19:51
20/6/2018

Każdy mógł sprawdzić nazwiska i PESEL-e osób, które zarezerwowały wizytę w Dolnośląskim Urzędzie Wojewódzkim. Wyciek będzie zgłoszony do Urzędu Ochrony Danych Osobowych i jesteśmy szczerze ciekawi, ile podobnych spraw zostanie zgłoszonych w ciągu najbliższych poRODOwych miesięcy.

Kto stał w kolejce? I jaki miał PESEL?

Dolnośląski Urząd Wojewódzki poszedł z duchem czasu uruchamiając system kolejkowy online. Niestety nasz Czytelnik – Marek -zwrócił nam uwagę na ciekawą cechę tego systemu. Po zalogowaniu się do niego można było zobaczyć rezerwacje innych osób, a wymagało to wpisania do przeglądarki pewnego adresu.

Utworzyliśmy sobie konto w systemie i rzeczywiście zobaczyliśmy listę rezerwacji.

Zwróćcie uwagę na dolną część powyższego zrzutu. 1185 wszystkich rekordów. W przypadkach pokazanych powyżej widzieliśmy tylko imiona i nazwiska, jednak próba posortowania rezerwacji (np. według formularzy) pozwalała dotrzeć także do numerów PESEL…

… oraz do treści udzielanych zgód na przetwarzanie danych :).

“W trakcie jednego z testów doszło do awarii”

Natychmiast napisaliśmy do biura prasowego urzędu, ale sprawa była zbyt poważna aby czekać na reakcje rzeczników. Wykonaliśmy dodatkowy telefon do pana Krzysztofa Dominiaka, inspektora ochrony danych w DUW. Zapewniono nas, że sprawa będzie załatwiona tak szybko jak się da.

Jeszcze tego samego dnia dostaliśmy odpowiedź z biura prasowego, od pani Sylwii Jurgiel.

System Kolejkowicz w Dolnośląskim Urzędzie Wojewódzkim jest nową usługą i cały czas testowane są kolejne aplikacje. I w trakcie jednego z testów doszło do awarii, czego rezultatem był problem, który Pan opisał. System został już sprawdzony i anomalia nie występuje. Podgląd innych rezerwacji niż swoja nie jest już możliwy. Niemniej traktujemy to jako incydent i sytuacja zostanie przez nas zgłoszona do Urzędu Ochrony danych Osobowych.

RODO działa

Pewnie jeszcze miesiąc temu nie zobaczylibyśmy tak ochoczej zapowiedzi zgłoszenia incydentu do UODO (nie tylko dlatego, że wtedy UODO jeszcze nie było ;). Jak zapewne wiecie, artykuł 33 rozporządzenia wymaga zgłoszenia naruszeń do UODO

“bez zbędnej zwłoki (…) nie później niż w terminie 72 godzin”

Nie trzeba tego robić tylko jeśli jest mało prawdopodobne aby naruszenie skutkowało ryzykiem “naruszenia praw lub wolności osób fizycznych”.

Poza art. 33 jest jeszcze art. 34 RODO. Mówi o powiadamianiu osób, których dane dotyczą. Powinno to nastąpić, jeśli naruszenie ochrony danych osobowych “może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych“. Urząd mógł dojść do wniosku, że w tym przypadku ryzyko nie było duże.

Biuro Prasowe urzędu wyjaśniło nam, że w związku z wczesną fazą eksploatacji modułu rezerwacji wizyt, w systemie jest mało kont. Dodatkowo, wpisywanie numeru PESEL na formularzu rejestracyjnym nie jest obligatoryjne i większość użytkowników nie ujawniła numeru PESEL.

Dla wszystkich petentów mamy dobrą radę: nie wpisujcie PESEL-ów (i innych danych osobowych) byle gdzie. W automacie kolejkowym możecie się podpisać jako Zniecierpliwiony Paranoik. To tylko automat…


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

35 komentarzy

Dodaj komentarz
  1. i niby jak oni powiadomią te konkretne osoby, których dane mogły wyciec jeżeli mają tylko imię, nazwisko + pesel…

    • Toż to urząd, po PESELu znajdzie całą resztę danych :)

    • Do rejestracji konieczny był email, więc pewnie w ten sposób.

  2. W bazie meldunkowej masz numery pesel i adres, wiec choćby w ten sposób (sam zdobywałem adres podając tylko numer pesel – do sprawy sądowej)

    • A co jeśli ktoś nie dopełnił obowiązku meldunkowego?

    • To już jego problem prawda? Obowiazek meldunkowy nadal jest obligatoryjny

  3. Hmm, ciekawe z tą nieobligatoryjnością PESEL, od czasu wprowadzenia nowej wersji systemu (na terminy po 11 czerwca, jeśli dobrze pamiętam) PESEL był wymagany dla dokonania rezerwacji, jestem niemal pewien. Edit: sprawdziłem. PESEL JEST WYMAGANY dla umówienia terminu, właśnie spróbowałem to zrobić teraz.

  4. Akurat miałem rezerwacje terminu odbioru paszportu na 11 czerwca. Patrząc po datach na zrzutach ekranu, moje dane również wyciekły. Pewnie nawet nie powiadomią o sprawie…

  5. Moduł testowy… Widzę maksyma “testowanie na prodzie zawsze w modzie” wiecznie żywa :)

  6. Wy o podejrzeniu, a ja… z prawej strony widzę przyciski “edytuj” i “usuń” :D
    To byłby dopiero uber-trolling, jakby tak sobie wyedytować rezerwację i ustawić się na pierwszym miejscu w kolejce ;)

  7. Magiczne działanie formularza. Ludzie widzą pola do wypełnienia i jak cielę wpisują wszystko, „bo formularz wymaga”.

    • Czyli jeśli pesel jest WYMAGANY do zarezerwowania terminu, to wpisanie go tam jest postępowaniem “jak cielę”? Interesująca koncepcja.

    • Ciekawe czy skoro wymagają to potem weryfikują przy okienku. Nie wystarczy imię i nazwisko lub “hasło” jak w taksówkach? Pesel jest niepotrzebny i powinni zgłośić do UODO że system został zaprojektowany żeby zbierać/wyświetlać nadmiarowe dane.

    • Nie weryfikują, niestety – więc to zbieranie PESEL jest kompletnie bez sensu. Co ciekawe, w poprzedniej wersji tego serwisu nie było niezbędne, dopiero jakoś w okolicach wejścia RODO zaczęli grzebać, parę dni nic nie działało (próbowałem rezerwować, nie dało się), potem zaczęło, ale PESEL stał się obowiązkowy.

    • PESEL w ogóle powinien zostać zlikwidowany jako numer niepotrzebny, nadmiarowy i gwałcący prywatność.Wystarczy numer ważnego dokumentu ze zdjęciem.

  8. Przy okazji wyszło że treść zgody jest niezgodna z RODO

  9. Nie rozumiem tej paranoi związanej z wyciekiem PESEL. Dla przedsiębiorców jest zgodnie z prawem ogólnie dostępny i nikt się nawet nie zająknie, jakie to niebezpieczne. Ale jak ze strony urzędu czy innego podmiotu wycieknie to jest rwetes, że NAWET PESEL jest dostępny.
    Jak ktoś nazywa się Jan Kowalski i nie ma adresu to może faktycznie PESEL go deanonimizuje, ale równie dobrze nazwisko może być na tyle rzadkie, że od razu wiadomo o kogo chodzi.

  10. Ile podobnych spraw? Kilka dni temu pani Bielak-Jomaa podała liczby: 500 skarg i 150 zgłoszeń naruszenia.

  11. Jestem pełen podziwu dla Pana/Pani “S.” z rezerwacji z dnia 14.06. godzina 9:50 – w wieku 100 lat wybierać się zagranicę… (PESEL: 1….) :-)

    • Lub roczniki 2010+.

  12. Ktoś o tym pomyślał i dlatego dla roczników 2000+ do roku dodawana jest liczba 20

    • (…) dla roczników 2000+ do roku dodawana jest liczba 20 (…)
      Owszem ale to miesiąc jest powiększany o 20.

  13. A od kiedy to imię i nazwisko to dane osobowe? Od kiedy to PESEL jest daną osobową?

  14. Znowu to imperialistyczne RODO. Precz z ograniczeniami!

    • Nie imperialistyczne, a komunistyczno-etatystyczne. To komunizm i socjalizm mówi ci jak masz żyć i ogranicza twoją wolność, a nie imperializm. DO tego oprócz prawa potrzebna jest zawsze chmara urzędników, nawet jak wprowadzisz coś co w firmie prywatnej zmniejsza ilość pracowników, to w urzędach liczba pracowników(urzędników) zawsze wzrasta. Jakimś cudem USA można nazwać krajem imperialistycznym, ale tam nie masz ani RODO, ani podatku od lików czy innych durnoctw.

    • W USA jest Privacy Act i jeszcze trochę innych ustaw.
      W USA można swój SSN zmienić, w Polsce PESEL-u się nie da gdy wycieknie.

      W państwach mocno kapitalistycznych (np. Szwajcaria) też są urzędy ochrony danych, też są przepisy analogiczne do RODO, itd.

      To nie idea ochrony danych jest problemem, ale liczne przepisy państwowe, które do zbierania zbyt wielu danych zmuszają: państwo znakujące nas niepowtarzalnymi, niezmienialnymi przez całe życie numerami jak jakieś bydło w zagrodzie, przechowujące w dostępnych dla byle urzędnika czy policjanta centralnych bazach zdjęcia twarzy prawie wszystkich Polaków, etc.

      Da się zbudować rozsądny system dokumentów tożsamości szanujący prywatność i zabezpieczający przed oszustwami. Ale to wymaga zbudowania go od podstaw i z odpowiednimi założeniami (główne założenie: człowiek ważniejszy od wygody urzędników), a nie pudrowania PRL-owskiego trupa: ustawa o ewidencji ludności jest z lat siedemdziesiątych przecież, a PESEL to twór komunistycznej bezpieki zbudowany do inwigilowania Polaków.

  15. Tak, oczywiście, bo taka, na przykład, III Rzesza byłą oazą wolności, mimo zerowych związków z socjalizmem (wbrew nazwie partii, mocno mylącej) i komunizmem.

    • Proszę zapoznać się z programem NSDAP, stwierdzenie że nie byli oni socjalistami jest ba(aaa)rdzo ryzykowne…

  16. Gowno a nie chroni. Od kiedy Rodo weszlo to mam takie natezenie telefonow, ze az niemożliwe. Np mimo wcześniejszego braku zgody telefony od operatora z ofertami. Ale tez telefony z firm maklerskich,b jakies porcelany i pierdoly ktorych nawet w googlach nie wyszukuje. ???? WTF!

  17. Dostałem informację o naruszeniu danych, ciekawe porady, nieco ironiczne nawet w kontekście wypływu danych u nich, bowiem radzą mi zachować szczególną ostrożność w podawaniu danych przez internet:
    “Celem uniknięcia teoretycznych możliwych negatywnych konsekwencji może Pani/ Pan
    zastosować następujące środki bezpieczeństwa:
    – założyć konto w systemie BIK, aby monitorować swoją aktywność kredytową,
    – zachować szczególną ostrożność w podawaniu swoich danych innym osobom, w
    szczególności przez telefon czy internet.”

    • za tego bika powinni się smażyć w piekle

  18. Nie tylko smażyć ale dać kasę na raport, jak są tacy mądrzy. Przecież to nie jest za darmo.

  19. Jak w tym przypadku się ma do osoby, która takie dane zobaczyła? Czy jest jednostronna wina administratora ?

  20. To jak myślicie- jakiego zadośćuczynienia można się teraz domagać w związku z naruszeniem dóbr osobistych poprzez ujawnienie danych osobowych?

  21. Można profilaktycznie załozyć sobie konta bankowe w wielu bankach, ograniczy się wtedy mozliwośc założenia drugiego konta w tym samym banku. Tylko co jeśli przyjdzie fałszywy klient, chce załozyć konto w banku a pracownik mówi, że konto juz ma ?

Odpowiadasz na komentarz Alf/red/

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: