23/8/2023
Adresy i PESELe klientów Getin Banku figurują w aktach postępowania upadłościowego, do których dostęp może uzyskać każdy, przez internet. Czy to jest zgodne z prawem? Najwyraźniej tak, ale nie zmienia faktu, że naszym zdaniem jest to bardzo poważny problem dla prywatności tysięcy ludzi a odpowiedzialne za system ministerstwo chyba nie bardzo wie co z tym zrobić…
Zgłoś wierzytelność i… pobierz dane tysięcy ludzi
Pewnie słyszeliście o upadłości Getin Noble Banku. Ze względu na trwające postępowanie upadłościowe, nagle dużego znaczenia nabrała jedna usługa Ministerstwa Sprawiedliwości — zgłaszanie wierzytelności przez Krajowy Rejestr Zadłużonych.
Ten kto w piątek 18 sierpnia wszedł na stronę KRZ (krz.ms.gov.pl) mógł na górze zobaczyć czerwony pasek z ostrzeżeniem o problemach wydajnościowych. Był też link do przygotowanej naprędce instrukcji wideo mówiącej o procedurze zgłaszania wierzytelności. Mało popularny dotychczas KRZ nagle zaczął być tłumnie odwiedzany.
Ze wspomnianej już instrukcji wideo wynikało, że jeśli wypełni się odpowiedni wniosek i się go wyśle, to:
- dołączy się do postępowania oraz…
- automatycznie (!!!) otrzyma się dostęp do akt sprawy
Problem w tym, że w dostępnych elektronicznie aktach sprawy znajdują się dane pozostałych osób uczestniczących w postępowaniu, w tym adresy zamieszania i PESEL-e. Już samo udostępnianie danych tak wielu osób w taki sposób budzi poważne zastrzeżenia, ale jest jeszcze jeden problem. Zgłoszenia może dokonać każdy i może to zrobić pismem niewywołującym skutków prawnych, a mimo to dostanie dostęp do danych.
Sprawdziliśmy…
Problem z KRZ od kilku dni zgłaszają nam różni Czytelnicy. Aby zweryfikować, czy ich panika i strach o swoje dane są uzasadnione, skorzystaliśmy z formularza KRZ do zgłaszania wierzytelności. Wypełniliśmy go bzdurnymi danymi, wysłaliśmy wniosek bez podpisu i bez opłaty. Takie pismo nie wywoła skutków prawnych, natomiast wywołało ono jeden skutek techniczny. Otrzymaliśmy dostęp do akt sprawy! Automatycznie. Ot tak!
Wygląda na to, że dostęp do danych uczestników postępowania odbywa się bez żadnej weryfikacji. Wystarczy zapoznać się z dostępną dokumentacją, aby znaleźć dane osobowe tysięcy wierzycieli Getin Banku.
Lista PESELi, nazwisk i miejscowości (w kolumnie “Miejsce zamieszkania”) wygląda wystarczająco strasznie. Ale to nie wszystko, bo można również pozyskać ich dokładne adresy zamieszkania.
Nie przeglądaliśmy tych danych bardziej niż było to konieczne do stwierdzenia zgłaszanego nam problemu ale możemy potwierdzić, że gdy po raz pierwszy sprawdziliśmy jak to działa (w piątek 18 sierpnia) liczba uczestników postępowania przekraczała 17 tys. We wtorek 22 sierpnia liczba uczestników była już prawie dwukrotnie większa, więc teoretycznie można podejrzeć dane ponad 30 000 osób.
Dodajmy, że to jest coś więcej niż 30 tys. nazwisk, peseli i adresów. W niektórych metryczkach widzieliśmy numer telefonów. Według jednego z czytelników można się też dogrzebać numeru dokumentu tożsamości i informacji o nieruchomości której dotyczy kredyt. A ponieważ podane adresy prawdopodobnie są powiązane z tym kredytem, to stosując techniki OSINT-u da się połączyć te dane z innymi informacjami o ludziach. Każde masowe udostępnienie danych o ludziach wykracza poza swój podstawowy zakres.
Co więcej, ponieważ to są dane ludzi będących w przeszłości klientami konkretnego banku, więc wchodzi w grę tajemnica bankowa …i ryzyko bardzo ukierunkowanych ataków phishingowych.
Czy to na pewno błąd?
Rozumiemy, że zgodnie z prawem, uczestnicy postępowania upadłościowego mogą mieć dostęp do ww. danych, ale naszym zdaniem KRZ raczej nie powinien udzielać automatycznego dostępu do akt postępowania po wysłaniu dowolnegom wniosku każdemu, bez weryfikacji, bez podpisu. Aby zalogować się do systemu trzeba co prawda skorzystać z dostępu przez Profil Zaufany, ale taki profil można nielegalnie pozyskać.
Wydaje się więc, że byłoby lepiej gdyby dostęp do postępowania Getin Banku w KRZ był jakkolwiek ograniczany, choć faktycznie przy takiej skali jest to nie lada wyzwanie dla administratorów systemu.
Zakładając najgorsze, ktoś może po prostu pobrać dane wierzycieli na masową skalę. Mamy więc nadzieję, że Ministerstwo na bieżąco analizuje logi pod kątem takich nadużyć i zareaguje jeśli dojdzie do scrapingu. Pytanie, czy reagowanie na wyraźne nadużycia to w tym przypadku najlepsza strategia? No i co z regułą “privacy by design”?
Kolejne pytanie, to czy w ogóle udostępnianie wszystkich danych uczestników w systemie elektronicznym jest potrzebne? O ile jest dla nas jasne, że w związku z postępowaniem upadłościowym może istnieć prawna możliwość (albo nawet konieczność) przekazywania uczestnikom różnych informacji, to problemem wciąż jest to, że aktualnie ktoś wcale nie musi być wierzycielem w tym postępowaniu, aby uzyskać dostęp do mnóstwa danych osobowych.
Domyślamy się też, dlaczego system mógł zostać zaprojektowany tak, a nie inaczej. KRZ jest stosunkowo młodym systemem, a w jego historii chyba jeszcze nie mieliśmy wydarzenia takiego kalibru jak upadłość Getin Banku. Ktoś mógł czegoś po prostu nie przewidzieć…
Sprawę zgłosiliśmy, ale nic się nie zmieniło
18 sierpnia w godzinach porannych zgłosiliśmy sprawę do Ministerstwa Sprawiedliwości i UODO. Do wtorku (22 sierpnia) nie zobaczyliśmy żadnej reakcji ze strony obu instytucji. Drogami nieoficjalnymi dawaliśmy znać osobom, które “mają odpowiednie dojścia”. Te osoby obiecały pomóc w zwróceniu uwagi na problem.
We wtorek postanowiliśmy zadzwonić i do Ministerstwa Sprawiedliwości i do UODO. Od MS usłyszeliśmy, że owszem — problem jest już znany, ktoś nad tym pracuje i “była dyskusja na ten temat”, ale poza tym nie otrzymaliśmy oficjalnego stanowiska “co dalej?”. UODO obiecał odpisać na wiadomość i faktycznie otrzymaliśmy następujące oświadczenie:
W odpowiedzi na Pana e-mail informuję, że UODO przyjrzy się zasygnalizowanej przez Pana sprawie niejako automatycznego przyznawania każdemu zgłaszającemu statusu strony postępowania, co skutkuje dostępem do akt. O ewentualnych dalszych działaniach poinformujemy, jeżeli zostaną podjęte.
Jednocześnie informuję, że UODO zgłaszał uwagi do projektowanych rozwiązań dotyczących informatyzacji funkcjonowania KRZ – zarówno do ustawy o Krajowym Rejestrze Zadłużonych, jak i aktów wykonawczych do jej przepisów. Za każdym razem UODO przedstawiał swoje obawy co do konstrukcji prawnej przyjętej w ustawie z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych, zgodnie z którą zamieszczone w Krajowym Rejestrze Zadłużonych numery PESEL podlegają upublicznieniu, są zatem jawne i publicznie dostępne. Organ zwracał uwagę, że ta jawność i publiczna dostępność numerów PESEL w Krajowym Rejestrze Zadłużonych nie tylko nie daje się pogodzić z – statuowaną w art. 87 RODO – zasadą, by przetwarzanie „krajowego numeru identyfikacyjnego” (jakim jest numer PESEL) odbywało się z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, lecz – przede wszystkim – rodzi poważne zagrożenia dla osób, których numer PESEL zostanie za pośrednictwem Krajowego Rejestru Zadłużonych upubliczniony.
W swoich uwagach UODO wskazał na zagrożenia, jakie mogą spowodować takie rozwiązania. Organ alarmował wówczas, że osoba, której numer PESEL zostanie upubliczniony za pośrednictwem KRZ, zostaje de facto pozbawiona prawa do usunięcia danych „prawa do bycia zapomnianym” (art. 17 RODO), także po wygaśnięciu lub spłacie wierzytelności, która była podstawą ujawnienia informacji o niej w Krajowym Rejestru Zadłużonych. Ze względu na specyfikę sieci Internet raz zamieszczony w niej numer PESEL będzie w niej dostępny przez czas nieograniczony, przy jedynie iluzorycznej możliwości jego trwałego usunięcia. Tym samym osoba, której ta dana osobowa dotyczy, przez czas nieokreślony ponosić będzie ryzyko nieuprawnionego profilowania i przetwarzania jej danych niezgodnie z pierwotnym celem ich zebrania.
Nie wiemy czy będą jeszcze jakieś reakcje ze strony UODO, natomiast odpowiedź urzędu pokazuje dlaczego problem z KRZ nie będzie łatwy do usunięcia.
Wygląda na to, że cała ta sytuacja nie wynika z błędu, usterki czy ataku. Po prostu system Ministerstwa Sprawiedliwości został tak zaprojektowany i działa najwyraźniej zgodnie z prawem. Przypomina nam to trochę sytuację, w której prokuratura rozesłała (też zgodnie z prawem) dane osobowe wszystkich podejrzanych wszystkim podejrzanym (Wysłała pocztę bez BCC, została pozwana, policja ustaliła dane osobowe poszkodowanych, sąd ją ukarał a prokuratura ujawniła wszystkim dane wszystkich.).
Pytanie, czy takie działanie zgodnie z prawem może być jednocześnie działaniem niezgodnym z RODO? No cóż. W końcu nikt nie zabrania tworzyć ustaw niezgodnych z RODO ;) Chociaż wydaje się, że jakieś konsultacje w sprawie KRZ były, to wygląda na to, że najwyraźniej stanowisko UODO nie zawsze musi być brane pod uwagę.
Jestem klientem Getin Banku — co robić, jak żyć?
Wychodzi na to, że najlepszą strategią dla wierzycieli Getin Banku mogłoby być rozważenie opóźnienia zgłoszenia wierzytelności do KRZ. Przynajmniej do czasu, kiedy obecny proces nie zostanie “uszczelniony”, chociaż na dobrą sprawę nie jesteśmy pewni, czy Ministerstwo Sprawiedliwości może “ograniczać” (a jeśli tak, to jak) dostęp do KRZ.
Równie dobrze takie “utrudnianie” może okazać się być niezgodnym z prawem ograniczaniem …praw obywatelskich. Podobny problem ostatnio obserwowaliśmy podczas udostępnienia nowej wersji mObywatela. Aplikacja przestała działać, bo za dużo osób ją zainstalowało jednocześnie, ale nie można było ograniczyć propagacji aplikacji (poprzez tzw. “rolling updates”) bo — jak tłumaczyło Ministerstwo Cyfryzacji — interpretacja przepisów mówiła, że dostęp wszyscy muszą otrzymać w tej samej chwili…
Trzeba też pamiętać, że wierzytelność powinna być zgłoszona do 30 dni po ogłoszeniu upadłości. Teoretycznie można zgłaszać wierzytelność po tym terminie, ale rodzi to dodatkowe niepożądane konsekwencje. Dlatego nasza rada ma sporą wadę.
Wygląda na to, że KRZ to kolejny przykład na to, że prawo nie nadążą za technologią…
Ta sprawa jest bardzo ciekawa z wielu powodów, dlatego — jeśli otrzymamy oficjalne stanowisko Ministerstwa Sprawiedliwości co do KRZ lub zauważymy zmianę w sposobie działania tego systemu, będziemy aktualizowali ten artykuł. Na razie mimo wszystko sugerujemy wstrzymać się ze zgłoszeniem wierzytelności. Może jednak ktoś KRZ uszczelni. Choć jeśli będzie to wymagać zmiany przepisów, czarno to widzimy…
CyberAlert
W związku z zakresem danych, skalą wydarzenia oraz niezbyt oczywistego na pierwszy rzut oka dla wierzyciela zagrożenia zdecydowaliśmy się przygotować w tej sprawie alert do użytkowników naszej darmowej apki CyberAlerty. Niebawem zostanie on rozesłany.
Jeśli chcesz za darmo otrzymywać ostrzeżenia o atakach zagrażających danym i pieniądzom Polaków wprost na swojego smartfona, zainstaluj naszą aplikację na Androida lub iPhona. Aplikacja nie wymaga rejestracji i aktualnie nasze alerty otrzymuje prawie 200 000 Polaków.
Aktualizacja 24.08.2023 8:27
Ministerstwo Sprawiedliwości: “KRZ nic nie zmienił”
Ministerstwo Sprawiedliwości wczoraj wieczorem przesłało do naszej redakcji następujące oświadczenie.
W związku z pytaniami mediów o rzekome nieprawidłowości w dostępie do danych wierzycieli upadłego Getin Noble Banku, Ministerstwo Sprawiedliwości informuje, że informacje gromadzone w Krajowym Rejestrze Zadłużonych są w pełni bezpieczne i przetwarzane zgodnie z obowiązującym prawem.
Wgląd do akt postępowania upadłościowego, zgodnie z Kodeksem postępowania cywilnego i Prawem upadłościowym, mają wszyscy jego uczestnicy. Wynika to z zasady wewnętrznej jawności postępowania cywilnego, która gwarantuje uczestnikom postępowania równe prawa.
Przepisy regulujące dostęp do akt postępowań upadłościowych obowiązują bez zmian od 2003 roku. A więc były takie same za poprzednich ministrów sprawiedliwości, jak też w poprzednim „papierowym” systemie obsługi tych postępowań w sądach.
Funkcjonujący od 2021 r. Krajowy Rejestr Zadłużonych, będący teleinformatycznym systemem obsługującym postępowania sądowe, nic w tym zakresie nie zmienił.
Ministerstwo Sprawiedliwości podkreśla przy tym, że każda osoba, która w sposób nieuprawniony, np. poprzez fałszywe zgłoszenie wierzytelności, wejdzie w bezprawne posiadanie danych, podlega odpowiedzialności karnej. Takie przypadki, będą zgłaszane przez syndyka do prokuratury. Analogicznie jak w postępowaniach prowadzonych w okresie sprzed KRZ, gdy zawiadamianie prokuratury o tego typu nadużyciach należało do sądów.
Podsumowując, udostępnienie systemu KRZ niczego nie zmieniło, a jedynie przeniosło funkcjonowanie obsługi postępowań upadłościowych do sieci. Więc niestety, tak jak sugerowaliśmy, to narażające na utratę prywatności wierzycieli funkcjonowanie systemu jest …zgodne z prawem. Pozostaje mieć nadzieję, że ktoś jednak znajdzie jakiś “kurczek” prawny lub możliwość techniczną żeby dostępu do akt sprawy nie otrzymywano automatycznie, po wysłaniu wniosku niepodpisanego i z brakami formalnymi, który z zasady nie powinien wywołać żadnych skutków prawnych. Ale nawet jeśli ten problem zostanie rozwiązany to wciąż
wszyscy wierzyciele będą mieli dostęp do danych pozostałych wierzycieli
A to znaczy, że jeden z nich zgodnie z prawem może pobrać dane pozostałych i przekazać komuś, kto wykorzysta je do ataków, profilowania lub innych niecnych celów. Co więcej, takich pobierających wszystko (legalnie!) może być więcej, więc ciężko będzie ustalić, kto faktycznie jest winny wyciekowi danych wierzycieli.
Okiem adwokata: “To tylko część problemu”
Co gorsza, danych w KRZ jest więcej niż informowaliśmy początkowo. Poza PESEL-em i adresem znaleźć tam możne bardziej wrażliwe informacje. Z czego to wynika? Oddajmy głos adwokatowi Mateuszowi Stelmachow-Hawełce, który przesłał nam następującą wiadomość:
Szanowni Państwo, (…) chciałem wskazać, że pomijacie Państwo dużą część problemu. W branży prawniczej [ten problem] znamy od ponad roku, ponieważ efektownie uderzył podczas zgłoszeń wierzytelności upadłego IDEABANK. (…) [D]ane osobowe/PESEL/adresy to raptem część danych wrażliwych, która tam jest. Każdy ze zgłaszających – niezależnie czy działający przez pełnomocnika, czy sam – w części zgłoszenia (załączniki – dokumenty inne) umieszcza dokumenty potwierdzające istnienie wierzytelności. (…) Wielu zgłaszających załącza jednak dokumenty dodatkowe, takie jak cały pozew, cała umowa, wszystkie aneksy, cała korespondencja z bankiem. Tam oczywiście są wszystkie dokumenty związane z nieruchomością, hipoteką oraz kredytem. Wiele osób załącza pozew, odpowiedź na pozew lub inne dokumenty sądowe, a tam jest mnóstwo danych osób (także świadków), które nie są związane ze sprawą.
Szaleństwem jest jednak jak np. niektóre kancelarie, ale także sami klienci działający w KRZ bez pełnomocnika, bezwiednie skanują cały “pozew frankowy” z załącznikami. (…) Nie mówię o klientach działających bez pełnomocników, bo oni nie muszę wiedzieć, ale prawdopodobnie większość zawodowych pełnomocników także nie wie o tym, o czym Państwo piszecie. Widzę to po rozmowach ze starszymi adwokatami lub radcami, którzy, mimo podstawowych umiejętności pisania na komputerze, nie mają żadnych kwalifikacji do “spraw internetowych”. Myślę, że bez przesady można przewidywać, że zgłoszenia w ich kancelariach wysyła “sprytny” aplikant lub sekretarka, którzy “wrzucają do załączników” co się da, wedle zasady “żeby nie zabrakło”. Jest to bolączka wszelkiego rodzaju postępowań elektronicznych, gdzie pełnomocników – co do wielkości załączanych dokumentów – ogranicza tylko przyzwoitość (bo kompresja plików wszystko zniesie).
Wiemy to z postępowań, gdzie można przesyłać coś przez EPUAP i później ktoś tam załącza setki lub tysiące stron absolutnie zbędnych dokumentów. Koniec końców mnóstwo osób z całej puli (jak słusznie odnotowujecie blisko 30.000 zgłoszeń samego GETIN) nawet nie wie, że pełne dane o nich oraz ich rodzinach są właśnie “wyłożone na stół” dla każdego. Niektórym dane te wyłożyli pełnomocnicy (pośród nich tylko część świadomie), ale większość ze zgłaszających dokonała zgłoszeń osobiście (ujawniając swoje dane całkowicie nieświadomie).
Nie mam zamiaru brać w obronę systemu lub Ministerstwa, ale zauważam, że trudno ten problem rozwiązać, ponieważ wgląd do akt zgłoszeń wierzytelności powinien mieć każdy uczestnik postępowania upadłościowego. Wszak ja mogę – działając na rzecz moich klientów – oprotestować listę wierzytelności w kontekście zgłoszeń wierzytelności innych osób. System jednak nie przewidział, że będziemy mieli tak potężne upadłości, a tego nie przewidziano, że będzie się to rozgrywać elektronicznie. Dziwi mnie zresztą, że dopiero teraz ktoś się tym zajmuje, jeżeli – oczywiście mniejsza, ale także duża – upadłość IDEABANK sprzed roku już pokazała ten problem. Jakimś – nie wiem czy najlepszym, ale doraźnym – sposobem byłoby zablokowanie dostępu całkowicie nieweryfikowanego (takiego jakim Wy dostaliście się do bazy) poprzez wprowadzenie logowania wyłącznie przez PZ lub z podpisem kwalifikowanym, a dalej jakiś (?) system rejestrujący kto pobiera jakie dokumenty (na wypadek nieuprawnionego ujawnienia). Przy tym jasne pouczenia – które dziś są dosyć rozsiane po ustawach i mało czytelne nawet dla prawników – o odpowiedzialności za użycie pobranych danych niezgodnie z celem (postępowaniem upadłościowym). To oczywiście rozwiązanie fasadowe, mało praktyczne i bez rozwiązania problemu. Dzięki za zainteresowanie się problemem!
Skoro więc KRZ nie da się “ograniczyć” w zakresie dostępu dodanych, to być może dobrym pomysłem byłoby chociaż wyświetlenie ekranu (przed dodaniem wierzytelności) który wskazywałby, że wprowadzane dane będą widoczne dla pozostałych kilkudziesięciu tysięcy innych osób i że nie trzeba wgrywać do systemu skanów umów kredytowych i innych dokumentów, które nie są niezbędne. Być może to choć trochę zminimalizowałyby ryzyko, że nieuczciwy wierzyciel wyprowadzi z systemu cudze dane osobowe. Dane, które w sumie wcale nie musiały się tam znaleźć.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
W sumie można założyć, że ważne dane każdego z nas prędzej czy później wyciekną, i funkcjonować tak jakby już były publiczne, czy też łatwe do ustalenia.
Nie cieszy mnie to, ale dalsze łudzenie się że da się załatać durszlak, w którym ktoś równolegle nawierca kolejne dziury, jest mrzonkami.
To nie znaczy ze tego typu dane powinny byc powszechnie dostepne, bo to jest oddzielna kwestja od ich wykorzystywania w autoryzacji. Poniewaz, jesli te informacje beda dostepne publicznie, to pojawia sie nowe techniczne tajne w praktycze juz mniej (do tego w nieunikniony sposob cieknace) dane, nazwijmy je. RESEL wykorzystywane w tym samym celu i tak w kolko macieja.
Do tego przy zebraniu wystarczajacej ilosci tajnych danych ktore staly sie publiczne, powiedzmy PESEL, RESEL, SESEL, TESEL, UESEL, WESEL – zadna tajna, bo w tym scenariuszu tajny bylby XESEL, to i tak sama ilosc zacznie ulatwiac autoryzacje omijajaca numer XESEL i to bylby problem ktory tylko by sie poglebial az do jakiejs superdystopji…
Zgadzam się z tobą, że dane były lub będą upublicznione i należy żyć tak jakby były publiczne.
Ale z tego faktu nie wynika, że kolejne upublicznienie tych danych nie jest problemem. Czym innym jest to, że twoje dane może kiedyś wyciekły minął czas,. mogłeś zmienić/zastrzec dowód, miejsce zamieszkania itd
A czym innym jest bezmyślne udostępnianie danych bo już wyciekły albo i tak wyciekną… co sprawi że danuch nie bedziesz szukać pondziwnych stronach tylko prostymi wywzukiwaniami w google.
A ja nie mówię że nie jest problemem. Co więcej, moja praca polega w całkiem sporym stopniu na zapobieganiu tego typu zdarzeniom. Tyle że człowiek w takich momentach jak ten opisany w artykule zaczyna czuć pewną beznadziejność naszych wysiłków – skoro ustawodawca może po prostu zlewać ryzyko i konsekwencje jakie wynikają z ujawniania danych, skoro władza wykonawcza może sama upubliczniać dane do których otrzymuje dostęp tylko dzięki swojej pozycji dla uzyskania chwilowych korzyści politycznych, i tak dalej. Dążyć do ochrony danych, zarówno od strony technicznej jak prawnej trzeba, natomiast równolegle niestety warto pamiętać że realnie ta ochrona potrafi w niespodziewanych momentach zniknąć, więc przydają się kolejne warstwy zabezpieczeń i umiejętność radzenia sobie w warunkach ekspozycji danych których eksponowania nie chcielibyśmy.
Ps. To tak jak chirurg myjacy rece chociaz maja rekawiczki a pacjentowi podano antybiotyk. Pozbywanie sie czegokolwiek, dla wygody, jest zwyczajna glupota, nie zaleznie od tego ze stosowane oddzielnie nie maja supernadzwyczajnej skutecznosci. Przestepcy, tak samo jak mikroby podlegaja prawom statystyki, ograniczenie ujawnien peseli zwieksza bezpieczenstwo i bedzie to robic przy nowych metodach identyfikacji. Zwlaszcza ze pesel jest dana identyfikujaca polakow 1:1, kiedy te zupelnie publiczne juz teraz tego nie robia.
Upadłość Getin Banku ogłoszono 20 lipca, więc 30 dni na bezkosztowe zgłoszenie wierzytelności już minęło. Teraz zgłoszenie będzie kosztować odpowiednią opłatę.
Czytam sporo polskich blogów i site’ów i nie potrafię zrozumieć jak to możliwe, że przywiązuje się wagę do nieistotnych drobiazgów, a nie zwraca się uwagi na fundamentalne braki norm prawnych.
Żyję w kraju, gdzie imię, nazwisko, odpowiednik PESEL, adres, DOCHÓD roczny i posiadane nieruchomości są informacją publiczną, dostępną powszechnie również w masowych rejestrach. I co? I nic. Nie ma masowych wyłudzeń ani napadów. Są problemy z przestępczością, ale nic ponad to co jest w reszcie “starej” EU.
To nie dostępność PESEL nie jest problemem, a łatwość zaciągania zobowiązań w imieniu jego właściciela. Tak nie powinno być. To na kredytodawcy powinien ciążyć bezwzględny ciężar skutecznej weryfikacji tożsamości i udowodnienia wywiązania się z tego obowiązku. Zdumiewające jest, że nawet w TV opisywane są przypadki, gdzie bank domaga się zwrotu środków od ofiary, gdy jego własny pracownik został skazany za to właśnie wyłudzenie.
Sprzedaż fałszywych dowodów tożsamości powinna być traktowana jako ciężkie przestępstwo przeciw obrotowi gospodarczemu. A nie jest. Od notariuszy sporządzających akty, powinna być wymagana staranność w ocenie treści umów, tak by nie naruszały norm współżycia społecznego, którego definicję w sposób ciągły kształtuje orzecznictwo SN.
Fakt, że jakiś dziad pozna 5 cyferek i moje urodziny nie powinien narażać mnie na straty, tylko dlatego, że cała chmara świetnie opłacanych urzędników jest zbyt leniwa by należycie wykonywać swoją pracę.
Wreszcie jakieś systemowe rozwiązanie by się przydało od kilky lat wydawany jest super bezpieczny e-dowód czy ktoś Was w banku albo na poczcie weryfikował cyfrowo? Nie, bo osoby odpowiedzialne za dane osobowe mają to gdzieś :( za to wymyślane są nowe gadżety, przepalana kasa a dane jak wyciekają tak będą wyciekać.. ostatnio dane medyczne dostępne od ręki.. indolenci techniczni pilnują naszej tożsamości i taki efekt
Po prostu przestańmy traktować PESEL jako jakkolwiek niejawny. Dla dużej części społeczeństwa pesele są jawne. Są w KRS/Cedig. Są w księgach wieczystych. Te rejestry są by Design jawne. Na tym polega ich przydatność dla społeczeństwa.
Wszystkie akcje „chroń swoj pesel” powinny być wyrzucone do kosza. Pesel nie powinien dawać żadnych uprawnień (niczego nie autoryzować). Inna kwestia jest zastrzeganie różnych funkcji (wzięcia kredytu, podpisania umowy na jakiś abonament, rejestracji DG, założenia rachunku bankowego albo zgody na pobranie narządów, etc). Ale tam tez pesel jest tylko identyfikatorem. I te rejestry musza być publiczne.
Czyli jednym zdanie “nie mamy panskiego płaszcza i co nam pan zrobi”
Czyli jeżeli jeden z wierzycieli getinu, który widnieje w KRZ, zgłosi do PUODO, że jego dane osobowe w KRZ zostały upublicznione (doszło do naruszenia), to PUODO może coś zrobić bo jest to niezgodne z RODO? Czy nie może nic zrobić bo, co prawda niezgodne z RODO, ale zgodne z innymi przepisami?
W przypadku rejestrów państwowych powstałych i utrzymywanych z mocy ustawy wybranych przepisów RODO nie stosuje się, a dodatkowo ustawa przewiduje możliwość wyłączenia stosowania rozporządzenia w całości przy zapewnieniu innych środków ochrony (przykład: dane przetwarzane przez służby).
Jestem uczestnikiem tej farsy. To, że dane ciekną z KRZ było wiadomo od pierwszego dnia zgłaszania wierzytelności. Jednak mając świadomość istnienia upublicznionych danych w CEiDG w związku z prowadzeniem jednoosobowej dIałalności gospodarczej sram na to. Kredytu i tak nikt na mnie nie weźmie bo zła historia w BIK stała się moim zabezpieczeniem .
Tylko:
1) prawo krajowe nie może być sprzeczne z Rozporządzeniem RODO
2) UODO w swojej odpowiedzi wykazuje na ile była nieświadoma tego jakie dane mogą być udostępniane. PESEL to jest nic przy zakresie pozostałych danych tj. numer dowodu osobistego, adresy zamieszkania, adresy mejlowe, numery telefonów, całe umowy kredytowe, polisy ubezpieczeniowe….wzory podpisów…. Zostaje ścieżka odwoławcza do organów unijnych….
Idą wybory, komitety zbierają podpisy.
Obstawiam, że w tych wyborach będzie rekordowa ilość komitetów ogólnopolskich.
@WkurzonyBialyMis90210
Dlatego mogłaby być dostępna przykładowo możliwość zmiany PESELu. Aliasy adresowe. Pseudonimy. Minimalizacja strat. Ale nie będzie, bo władzom na rękę jest mieć nas wszystkich w każdym momencie na tacy z kompletem danych, a problemy jakie dla poszczególnych jednostek z tego wynikają są “ceną jaką gotowi są ponieść” ;-/
@stukot
Akurat takie rozwiązania jak zmiana peselu czy aliasy dla władz byłyby kompletnie transparentne, bo przecież musieliby centralnie przechowywać mapowanie aliasów albo log zmian PESELa. Akurat władze (rozumiane jako całość) faktycznie mają komplet Twoich danych osobowych i adresowych. Chodzi o ochronę przed dostępem innych podmiotów.
Ewentualnie w wersji utopijnej – o segregację danych między resortami. Bo o ile Skarbówkę interesuje metraż działki, od której płacę podatek, to już dla resortu edukacji to kompletnie nieistotne, bo wystarczy im wiedza, w której gminie mają znaleźć sie miejsca w podstawówce dla moich dzieci.
To byla by opcja gdyby nie wciskano na sile rozwiazan biometrycznych, a duza czesc obecnych informacji identyfikacyjnych nie byla by mocno powiazana z miejscanu, objektami i zdarzeniami.
Powinien byc jakis numer identyfikacyjny (tylko ze losowy) i tajne dane identyfikacyjne (skomplikowane “haslo”) zeby taka opcja miala rece i nogi, to tego jakies uslugi identyfikacyjne.
@Zwykx Mylisz sie. Edukacje bedzie interesowac metraz Twojej dzialki z racji jej wartosci i udziale w Twoich zasobach i mozliwosciach finansowych. To moze wplywac na to, gdzie Twoje dzieci beda mogly uczeszczac np. do publicznego przedszkola.
W każdym postępowaniu cywilnym jest dostęp do takich danych. Obawiam się, że nikt tego nie przewidział, gdyż normalnie sprawa byłaby pomiędzy bankiem a kredytobiorcą, którzy te dane, łącznie ze wzorem podpisu, i tak znają. W dodatku w normalnej sprawie wierzycielami są głównie firmy i ich dane sa I tak publicznie znane, dostęp dla uczestników postępowania nic nie zmienia. To pierwsze tak duże postępowanie – moim zdaniem zawinił brak wyobraźni.
Tak, ale kiedyś żeby dostać dostęp do akt trzeba było a) być stroną, b) fizycznie iść do sądu, pokazać dowód Pani urzędniczce, która sprawdzała czy to ty, c) podpisać się odręcznie na liście osób przeglądających akta,
Teraz wszystko lata publicznie w internecie, dostępne bez weryfikacji tożsamości. A wytłumaczenia Ministerstwa o ściganiu nieprawidłowych logowań po IP to żart, sądy i syndycy ledwo się wyrabiają z obsługą systemu KRZ (na wszystko czeka się miesiącami, sędziowie bardzo narzekają na obsługę systemu) i już widze jak ktoś palcem kiwnie żeby sobie dołożyć roboty.
do: xyz 2023.08.24 10:43
Nieprawda, że to działa bez żadnego sprawdzania tożsamości itp.
Proszę przeczytać jeszcze raz artykuł. Dostęp do KRZ wymaga zalogowania co najmniej Profilem Zaufanym, co wydaje się nawet większą weryfikacją niż urzędnik w czytelni sądowej, której można pokazać dowód, ale też niekiedy wystarczy karta wędkarska czy rowerowa (jak ktoś uprzejmie poprosi i wzbudza zaufanie).
To, że można Profile Zaufane kupić na “czarnym rynku” (jak i fałszywe dowody, nie mówiąc już o karach rowerowych i wędkarskich) – to już inna kwesta. Nie mniej nawet jeśli ktoś taki Profil Zaufany innej osoby by jakimś sposobem nabył “na czarno” – to myślę, że w innym celu niż poznanie PESELi kilkudziesięciu tysięcy klientów upadłego Getin’u.
Ale z artykulu wynika, ze wystarczy sie zalogowac jakimkolwiek profilem zaufanym, nie trzeba byc strona postepowania, i tu jest problem. To juz lepsza Pani urzednik.
Xyz 2023.08.24 18:58 | # |
Proszę przeczytać jeszcze raz – uważnie.
Nie wystarczy samo zalogowanie się do systemu (profilem zaufanym)!
Trzeba jeszcze złożyć pismo sądowe do tej konkretnej sprawy.
To, że pismo sądowe może być “lipne” (opisywać nieistniejące fakty, być nieopłacone itp.) – to już inna sprawa. Nie mniej – takie pismo trzeba złożyć i to imienne – ze swojego (czy też pozyskanego na “czarnym rynku”) profilu zaufanego.
@Adam – iI co z tego? Nawet jak bedziesz mial prawdziwy (wlasny) profil zaufania, nawet jak bedziesz prawdziwym wierzycielem, to i tak uzyskasz dostep do wspomnianych 30 tysiecy danych innych ludzi. Kopiujesz, puszczasz w siec i po temacie. Jak ii udowodnia, ze to ty akurat skopiowales i pusciles dalej, a nie dziesiatki innych, tez prawdziwych wierzycieli, ktorzy mieli dostep do tych samych danych i mogli zrobic to samo?
Do: Andy 2023.08.25 15:05 | # |
Nie idźmy tą drogą !!!
Jawność postępowań sądowych (co najmniej dla stron), to elementarz. Jest znacznie ważniejszy niż możliwość “wycieku” kilku tysięcy PESELi !!!
Jeśli byłbym prawdziwym wierzycielem, to – niezależnie od tego czy postępowanie jest papierowe czy elektroniczne – mam podstawowe prawo (a wręcz konieczność) szczegółowo sprawdzić, kim są pozostali wierzyciele (nie ważne czy jest ich 29, czy 29.000), np. czy nie są to jakieś “podstawione” podmioty i osoby, z fałszywymi wnioskami – które mają za zasadnie np. “rozmyć” postępowanie i pozbawić mnie moich praw.
Upublicznienie tych danych jest oczywiście nielegalne (sprzeczne z kodeksem karnym i RODO).
To wymaga fundamentalnej zmiany prawa. Potrzebne jest wprowadzenie częściowej anonimizacji tego typu damych, np przydzielanie stronom ‘losowych’ identyfikatorów per sprawa. Cała korespondencja powinna iść po tych identyfikatorach. Deanonimizacja (np w celu pozwania kogoś) powinna być wnioskiem do sądu.
[…] źródła niebezpiecznik.pl, niedostateczne zabezpieczenia systemu KRZ umożliwiły każdemu zgłaszającemu dostęp do akt […]
[…] prywatności i bezpieczeństwem danych klientów. Aktualnie trwające postępowanie upadłościowe Getin Noble Banku doprowadziło do wyraźnej eskalacji problemu, w którym dostęp do akt sprawy umożliwia […]
Tą sprawą z urzędu powinno się zająć GIODO – od tego jest.
To samo jest jeśli chodzi o akta spółek handlowych. Można wejść sobie (bez żadnego logowania!) na “przeglądarkę akt rejestrowych KRS” i tam mamy jawne całe treści aktów notarialnych spółek (tych zakładanych tradycyjnie u notariusza, nie przez S24).
A notariusze pobierają przy akcie wszystko – numery dowodów, pesele, adresy zamieszkania, imię ojca i matki wspólników, dane o majątku wnoszonym do spólek…
Ministerstwo mówi ze sądy powinny to anonimizowac, sądy spychają to notariuszy, notariusze też się wykręcają… i tak to się żyje w tym państwie
Dane, ktorych sie nie da w latwy sposob zmienic (np PESEL) nie powinny byc danymi tajnymi, bo w przypadku wycieku jest klops i nic sie z tym nie da zrobic.
Widzę szerokie pole do pozwów przeciw KRZ i gov.
Pytanie czy to jest błąd, czy błąd systemu, a może jedynie coś co trzeba zaakceptować i pójść dalej ???
Dokładnie tak samo działają sądy “papierowe”!
Dla przykładu – wedle mojej wiedzy – w jakimś postępowaniu spadkowym, każdy może podać się za potencjalnego krewnego, i “od ręki” uzyskuje się status uczestnika i dostęp co całości akt sprawy (w tym informacji o spadku, pełnych danych krewnych itp.).
Jak na razie (do czasu informatyzacji zwykłych sądów) jest to dostęp “papierowy” (w czytelni sądu) – nie mniej pełny – dokładnie taki sam jak w tej sprawie.
No cóż… zgodnie z art. 45 Konstytucji – postępowania sądowe są JAWNE.
Tak nie jest, sprawdzaja dowod osobisty i czy jestes strona w sprawie.
A co do konstytucji – tak, ale chodzi bardziej o rozprawy sadowe, a nie wszystkie dokumenty z akt (te zgodnie z kpc nie sa dostepne dla wszystkich)
To jest jedno, ale nawet bez żadnego zgłaszania wierzytelności każdy może tam podejrzeć tablice obwieszczeń, na której jest multum peseli, które dostaje się bez żadnego logowania. I jak tu można uznawać PESEL za daną wrażliwą ? :D
Bez żadnego logowania, każdy może sobie podejrzeć w kilka minut, aż 2 mln PESELi (liczba może być nieco zawyżona i uwzględniać dane historyczne) w Krajowym Rejestrze Sądowym. O tym, że PESEL to nie jest wielce poufna dana były już setki artykułów. Może nieco poprawi się świadomość za kilka miesięcy, po wejściu w życie “rejestru zastrzeżeń PESEL przed zawieraniem umów” – który (chyba) też będzie jawny.
A teraz “zawał” dla wszystkich dbających o ochronę danych osobowych.
KAŻDY, nawet bez okazywania dokumentu tożsamości, może wejść sobie na prawie KAŻDĄ sprawę sądową w dowolnym sądzie w Polsce, i w charakterze publiczności, poznać dla każdej z występujących w sprawie osób:
-imię i nazwisko,
-PESEL,
-serię, datę ważności i organ wydający dowód osobisty,
-adres,
-miejsce pracy.
Takie pytanie zadaje się (na głos) każdemu na początek jego przesłuchania.
Mało tego – zostając dalej jako “publiczność”, (która nie jest legitymowana) – przy odrobinie szczęścia można wysłuchać wielu pikantnych szczegółów (kto z kim się kłuci, a kto sypia itp.).
Dla tych którym nadal jest mało – dzięki poprawce opozycji do najnowszej ustawy (po wielu artykułach w pismach prawniczych, bijących na alarm, że zagrożona jest “konstytucyjna jawność sądownictwa”) – za kilka tygodni, w charakterze publiczności na wszystkich rozprawach sądowych będzie można występować on-line (bez fatygowania się do sądu).
Ok, ale żeby zbierać w ten sposób dane to trzeba by poświęcić wiele godzin siedząc na rozprawach i notując. Plus nie jesteś anonimowy, bo jednak wszyscy widzą kto przyszedł na salę. To miało sens w analogowej rzeczywistości.
Jak wszystko jest ucyfrowione, to mamy pobieranie po cichu paroma kliknięciami danych tysięcy osób prze kogokolwiek na całym świecie.
do: xyz` 2023.08.25 13:06 | # |
Tak uczestnictwo w rozprawach (stacjonarnych) to rzeczywiście wiele godzin straty (dojazd do sądu, rozprawa, powrót z sądu). No ale rozprawy on-line i publiczność on-line, to już skrócą do kilkudziesięciu minut. I czy to jest argument przeciwko ???
Równie dobrze – idąc tą drogą – można by cofnąć sądownictwo do XIX w., maszyn do pisania i papierowych akt trzymanych w piwnicach za metalowymi drzwiami. 99% bezpieczeństwa przed hakerami i wyciekami. Ale wtedy takie postępowanie na 30.000 podmiotów będzie trwało chyba ze 20 lat, angażowało non-stop setki osób, kosztowało miliony złotych i wymagało poświęcenia wielu hektarów lasów.
To wszystko jest spowodowane opieszaloscia organami i ich upolitecznieniem. Zamiast raz ciach sprawe ogarnac to sie czeka a czas powoduje ze dane wyciekaja do coraz wiekszego grona. nie naprawili sadow, zniszczyli getin bank. Brak im zaplecza bo nikt nie chce z taka padaka wspolpracowac a nawet jak chce to mowia ze koryto dzialalo dobrze wczesniej i nic nie zrobili zeby dostosowac prawo do internetu, byle zeby koryto bylo.
No i co w związku z tym? Pewnie to kolejny straszak, żeby ludzie nie podpisywali list wyborczych.
Ciekawi mnie co się zdanie jak ktoś zostanie oszukany na podstawie danych w ten sposób pozyskanych przez złodziei i poda KRZ do sądu o udostepnienie danych które zostały wykorzystane do uwiarygodnienia oszustwa. Za rozpowszechnianie danych wrażliwych, szczególnie jeśli zostaną wykorzystane do przestępstwa chyba musi być jakaś odpowiedzialność…