Z chęcią wrzucimy.

  22. Leszek 2024.02.29 10:26 | # | Reply

    W zakładce ustawienia —> Zdarzenia biznesowe jest podgląd operacji wykonanych przez konkretnego operatora. Niestety widzę że dotyczy to tylko bieżącego miesiąca na moim koncie. Opcja ta jest zarówno na ubezpieczonym jak i płatniku.

  23. Przemek 2024.03.02 20:35 | # | Reply

    No dobra, ale ponieważ to był były pracownik to na jakiej podstawie udzielono informacji że logował się do ZUS? Może się mylę ale logował się swoim kontem gdzie tylko miał dodaną możliwość podglądu danych no ale przecież aktualnie to konto tam mamy chyba już wszyscy automatycznie i są one w sumie prywatne?

  24. Alfons 2024.03.15 09:23 | # | Reply

    Dziwaczny ten tekst.
    Ktoś głupkowato zakłada, że niebezpieczny jest dostęp do danych przez BYŁEGO pracownika.
    A gdy ten sam osobnik pracował w firmie to było bezpiecznie. Kpina z rozumu.

    A problemem jest nie tylko niepełny mechanizm archiwizacji logów w ZUS (to zawsze byłą gów***na instytucja) ale cały mechanizm udostępniania danych i pracownikom ZUS, i pracownikom firm.

  25. najgorszyhipster 2024.03.18 13:13 | # | Reply

    jako ex kadrowiec mogę powiedzieć, że w jednej firmie miałam dostęp do danych pracowników przez ok 6 msc od czasu zakończenia mojej umowy (umowa na czas określony)- branża bankowość i ubezpieczenia.
    Druga firma gigant IT, międzynarodowe korpo- 18 mscy od czasu kiedy się zwolniłam.

    Ah i tak- mogłam sama sobie usunąć takie uprawnienie, wiem.

  26. Tomasz 2024.04.05 14:22 | # | Reply

    Z racji biura rachunkowego w którym działam jako wspólnik – zainspirowany Waszym, artykułem dokonałem przeglądu upoważnień które ja mam udzielone od firm. Jest ponad 100 podmiotów byłych klientów którzy nie zdjęli nam pełnomocnictwa. Aby samemu się odwołać musiałbym wejść na profil klienta do którego danych nie powinienem mieć już dostępu i wypełnić sam sobie PEL-O. Tak więc poszło pismo do ZUS z prośbą o wyłączenie dostępu do firm z załączonej listy i zobaczymy co teraz zrobią…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: