16:13
24/2/2016

Osoby wnioskujące do urzędów o udostępnienie informacji publicznej mogą się zetknąć z dwoma rodzajami zachowań. Czasem urzędnik chce coś ukryć, choć nie ma nic do ukrycia, a innym razem bez problemu dostaniecie więcej niż potrzebujecie, w tym wrażliwe dane. Problemy z nadmiarowym udostępnianiem danych osobowych mają zresztą nie tylko urzędy, ale i operatorzy GSM, np. Play.

Informacja publiczna z numerami PESEL?

Każdy obywatel powinien wiedzieć, że ma prawo uzyskiwać od urzędów tzw. informację publiczną. Jest nią teoretycznie “każda informacja o sprawach publicznych“. W celu jej uzyskania wystarczy złożyć wniosek (nawet ustnie lub e-mailem), a we wniosku trzeba określić sposób przekazania informacji (np. możecie prosić o przesłanie skanów na e-mail).

Jeden z Czytelników Niebezpiecznika (nazwijmy go Maurycym) skorzystał z trybu dostępu do informacji publicznej aby uzyskać dokumenty na temat pewnej oferty złożonej w przetargu. W odpowiedzi otrzymał ponad 20 stron dokumentów. Były wśród nich różnego rodzaju zaświadczenia, pełnomocnictwa oraz… zaświadczenia z Krajowego Rejestru Karnego.

Oto przykład jednego z zaświadczeń. Był w nim PESEL, imiona, data urodzenia, adres zamieszkania. To dość sporo danych. W przekazanym Krysianowi pakiecie znalazły się jeszcze inne dokumenty z wrażliwymi danymi osobowymi. Dotyczyły one osób, które zajmują znaczące stanowiska w spółkach stających do oferty. Niestety nie możemy ujawnić z jakiego urzędu one pochodzą, bo to mogłoby zdemaskować nasze źródło.

Część odpowiedzi na zapytanie o dostęp do informacji publicznej

Część odpowiedzi na zapytanie o dostęp do informacji publicznej

Informacja publiczna vs prawo do prywatności

Wyjaśnijmy tę kwestię od strony prawnej. Ustawa o dostępie do informacji publicznej mówi wyraźnie, że

“Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy” (art. 5 ust. 2 ustawy).

W tym przypadku urząd miał pełne prawo nie udostępnić części dokumentów. Ewentualnie mógł “zanonimizować” te dokumenty.

W praktyce bywa różnie z realizacją tego prawa do prywatności. Zdarza się, że instytucje zobowiązane do udzielania informacji powołują się na ochronę prywatności, by po prostu coś ukryć. Przykładem może być Okręgowa Rada Adwokacka (ORA) w Warszawie, która w przeszłości odmawiała mi informacji na temat pewnego postępowania dyscyplinarnego. ORA twierdziła, że ujawnienie informacji szkodziłoby ochronie danych osobowych. Było to zabawne, bo nawet w celu zadania pytania o postępowanie musiałem wcześniej znać imię i nazwisko adwokata, którego dotyczyło postępowanie. W tym przypadku ORA chciała zwyczajnie uniknąć ujawniania informacji powołując się na ochronę prywatności.

W podobnych sprawach wypowiadał się już GIODO i stwierdzał, że trudno powoływać się na ochronę danych w przypadku informacji publicznej, która dotyczy osób pełniących funkcje publiczne. Oczywiście to nie znaczy, że urzędy mogą udostępniać wszystkie dane na temat osób publicznych. Czym innym jest pytanie o sprawy urzędowe dotyczące określonych osób, a czym innym jest przekazywanie wrażliwych danych (PESEL, data urodzenia) przypadkowej osobie.

Nie tylko urzędom zdarzają się wpadki, czyli Play także udostępnił PESEL jednego z klientów

Nie tylko urzędom zdarza się niechcący udostępnić dokumenty z danymi osobowymi. Inny czytelnik zgłosił nam, że poprosił niedawno firmę Play o udostępnienie duplikatów swoich umów. Dostał grubą przesyłkę, w której znalazły się także umowy poprzedniego właściciela jednego z numerów.

play

W tym przypadku problem nie dotyczył informacji publicznej, ale również był wynikiem nieostrożności osoby, która miała przekazać wnioskodawcy określony zestaw dokumentów. Ta osoba najwyraźniej nie sprawdziła co udostępnia. Próbowaliśmy wyjaśniać tę sprawę z Play, ale rozmowy utknęły. Play chciał poznać dane naszego Czytelnika, a my nie mogliśmy ich ujawnić.

Jak nie przekazać “za wiele” informacji?

Mówiąc krótko: urzędnicy powinni uważać na to jakie dane udostępniają osobom wnioskującym o informację publiczną. To samo dotyczy wszelkich pracowników biurowych, którzy realizują wnioski o udostępnienie informacji z danymi osobowymi. Łatwo można przegapić coś, co później będzie np. powodem skargi do GIODO na praktyki firmy lub urzędu.

Może dobrym pomysłem byłoby odpowiednie znakowanie dokumentów zawierających dane “wrażliwe”? Wtedy osoba wyszukująca i przekazująca dalej taki dokument miałaby dodatkowy powód do zadania sobie pytania, czy te dane mogą zostać przekazane osobie trzeciej bez odpowiedniej anonimizacji…

Aktualizacja 26.02.2016
W komentarzach zauważyliście, że PESEL to nie jest “dana wrażliwa”. Zauważyliście też, że numery PESEL można znaleźć w KRS. To prawda. Być może artykuł niepotrzebnie akcentował numer PESEL — kiedy problemem w naszym odczuciu jest to, że udostępniono dokument zawierający nazwisko, PESEL, imiona rodziców, adres zamieszkania. I są to dane o dużym znaczeniu.

Jeśli chodzi o termin “dane wrażliwe” to wiemy, że często używa się go w odniesieniu do danych wymienionych w art. 27 Ustawy o ochronie danych osobowych. Faktem jest jednak, że termin “dane wrażliwe” jest używany potocznie do danych, które mogą być wykorzystywane np. do zawierania różnych umów. Oczywiście wiemy, że osoby zainteresowane ochroną danych będą pod tym pojęciem rozumieć dane wymienione w art. 27.

Zwracacie także uwagę, że Prawo Zamówień Publicznych mówi o jawności postępowania o udzielenie zamówienia. Z drugiej jednak strony nie bez znaczenia jest Ustawa o dostępie do informacji publicznej (UoDIP) jeśli ktoś korzysta z dostępu do informacji w trybie przewidzianym tą ustawą. Skoro ta ustawa przewiduje ograniczenie informacji publicznej ze względu na prywatność to czy urzędnik nie powinien tego rozważyć? Nie chodzi o sprzeciwianie się jawności postępowań. Obywatel proszący
o informacje publiczną może dostać dokument zanonimizowany. Obywatel wie wówczas, że dana osoba nie była karana (co jest istotne dla sprawy), ale jednocześnie obywatel nie musi poznawać wszystkich danych tej osoby. W tym przypadku ochrona prywatności nie musi stawać w sprzeczności z jawnością życia publicznego, któremu ma służyć dostęp do informacji publicznej.


Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. PESEL i data urodzenia to nie są dane wrażliwe co do ich definicji…

    Fane wrażliwe to dane ujawniające:
    pochodzenie rasowe lub etniczne,
    poglądy polityczne,
    przekonania religijne lub filozoficzne,
    przynależność wyznaniową, partyjną lub związkową,
    dane o:
    stanie zdrowia,
    kodzie genetycznym,
    nałogach,
    życiu seksualnym,

    Oraz dane dotyczące:
    skazań, orzeczeń o ukaraniu i mandatów karnych,
    innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

    • a jeśli założymy że następstwem stanu wojennego był wyż demograficzny ?
      To mając taki pesel który składa się z oznaczenia płci i fragmentu daty urodzenia możemy wywnioskować z jakiego kraju pochodzi dany posiadacz peselu jeżeli peselów z takim fragmentem daty będzie w bazie więcej niż innych, oraz że wszystkie mniejszości etniczne zostały zasymilowane w danym obszarze geograficznym – tada ;D
      Żartowałem oczywiście też jestem za pełną jawnością :)

    • a weź panie do tego dodaj takie rzeczy jak statystki urodzin to już kwestia województw
      no i sam fakt że pesel to chyba unika w skali krajów w usa twój numer seryjny ma chyba inny format w ogóle więc poza płcią, przybliżoną datą urodzenia bezpośrednio identyfikuje narodowość

    • reszta to już historia :) (dosłownie)

    • Dane o których mówisz to dane ujęte w art. 27 Ustawy o ochronie danych osobowych. Właściwie to ustawa nie określa tych danych jako “wrażliwe” (to słowo tam nie występuje) choć wiem, że tak się przyjęło te dane nazywać.

      Termin “dane wrażliwe” jest też bardziej potocznie używany do danych, które są używane np. przy weryfikacji w ramach różnych systemów transakcyjnych. Oczywiście można się spierać o to, czy takie potoczne rozumienie tego terminu jest zgodne z tym, o czym zwykle dyskutuje się w kontekście ustawy o ochronie danych. Tutaj kontekst jest szerszy.

    • Których danych ja zasugerowałem dość ryzykownie że PESEL to punkt wyjścia a reszta to właściwie rachunek prawdobodobieństwa/statystyka
      Może gdybyś miał całą bazę PESELI polaków i koncentrował się na jednym i jakimś cudem okazało się że w danym d/m/Y urodziło się jedno dziecko w województwie “Świętokrzyskim”
      to PESEL już nie sprowadza się do daty urodzenia, w najgorszym wypadku zawęził byś zakres do kobiet/mężczyzn urodzonych określonego dnia w danych województwach, w tym momencie dochodzą mn. informacje takie jak źródło z którego posiadasz owy PESEL i prawdopodobieństwo itd,itp
      Być może to ryzykowne :) ale ja po prostu sądzę że w odpowiednich warunkach i ludziach można z tego numerka wyczytać dużo więcej, ale oczywiście nie jestem jakimś Informatycznym Talibem bo wszystko zależy od tego kim się jest np. gdybym był Kajetanem Poznańskim to zastanowił bym się minimum 3 razy :)

  2. Zgodnie z art. 8 pzp postępowanie o udzielenie zamówienia jest jawne, a zamawiający może ograniczyć dostęp do informacji związanych z postępowaniem o udzielenie zamówienia tylko w przypadkach określonych w ustawie.

    Stosownie do art. 96 ust. 3 pzp oferty wykonawców, wnioski o dopuszczenie do udziału w postępowaniu zawierające wykaz osób oraz informacja z KRK są jawne i udostępnia się je od chwili ich otwarcia.

    • Masz rację, ale kwestia jawności to jedno, a kwestia uzyskiwania wglądu do dokumentów to drugie. W tym przypadku ktoś skorzystał z trybu przewidzianego w Ustawie o dostępie do informacji publicznej. Fakt, że PZP ustanawia reguły specyficzne dla przetargów, ale skoro już dostęp do tych informacji odbył się w drodze Uodip, to czy urzędnik nie powinien rozważyć ograniczenia informacji ze względu na prywatność?

      Oczywiście prawo do jawności jest istotne, ale spójrzmy na to w ten sposób – jeśli chcesz sprawdzić czy w przetargu wszystko poszło jak należy, potrzebujesz wiedzieć czy np. członek zarządu nie był karany. Czy naprawdę musisz znać imię jego matki?

  3. Miałem kiedyś podobną sytuację. Nie chodziło co prawda o informację publiczną, ale także o prawa dostępu do cudzych prywatnych danych osobowych i to bez zgody ich właściciela. Otóż jakiś czas temu zostałem wezwany przez policję na świadka w sprawie pobicia i w momencie gdy zostałem poproszony przez funkcjonariusza o mój dowód osobisty celem wpisania do akt moich danych osobowych zapytałem się go jak to wygląda z ochroną danych osobowych, przecież oskarżony będzie miał dostęp do moich pełnych danych osobowych łącznie z adresem zamieszkania i dostałem odpowiedź że “nie ma czegoś takiego jak ochrona danych osobowych i że oskarżony ma prawo do wglądu do tych danych”. Co w takim przypadku? Nie miałem prawa ich zastrzec (tak się dowiedziałem od policji przynajmniej).

    • Teraz jest juz inaczej. Przynajmniej w teorii.

    • @Piotr: Więc lepiej żyć tak, aby jak najrzadziej być świadkiem. Skoro tylko w teorii. Prawda jest taka, że świadek nie ma wglądu w akta stron, zaś pozwany ma prawo wglądu. Jeżeli odwoła się do sądu, to te dane tam zostaną mu podane.

    • Aktualnie jest anonimizacja danych. Materiały, które do wglądu dostają strony pozbawione są danych osobowych. Te są do wglądu tylko dla prowadzących czynności i sądu, i z tego co wiem jest to bardzo mocno przestrzegane.

  4. Numery PESEL (więc i daty urodzenia) członków zarządu i wspólników spółek kapitałowych są jawne. https://ems.ms.gov.pl/krs/wyszukiwaniepodmiotu?t:lb=t Wpiszcie sobie chociaż numer REGON Play (015808609) – tam gdzie nie ma podanego nr PESEL oznacza to brak obywatelstwa polskiego.

    • No tak, ale już adresu zamieszkania w KRS to nie znajdziesz.

    • OK, ale w zaświadczeniu o niekaralności masz także adres zamieszkania i imiona rodziców.

  5. “…Play także udostępnił PESEL innego klientów…” chyba “innego klienta” lub “innych klientów”

  6. W jednym z sąsiednich Urzędów Gmin były oświadczenia majątkowe anonimizowane (adresy zamieszkania i adresy posiadanych nieruchomości) za pomocą żółtych, samoprzylepnych karteczek doklejanych przed skanowaniem. Oczywiście korekta kontrastu wystarczyła by większość odczytać ;)

  7. Poprzedniego właściciela numeru = została dokonana cesja = aktualny właściciel i poprzedni ma dokument cesji na której widnieją dane PESEL adres etc.

    W czym problem skoro i tak te dane posiada?

    • Informacja od czytelnika: “nie robiłbym shitstormu, gdybym znał wcześniejszego właściciela. Wybrałem sobie ten numer z listy dostępnych podczas podpisywania nowej umowy. Nie wiem, ile wynosi okres karencji po dezaktywacji numeru w Play, ale chyba standardową praktyką operatorów są 3 miesiące.”

  8. Jeden koleś ze Szczecina brał dane z KRS (m.in. PESEL) i fałszując podpisy wrabiał ludzi w weksle. Kilka skutecznie ściągneli mu komornicy (klasyka e-sądu z podanym innym adresem pozwanego). Najlepsze, że nie kombinował ze słupami, tylko jawnie podawał dane w sądzie i u komorników, do tej pory chodzi wolny i dalej fałszuje weksle.

  9. Mało precyzyjny artykuł i momentami wprowadza w błąd, większość już wytknęli przedmówcy.

  10. Powtórzę się, ale napiszę to, co już kiedyś pisałem w komentarzu – prawdziwym problemem jest nie fakt, że te PESEL, czy data urodzenia tu i ówdzie wycieknie.

    Prawdziwy problem to fakt, że w obecnej sytuacji prawnej PESEL stał się daną wrażliwą… A jednocześnie jest po prostu jednoznacznym identyfikatorem. To trochę tak, jakby w systemie informatycznym login był jednocześnie hasłem.

    To jest chore, że w systemie prawnym nie istnieje żadna sensowna metoda uwierzytelniania!

  11. A jak się ma to całe udostępnianie danych (chodzi o maila) przy rozsyłaniu masowej korespondencji. Przykład. Pewien dyrektor szkoły czasem rozszyła nauczycielom jakieś informacje (głównie ze szkoleń materiały). Nie wysyła ukrytych kopii, a ładuje wszystkie maile jawnie. Pół biedy jeśli tylko wysyła coś nauczycielom. Ale wysyła też np zaproszenie na otwarcie nowo wyposażonej pracowni. Wysyła wtedy nauczycielom, sołtysom okolicznych miejscowości, wójtom, radnym i prezesom zaprzyjaźnionych firm i organizacji. Też pół biedy jakby wysłał na maila np urzędu gminy, ale on wysyła na prywatnego maila.
    Co z tym poradzić?

  12. Ale w ksiegach wieczystych jest jeszcze wiecej. Oprocz peseli sa tez adresy i czasem wartosci nieruchomosci i informacje o umowach kredytowych.

  13. Hm jakoś nikt nie zauważył.. Ale w elektronicznych księgach wieczystych można bez problemu znaleźć PESEL imię i nazwisko, imiona rodziców.. :)

  14. Maurycy = Krysian (Krystian)

  15. Ale tym skanem umowy już udostepniliscie dane klienta Na podstawie zawartych danych play bez problemu je odnajdzie. Wpadliscie w sidła własnego artykułu.

  16. Niebezpieczniku wpadłeś!
    Cytuje: “W przekazanym Krysianowi pakiecie”
    Krystian to nie Maurycy. Sam udostępiłeś wrażliwe dane swojego informatora!

    • Pudlo. Oba imiona sa nieprawdziwe. Nie moglismy sie podczas edycji zdecydowac jakie nadac.

  17. Dokument KRK można zastrzec jako tajemnicę przedsiębiorstwa. I wtedy zamawiający nie ma prawa ich udostępnić. Jeżeli nie jest zastrzeżony to raczej nie ma podstawy by nie udostępnić takiego dokumentu jeżeli stanowi część oferty

    • Nieprawda.
      Dokumentu KRK nie można zastrzec jako tajemnicy przedsiębiorstwa. Jest to dokument urzędowy (wydaje go urząd na wniosek), jawny i publicznie dostępny.
      Jest na to nawet wyrok: KIO 1535/14 – znajdziesz w Internecie. Są i inne opracowania tego tematu – poszukasz – znajdziesz :)
      Tak w ogóle, ustawa PZP pozawala zastrzec dokumenty jako tajemnicę przedsiębiorstwa, ale pod pewnymi warunkami. Są to informacje: techniczne, technologiczne, organizacyjne, lub inne posiadające wartość gospodarczą, które można zastrzec jako tajemnicę przedsiębiorstwa. Czy dokument, mówiący o tym, że członek zarządu ma czystą kartotekę w Krajowym Rejestrze Karnym jest informacją techniczną, technologiczną, organizacyjną, czy posiada inną wartość gospodarczą? Oczywiście, że nie. Jest to dokument, który po prostu mówi, że ktoś ma czystą kartotekę karną. Dlatego jest jawny i podlega udostępnieniu.

    • A ja nadal będę zdania, że choć to nie jest tajemnica przedsiębiorstwa to dokument powinien być zanonimizowany jeśli jest udostępniany w trybie dostępu do informacji publicznej.

      Ustawa mówi, że informacja może być ograniczona ze względu na prywatność. Wiedzę o niekaralności danej osoby śmiało można uznać za informację publiczną, ale nie ma powodów by udostępniać z informacją publiczną informacje w rodzaju adres + imię matki.

  18. Ależ oczywiście, że się zgadzam.

    Dokument KRK jest jawny i nie można go objąć tajemnicą przedsiębiorstwa (stąd mój komentarz), natomiast urząd udostępniając go w ramach dostępu do informacji publicznej powinien ten jawny dokument w odpowiednich miejscach zanonimizować :)

  19. A dlaczego nazywacie go Maurycym a pooźniej piszecie o “pakietach przekazanych Krysianowi”. Wygląda mi, że tam chyba jest literówka ? Czy to raczej ta cała anonimizacja tak zadziałała ? Jak z tym żyć ;-) ?

  20. Jeżeli uważacie, że ujawnianie samego imienia, nazwiska i PESEL nie jest groźne, bo i tak za wiele nie dają, to zachęcam do pozostawienia swoich danych, to się zdziwicie ile można z nich wydobyć. :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: