14:33
3/12/2018

Ile razy zgłaszano do UODO naruszenia ochrony danych? Jakie błędy popełniały osoby składające skargi? Dlaczego administratorzy danych czasami zaniżali ocenę ryzyka, jakie wiązało się z wyciekiem? Tego wszystkiego dowiedzieliśmy się od UODO i trzeba przyznać – jest to ciekawe.

Niedawno Urząd Ochrony Danych Osobowych podsumował pierwsze pół roku stosowania RODO. Celowo piszemy “pół roku stosowania” bo RODO weszło w życie w roku 2016 (sic!). Teoretycznie wszyscy mieli czas na zapoznanie się z rozporządzeniem i wprowadzenie stosownych procedur, ale w tej kwestii firmy okazały się zadziwiająco podobne do ludzi. Wiele rzeczy robiono na ostatnią chwilę i w atmosferze paniki :).

Nasi Czytelnicy zapewne pamiętają, że po pierwszym miesiącu RODO do UODO wpłynęło ponad 320 zgłoszeń naruszeń ochrony danych. Większość z nich dotyczyła sytuacji, gdy do ludzi wysłano informację o RODO bez BCC :). Później intensywność “e-maili RODO” musiała spaść, ale tempo pojawiania się nowych zgłoszeń o wyciekach wcale drastycznie się nie zmniejszyło. Skąd to wiemy?

Po 6 miesiącach stosowania RODO, znów zwróciliśmy się do Urzędu Ochrony Danych Osobowych z pytaniami dotyczącymi m.in. liczby zgłoszeń naruszeń. Rzeczniczka UODO – Agnieszka Świątek-Druś – z podziwu godną cierpliwością odpowiedziała nam na pytania. Dzięki temu poznaliśmy nie tylko liczby, ale zyskaliśmy ogólny obraz problemów, jakie widać z perspektywy Urzędu Ochrony Danych Osobowych.

1,8 tys. zgłoszeń naruszeń

Zacznijmy od liczb.

  • 3700 skarg wpłynęło do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) od 25 maja tego roku (czyli od momentu stosowania RODO). Dla porównania, w całym ubiegłym roku było 2950 skarg.
  • 1800 zgłoszeń dotyczących naruszeń ochrony danych wpłynęło do PUODO. Chodzi o takie zgłoszenia, o których jest mowa w art. 33 RODO, czyli o sytuację, gdy administrator danych zgłasza urzędowi, że miał wyciek (to jest obowiązkowe). Nie należy tego mylić ze skargami, ani ze zgłaszaniem wycieków osobom, których dane dotyczą (ta druga sytuacja dot. art. 34 RODO).
  • W kilkunastu przypadkach Prezes UODO podjął działania z urzędu. Dotyczyło to naruszeń, które nie zostały zgłoszone przez administratorów, a o których organ ds. ochrony danych osobowych dowiedział się z „donosu” bądź został o nich poinformowany przez inny organ.

Ofiary “hackerów” raczej zgłaszają

Zdaniem PUODO podmioty padające ofiarą “ataków hakerskich” najczęściej rzetelnie i starannie zgłaszają wycieki. W “większości przypadków” nie jest konieczne wzywanie administratora do uzupełnienia informacji czy podejmowania określonych działań.

Tak jest szczególnie wówczas, gdy administratorzy korzystają z przygotowanego przez UODO formularza zgłoszenia, który ułatwia przekazanie wszystkich wymaganych informacji. Problemy z niekompletnymi zgłoszeniami pojawią się najczęściej w przypadku zgłoszeń złożonych bez użycia tego przygotowanego przez UODO formularza – wyjaśnia rzeczniczka PUODO.

Jednak nawet przy korzystaniu z formularza zdarzają się problemy. Nie wszyscy administratorzy piszą jasno na czym polegało naruszenie (np. poprzestają na poinformowaniu, że np. zagubiono dokument). Nie zawsze też administratorzy wskazują konkretne kategorie danych, jakich dotyczyło naruszenie (ograniczają się do napisania “dane identyfikacyjne”, a to niezbyt precyzyjne).

Co ciekawe, rzeczniczka GIODO wspomniała o administratorach “kierujących do urzędu znaczne ilości zgłoszeń” (!!!). U takich administratorów widać tendencję  do “niedbałego i szablonowego sposobu wypełniania formularza zgłoszenia naruszenia”.

Panie! To tylko PESEL!

Dość istotnym zagadnieniem dotyczącym zgłaszania wycieków jest określenie, czy wyciek wiązał się z dużym ryzykiem naruszenia praw lub wolności osób fizycznych. Dlaczego? Ponieważ art. 34 RODO mówi, że jeśli ryzyko jest duże, należy powiadomić o wycieku także osobę, której dane dotyczą.

Niestety jak przyznaje rzeczniczka UODO, przedsiębiorcy mają problem z oceną ryzyka.

Zagubienie dokumentacji zawierającej imię i nazwisko oraz nr PESEL oceniane jest przez administratorów jako ryzyko niskie lub średnie, a nie wysokie – powiedziała nam Agnieszka Świątek-Druś.

Znamy ten problem i cieszymy się, że UODO go zauważa.

Wielokrotnie słyszeliśmy od różnych ludzi, że “PESEL to nic takiego”, albo że jest to wręcz “informacja publiczna”. Owszem, w pewnych sytuacjach PESEL-e pewnych osób są ujawniane (np. w KRS), ale to nie oznacza, że wyciek obejmujący PESEL-e jest bez znaczenia, lub że wszystkie PESEL-e są informacją publiczną (bo nie są). PESEL bardzo się przyda np. oszustowi, który zechce wziąć pożyczkę na wasze dane lub wyłudzić waszą kartę SIM. Wycieki dotyczące PESEL-i będą się zawsze wiązać z dużym ryzykiem – w naszej opinii.

Źle przeprowadzona analiza ryzyka obejmuje też sytuacje, gdy administrator nie ma informacji co się stało z dokumentem albo kto wszedł w jego posiadanie. Taki administrator… nie zaznacza wysokiego poziomu wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. To z kolei może sprawić, że ofiara bolesnego wycieku nie dowie się o nim, lub nie dowie się tak szybko jak powinna. 

Jakie naruszenia są zgłaszane?

Naruszenia ochrony danych, które są zgłaszane Prezesowi UODO, najczęściej dotyczą następujących sytuacji:

  • przesyłania dokumentacji administratora do osób nieuprawnionych (dotyczy to zarówno korespondencji e-mail, jak i korespondencji papierowej);
  • zagubienia/kradzieży nośników elektronicznych/komputerów (w wielu przypadkach okazuje się, że urządzenia te nie są zabezpieczone lub są zabezpieczone w sposób nieprawidłowy);
  • nieprawidłowego niszczenia dokumentacji przez administratorów (częstym zjawiskiem jest sytuacja, gdy dokumentacja przeznaczona do zniszczenia nie jest niszczona w siedzibie administratora lub przy udziale profesjonalnej firmy, a odnajdywana jest po pewnym czasie przez osoby trzecie w miejscach publicznych lub na prywatnych posesjach);
  • zagubienia dokumentacji papierowej przez administratora lub jego personel;
  • ataków hakerskich skutkujących pozyskaniem lub/i zaszyfrowaniem baz danych administratora.

Wniosek? Ochrona przed przestępcami jest ważna, ale podnoszenie poziomu ochrony dobrze jest zacząć od przeszkolenia personelu.

Na co się skarżymy?

Dowiedzieliśmy się także, że skargi składane przez obywateli dotyczą zarówno podmiotów z sektora publicznego, jak i prywatnego. Najczęściej dotyczą następujących zagadnień:

  • usunięcie danych osobowych – głównie odnoszą się one do sektora bankowego, firm zajmujących się windykacją należności, usług dostępnych on-line (portale społecznościowe, serwisy internetowe);
  • wymuszanie zgody na przetwarzanie danych w celach marketingowych;
  • przesyłanie przez firmy niechcianej korespondencji;
  • wykonywanie niechcianych telefonów marketingowych;
  • nieuprawnione udostępnienie danych osobowych osobie trzeciej;
  • pozyskiwanie zbyt szerokiego zakresu danych osobowych;
  • uzależnianie zawarcia umowy od wykonania lub udostępnienia kopii dokumentu tożsamości, zwłaszcza dowodu osobistego (por. Coraz więcej firm chce skan/ksero dowodu. Co zrobić, aby było bezpieczniej?);
  • spełnianie obowiązku informacyjnego;
  • przetwarzanie danych biometrycznych pracowników;
  • stosowanie monitoringu wizyjnego;
  • nieuprawnione udostępnienie danych osobowych w związku z realizacją obowiązków dotyczących dostępu do informacji publicznej (m.in. poprzez publikację w BIP dokumentów zawierających dane osobowe bez stosownej anonimizacji);
  • wymiana danych osobowych pomiędzy podmiotami publicznymi.

Ta lista powinna być pewną wskazówką dla twórców prawa. Przykładowo w Polsce ciągle nie mamy ustawy o monitoringu wizyjnym, a mogłaby ona powstać niezależnie od RODO. Uporczywe skanowanie i kserowanie dowodów też jest problemem. Z czasem przekonamy się, czy skargi do UODO wystarczą, by ten problem rozwiązać.

Problemy ze skargami

Jak już wspomnieliśmy, do UODO trafiło około 3700 skarg. Niestety wiele skarg zawiera błędy formalne. Bardzo często brakowało własnoręcznego podpisu albo nie opatrywano skarg podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Zdarza się również, że skarżący nie określają swoich żądań tj. nie wskazują czego oczekują od organu ds. ochrony danych osobowych.

Skarżący jedynie opisują zaistniałe, ich zdaniem, nieprawidłowości, ale nie wskazują – co jest wymagane – czego domagają się w związku ze skargą (np. nakazania usunięcia danych, dopełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych itd.) – wyjaśnia rzeczniczka UODO Agnieszka Świątek-Druś

Ponieważ wśród naszych Czytelników są ludzie świadomi i gotowi dochodzić swoich praw, niniejszym przypominamy. Podpisujcie skargi i określajcie swoje żądania. W przeciwnym razie Urząd będzie musiał wysłać do was pisma wzywające do usunięcia braków, a to niepotrzebnie przedłuża postępowanie.

Nie tylko Polska

RODO jest rozporządzeniem unijnym. W serwisie GDPR Today znajdziecie garść statystyk dotyczących całej Unii. Polska wypadłaby całkiem nieźle pod względem liczby złożonych skarg, gdyby Brytyjczycy nie podnieśli znacząco poprzeczki.

Liczba skarg złożonych w zw. z RODO w różnych krajach (źródło: GDPR Today)

Wykres dotyczący zgłoszonych naruszeń (ten poniżej) wygląda jeszcze ciekawiej. Tutaj jesteśmy na drugim miejscu. Może się wydawać  nieco niepokojące, że mamy więcej zgłoszeń naruszeń niż w Niemczech czy Francji, które to kraje są przecież znacznie większe od naszego. Ostrzegamy jednak, że dane dot. Niemiec nie zostały zebrane ze wszystkich landów.

Liczba zgłoszonych naruszeń w zw. z RODO w różnych krajach (źródło: GDPR Today)

To nie jest tak, że “już mamy RODO”

W Niebezpieczniku lubimy powtarzać, że bezpieczeństwo jest procesem a nie towarem do jednorazowego nabycia. Analogicznie – wdrażanie RODO jest procesem, a nie jednorazową procedurą. Ten proces będzie trwał prawdopodobnie tak długo, jak długo RODO będzie funkcjonować.

Zawsze znajdą się przedsiębiorcy, którzy nie wdrożą RODO dokładnie (np. z braku wiedzy). Wiele problemów doczeka się rozstrzygnięć na salach sądowych. Praktyka we wdrażaniu rozporządzenia spowoduje wydawanie kolejnych rekomendacji i wytycznych, które stworzą nowe problemy. Dzień 25 maja 2018 r. to był dopiero początek, a nie koniec tego procesu.

Można wymienić wiele dobrych stron RODO. W wielu firmach powołano Inspektorów Ochrony Danych. Obowiązek informowania o wyciekach jest ogromną zdobyczą z punktu widzenia bezpieczeństwa. Dostrzegamy, że firmy zaczynają korespondować ze swoimi klientami o ochronie danych. Wszyscy obserwowaliśmy jak świadomość problemów związanych z ochroną danych drastycznie wzrosła (co czasami owocowało nowymi absurdami, ale tak to już jest).

Bardzo ciekawie będzie zobaczyć jak te statystyki się zmienią po pierwszym roku funkcjonowania RODO.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

50 komentarzy

Dodaj komentarz
  1. A jak jest z karami? Były przyznane jakieś odszkodowania, czy kary administracyjne?

    • kara to ostateczność, na każdym szkoleniu gdzie byli przedstawiciele uodo to powtarzali.. “nie współpracujecie, macie wszystko gdzieś”, inaczej każdą firmę będziemy wstanie zniszczyć..

  2. Z tego wiem, aby zgłosić skargę, potrzeba informacji o firmie, która się dopuszcza naruszeń. Da się coś zrobić, gdy notorycznie dostaję spam, a adresat nie reaguje na wezwania do usunięcia danych,

    • Szukaj po nagłówkach maili, z tym że jeżeli wskazuje na komercyjną hostownię albo na firmę spoza EOG (Chiny, Rosja, ale też USA) to niewiele można zrobić – hostownia to tylko pośrednik kogoś (teoretycznie kogokolwiek, swoboda zawierania umów + klauzule poufnościowe o kontrahentach), a co do podmiotów zagranicznych to żadna instytucja nie może działać wbrew granicom państw, bo byłby to incydent dyplomatyczny.

  3. A co z artykułem z Moreli? Czy wiecie już coś więcej? To samo z Media Expert.

  4. Z tymi niepodpisanymi skargami to nie do końca tak. Sam wysłałem skargę przez ePUAP a po 2 miesiącach zadzwoniono z UODO żeby im przysłać papierową skargę, bo mają problem z ePUAP

  5. Wielka Brytania najwyżej, ale zaraz spadnie z tej listy, bo Brexit :)

    Co do dowodów to nawet rozumiem interesy operatorów – bez procedury weryfikacji dokumentów każdy mógłby zostać Grzegorzem Brzęczyszczykiewiczem herbu Chrząszczyżewoszyce i wziąć telefon na raty, a potem go nie spłacać i tu urywa się jakikolwiek ślad. Czasem uleganie presji zbyt dużej liczbie regulacji (w dodatku absurdalnie interpretowanych) kłóci się bardzo mocno ze zdrowym rozsądkiem, a oprócz wolności konsumenta jest jeszcze wolność przedsiębiorcy i nie wolno o tym zapominać ;)

    Nie rozumiem, dlaczego do monitoringu przyczepia się na siłę określenie “wizyjny”. To miało przez tyle lat swoją nomenklaturową nazwę – telewizja przemysłowa – do której warto by wrócić, a oprócz wizji przecież może po tych kablach lecieć i fonia :)

    • Telewizja przemysłowa – ładne – ale od razu z abonamentem radiowo-telewizyjnym się kojarzy :)
      Monitoring bezpieczniejszy.

    • @Lukasz032
      Ja tez rozumiem przedsiebiorcow, ale nie zgadzam sie z Toba, ze nie powinnismy dac sie zwariowac. Gdyby przedsiebiocy szyfrowali nasze poufne dane odpowiednio, albo bazy gdzie te informacje trzymaja to nie byloby problemu.

      Ale, ale… Tutaj powstaje nastepnia ironia – nawet jesli sie zabezpieczysz to nie jest to 100% przeciez, ale %-towo n zmniejszone ryzyko, no nie? Wiec, tak czy siak, de facto nikt nigdy nie jest bezpieczny w 100%… Whathever….

      Chodzi o to, aby przedsiebiorca, ktory zbiera i kolekcjonuje Twoje dane byl swiadomy, ze jak zgubi je, to powininen to zglosic. Jesli zagubil jakis mega powazny zestaw danych (np. zestaw poufych, jak rozmiar Twojego wacka, itd.) lub tym bardziej zostal zhakowany – od razu powinien takze Ciebie powiadomic, jako ofiare. W przypadku, gdy poleciala baza hasel, w ktorych bylo i Twoje, to masz czas na reakcje, czyli zmiane hasla i jakas, nikla szanse, zeby sie wybronic.

      Inaczej, pozostajesz w blogiej nieswiadomosci, ze jestes bezpieczny, w najlepszym razie do 30 dni, zanim nie zmienisz hasla… oczywiscie, jesli taka polityke stosujesz. Jesli jednak jestes szarym Kowalskim, ktory tak nie robi, kisi 1 haslo przez wiele lat, bez 2FA i innych form zabezpieczen, a same haslo 8 znakowe zmienia tylko przy okazji, jak zostaje o to poproszony… no to mamy potencjalnie dlugi okres, kiedy np. Twoje konto moze zostac skompromitowane, a nierzadko za jego pomoca mozna skompromitowac konta osob ufajacych Ci…

      A to przeciez tylko wierzcholek…

  6. A ja pisałem skargę do UODO przez EPUAP, ale 13.08.2018 nikt się nie odezwał. Rozumiem, że KPA nie obowiązuje UODO, albo nie korzystają z EPUAP`u – ze strachu przed utrata kontroli nad danymi :)

  7. Monitoring wizyjny to dobra nazwa bo można w nim przetwarzać tylko wizję. Fonia odpada w zastosowaniach “standardowych”.

  8. Szablonowość zgłoszeń o naruszeniach jest rozumiem pożądana, skoro na stronie UODO jest wzór zgłoszenia naruszenia. Mnogość zgłoszeń z niektórych firm jest ciekawa. Może wynika to ze stosowania jakiegoś oprogramowania automatyzującego proces wysyłki naruszeń. Swoją drogą chętnie przeczytałbym opinię Niebezpiecznika na temat najbardziej popularnych programów wspomagających firmy w wywiązywaniu się z obowiązków, które narzuca nań RODO.

  9. To całe UODO, to śmiech na sali. W lipcu zgłaszałem brak niedopełnienia obowiązku informacyjnego i żądałem dopełnienia tego obowiązku(firma, która mi spamowała telefonicznie, twierdziła, że dostała moje dane od innej firmy(o której w życiu nie słyszałem, a która nie posiada nawet strony internetowej), powołując się na nieobowiązującą już wtedy ustawę ODO. I co? Jajco. Do tej pory żadnej odpowiedzi nie dostałem i nic nie mogę z tym zrobić.

    • bo takie przypadki są ciężkie, a uodo nie dysponuje armią..

  10. Bzdury piszecie: “PESEL bardzo się przyda np. oszustowi, który zechce wziąć pożyczkę na wasze dane lub wyłudzić waszą kartę SIM. Wycieki dotyczące PESEL-i będą się zawsze wiązać z dużym ryzykiem – w naszej opinii” – To bzdurna opinia. Kradzież tożsamości, tutaj nr PESEL, to problem dla BANKÓW, INSTYTUCJI, FIRM POŻYCZKOWYCH i innych, ale nie dla WŁAŚCICIELA PESEL! Zapamiętajcie raz na zawsze że gdy BANK pożyczy komuś pieniądze na nasze dane osobowe, TO BANK MA PROBLEM BO STRACIŁ KASĘ, a nie Wy. Narobicie sobie problemu gdy będziecie starać się udowodnić że NIE JESTEŚCIE WIELBŁĄDEM. W przypadku gdy bank usiłuje Wam “przybić” kredyty którego nie wzięliście, czekacie na wyrok i zgłaszacie ZARZUT DO WYROKU (a nie SPRZECIW bo SPRZECIW to zupełnie inny rodzaj działania prawnego). W zarzucie podnosicie że umowa nie została zawarta z Wami lecz z kimś innym i to zazwyczaj kończy sprawę.

    • A w międzyczasie komornik już siędzi na twoim koncie, bo wyrok był i się uprawomocnił.

      Dużo razuy testowałeś te wspaniałe teorie w praktyce? Pewnie to *powinien* być problem banku. A w praktyce, masz okazję przekonać się, jak beznadziejnie działa wymiar (nie)sprawiedliwości.

      Pewnie – jeżeli, jak niżej podpisany, lata temu zadbałeś, by z systemu finansowego wyjść i oficjalnie nie mieć złamanej groszówki, którą komornik mógłby zająć – można się w to bawić. Dla ludzi nieco mniej tinfoil, oznacza to absolutny headache na *LATA*.

    • tyle lat jestem radcą prawnym i pierwszy raz słyszę o instytucji “zarzutu od wyroku”. jeśli chodziło o apelację to czasami moze być juz za późno cokolwiek udowadniać na tym etapie. Warto zainteresować się tematem wcześniej i jednak zadbać aby nikt na nasz dowód pozyczki nie wziął. sprawa jest wprawdzie do wygrania, ale jednak trwa to pare lat, faktycznie mozna mieć już w międzyczasie komornika, koszty sprawy sądowej zeby wszystko odkręcić, wpis do BIK i duuuuzo nerwów . lepiej tego unikać.

    • > jeżeli, jak niżej podpisany, lata temu zadbałeś, by z
      > systemu finansowego wyjść i oficjalnie nie mieć
      > złamanej groszówki, którą komornik mógłby zająć
      > – można się w to bawić

      Pytam poważnie. Jak to zrobić? Jak w dzisiejszych czasach nie być w systemie finansowym, nie mieć konta w banku? To raz.
      Dwa. Podatki jakoś płacić muszę. Muszę się urzędowi z dochodu spowiadać. Więc i tak mają moje dane i to, ile zarabiam.
      Chcę płacić podatki, ale nie chcę być w rządowych bazach danych. Da się to zrobić??

    • “zarzut do wyroku” nie mam pojęcia co to jest – ale jest w google – to jest :)
      https://www.google.pl/search?q=%22ZARZUT+DO+WYROKU%22&safe=active&rlz=1C1GCEU_plPL820PL820&ei=cNIHXOrLJoL5qwHv_KygBQ&start=10&sa=N&ved=0ahUKEwjqw7zW5YjfAhWC_CoKHW8-C1QQ8NMDCG4&biw=1920&bih=1058

    • “Zarzut Do Wyroku” (sorry za literówkę od/do) pisałem z pamięci. To jest podstawowa forma unieważniania wyroku gdy są ku temu podstawowe przesłanki: przedawnienie, inna osoba, nieaktualne przepisy, korzystanie z przepisów na czas popełnienia wykroczenia (w sprawach karnych) i w wielu innych przypadkach. Po wyroku “zaocznym” czyli takim gdy Sąd wydaje wyrok na podstawie złożonych dokumentów, to jest najprostsza forma “skasowania wyroku”. Każda inna droga to de facto przyznanie się do “sprawy” i jej kontynuacja. W zarzucie nie trzeba podnosić tylko jedego powodu, można z tzw. ostrożności procesowej podnieść więcej powodów/zarzutów. I jeszcze raz przypomnę, szczególnie adwersarzowi który ma się za prawnika: ZARZUT DO WYROKU to nie SPRZECIW.

    • Odnośnie istnienia POZA SYSTEMEM … mamy XXI wiek, ludzie tutaj piszący mają się za ludzi którzy wiele wiedzą i potrafią (skoro udzielają się w komentarzach…) Nie jest problemem istnieć poza systemem. Trzeba tylko myśleć :)

    • Tak zgadza się, można być poza systemem. Nie raz nam to udowodnił wódz narodu. A przy odrobinie fantazji można skorzystać z biedy w PL i założyć wszystko na słupa, i działać w jego imieniu. No bo co zrobią słupowi skoro on i tak nic nie ma? dadzą mu tymczasowe miejsce zamieszkania w areszcie?

  11. PESEL nie powinien być traktowany jako dane poufne… Po pierwsze w pewnych sytuacjach jest publiczny, po drugie np. kwalifikowany podpis elektroniczny zawiera w sobie właśnie PESEL. Zapamiętanie zaś przypadkowo podpatrzonego na np. dowodzie osobistym także nie jest wielkim problemem, podobnie jak nagranie.

    Ten numer powininen być traktowany jako unikalny identyfikator człowieka, nie zaś “tajemnica” do potwierdzania tożsamości.

    • W czasach kiedy na PESEL możesz wsiąść kredyt, lub telefon z abonamentem PESEL jest daną osobową i to bardzo wrażliwą. Co do mnie to RP już dawno powinna wystawić wszystkim klucze prywatne ( podpis cyfrowy) oparty o dowód osobisty. Tego typu dowód powinien mieć możliwość podpisywania dokumentów po uprzednim wprowadzeniu PINu. Aż dziw , że przy tylu sprawach sądowych o wyłudzenie żaden urzędas tego nie zaproponował.

    • Możesz wziąć telefon w abonamęcie bez właściwego numeru pesel. Telekomy nie maja dostępu do rządowych baz danych i nie mogą potwierdzć danych.
      Przeciez wydawane były telefony na cos co przypominało dowód osobisty z wydrukowanymi losowymi danymi. Dopiero komornik przypisywał taki kolaż do jakiejś osoby.

    • @Tokkotai Pomysł z kluczem jest interesujący, ale z drugiej strony strach pomyśleć jaki bajzel byłby z zapomnianymi PINami, zgubionymi dowodami itp. wśród osób “mniej technicznych”. No i urzedy musialyby wyewoluować w kierunku e-administracji. W dzisiejszych realiach nie do zrobienia niestety.

    • >Pomysł z kluczem jest interesujący, ale z drugiej strony strach pomyśleć jaki bajzel byłby z >zapomnianymi PINami, zgubionymi dowodami itp. wśród osób “mniej technicznych”. No i >urzedy musialyby wyewoluować w kierunku e-administracji. W dzisiejszych realiach nie do >zrobienia niestety.
      Przekonamy się o tym już w przyszłym roku – od 2019 nowe dowody mają mieć funkcję podpisu elektronicznego

  12. > jednak zadbać aby nikt na nasz dowód pozyczki nie wziął

    Jak to zrobić, skoro szeregowi policjanci, lekarze i recepcjoniści w hotelach mają dostęp do wszystkich danych potrzebnych by wziąć na kogoś pożyczkę? I tak w ogóle to po co hotelowi mój adres zamieszkania czy moja data urodzenia?

    Rozwiązanie jest jedno: koniec z meldunkami i PESEL-ami plus ustawowy zakaz przetwarzania przez firmy danych typu wizerunek twarzy itp. biometria. Jedyna informacja w rejestrach szpitalnych czy hotelowych to imię, nazwisko i numer dokumentu.

    • A potem do szpitala trafi dwóch Janów Kowalskich i chirurg przed operacją będzie musiał zgadywać któremu co wyciać.

    • Po co zgadywać?
      Zrobić badania i będzie wiadomo.
      Zresztą PESEL powinien być również jawny tylko dla celów pożyczkowo-podatkowych bezużyteczny ze względu na brak Podpisu cyfrowego połączonego z ID

    • @radek

      Przecież szpital i tak nada swoje id.

    • Lepiej generować fałszywy ID na podstawie prawdziwego, łącząc go ze składnikiem zależnym od drugiej strony. Dość łatwo to zrobić:
      * Na stronach WWW podajemy wynik hashowania z ciągu (PESEL + URL witryny)
      * Firmom podajemy hash z ciągu (PESEL + NIP firmy)

      W ten sposób dajemy (prawdopodobnie) unikatowy identyfikator, który umożliwia rozpoznanie osoby tylko w danej usłudze. Jeśli do tego dodamy jakiś sekretny komponent (inny dla każdej osoby), to uzyskamy też taką własność, że nie jest łatwo przewidzieć, jaki ID osoba będzie miała w danej firmie / usłudze, dzięki czemu po wycieku danych i tak nikt się nie dowie, czy mieliśmy tam konto (przynajmniej za pomocą PESELu).

    • > A potem do szpitala trafi dwóch Janów Kowalskich
      > i chirurg przed operacją będzie musiał zgadywać któremu co wyciać.

      Przecież mają inne numery dowodów/paszportów. Poza tym przez dziesiątki lat szpitale działały bez numerów PESEL i nie było żadnych problemów.

      W praktyce jest tak, że gdy pojawi się dwóch pacjentów o tym samym nazwisku (niezależnie od tego czy imiona się różnią czy nie) to kładzie się ich na tej samej sali (sic!) by uniknąć pomyłek – pacjenci są wtedy świadomi że sąsiad obok to też Kowalski i paradoksalnie łatwiej personelowi ich odróżniać.

  13. Miesiąc temu zgubiłem receptę gdzieś na ulicy, wiadomo jakie dane znajdują się na receptach. W strachu zarejestrowałem się na stronie polecanych w jednym temacie na tej stronie, podałem tam PESEL imię nazwisko jednak konta nie zweryfikowałem i ostatecznie po dwóch tygodniach je zamknąłem w obawie o wyciek. Od tego czasu praktycznie nie mam życia, cały czas myślę o tym, że czeka mnie horror, wpadłem w paranoję. Mam coraz gorsze myśli. Ostatnio pobrałem raport BIK za pośrednictwem banku i było czysto ale to mnie w żaden sposób nie uspokoiło. To jest poprostu chore jak przez zgubioną receptę praktycznie zgłupiałem. Ku przestrodze…

    • 1. Nie do końca rozumiem, jak na ulicy zgubiłeś. To nie takie łatwe. Masz pewność, że nie wsadziłeś do jakiejś teczki / torby / kieszeni innej niż zwykle? Spróbuj odtworzyć w pamięci sytuację.
      (z doświadczeń moich i otoczenia większość “zgubionych na ulicy” przedmiotów odnajduje się po 1-90 dniach w innym miejscu)

      2. Nawet jeśli zgubiłeś na ulicy, mógł znaleźć ją ktoś o neutralnych lub dobrych intencjach. Prawdopodobieństwo że znalazł ją akurat ktoś, kto umiałby ją wykorzystać w niecnym celu i chciałby to zrobić, nie jest wbrew pozorom aż takie duże. Nie mówiąc o tym, że warunki atmosferyczne mogły tę receptę zniszczyć.
      Co mogłaby zrobić osoba neutralna z Twoją receptą? Np. wyrzucić do pobliskiego kosza, albo wsadzić do kieszeni i zapomnieć, albo … wykupić samemu leki przepisane Tobie (“a nuż” się przydadzą).
      Co mogłaby zrobić osoba o dobrych intencjach? Np. oddać Tobie korzystając z adresu (ale na to trzeba mieć czas a nie każdy ma), albo zwrócić do lekarza wystawiającego / przychodni wystawiającej, albo oddać do najbliższej apteki, albo na jakąś portiernię (jeśli jest w pobliżu), itp. Tam z kolei kolejna osoba mogła wyrzucić lub gdzieś odłożyć i zapomnieć.

      Spróbuj na spokojnie przemyśleć i ewentualnie sprawdzić kolejne warianty.
      Pozdrawiam.

  14. Sądzę że nie ma co ukrywać swoich danych. Zetknąłem się już z tyloma sytuacjami gdzie nie szanowano moich danych osobowych więc zakładam że są skompromitowane.
    Zamiast kasować dane proponuję zakładać konta we wszystkich instytucjach finansowych, na wszystkich protalach społecznościowych oraz abonament w firmach telekomunikacyjnych. Jako obecny klient mogę ustawić blokady na utworzenie dodatkowych kont. Dodatkowo firmy będa miały moje orginalne dane, szablon podpisu, nagranie głosu do weryfikacji tożsamości.
    Druga opcją jest reset tożsamości z nowym peselem.

  15. …”Co ciekawe, rzeczniczka GIODO”…. no raczej już nie GIODO :-)

  16. No zgubiłem, byłem u alergologa bo choruję na dermografizm, przepisał mi leki, recepty wraz z wynikami badań włożyłem do kieszeni kurtki i na drugi dzień Żona się pyta gdzie recepty bo chce mi leki wykupić i się zaczęła panika. Niestety nigdzie ich nie znalazłem choć przeszukałem wszystko, to było 1.5 miesiąca temu. Od tego dnia praktycznie umieram wewnętrznie ze strachu. Mamy kredyt hipoteczny i takie problemy mogłyby nas załatwić. Jestem świadomy, że takie dane mogą wypłynąć z dowolnego urzędu,przychodni,banku itd. ale nie potrafię się uspokoić. Jeszcze się bardziej zestresowałem, że podałem imię nazwisko i PESEL na stronie, która powinna go chronić ale ze strachu dość szybko usunąłem konto.
    Przeczytałem wszystko co jest w internecie na temat chwilówek i chyba wpadłem w psychozę.

    • Wiesz, każdy z nas czasem wpada w myślenie tunelowe, tzn. nie widzi innych możliwości poza wyobrażonym scenariuszem. Szczególnie, kiedy jak to mówisz, “zaczyna się panika” w obliczu zagrożenia możliwymi konsekwencjami. Trzeba to przezwyciężyć, bo ekstremalny stres powoduje błędy w decyzjach, a już na pewno nic nie można wtedy znaleźć.
      Np. mój kuzyn często gubi jakiś ważny dokument, szuka, przewraca wszystko do góry nogami, nie znajduje, wpada w ostrą panikę, twierdzi że ktoś ukradł/wyrzucił, po czym szuka cała rodzina i znajduje najczęściej dzieciak (bo szuka dla zabawy, nie ze stresu). Zdarza się np. że jest w niby tej samej kieszeni, ale innego ubrania (drugich spodniach, drugiej kurtce). Albo włożony w czasopismo “żeby się nie pogniotło”. A raz okazało się, że jest w szafce o której wszyscy zapomnieli – codziennie na nią patrzyli i nie rejestrowali że tam jest szafka, bo stał na niej duży kwiat doniczkowy.

      Ale wracając do opisanej przez Ciebie sytuacji – jeżeli masz wyniki ale nie masz recepty, to być może została u lekarza? W sensie że Ci jej nie wydał? To całkiem częsta pomyłka, szczególnie jak jest dużo papierów. Moja ostatnio wydrukowała skierowanie i podpięła w kartę zamiast mi dać.

      Ważne jest przypomnieć sobie jak najwięcej drobnych szczegółów sytuacji – kto gdzie stał, jaki ruch się wykonało, co się miało ze sobą, itp. Nie pisz ich w komentarzu; na spokojnie dla siebie sobie przypomnij. To musi potrwać.

      A jeśli chodzi o branie kredytów przez oszustów, to dużo większe zagrożenie jest wykorzystaniem danych z wyciekniętego zbioru danych, niż ze znalezionej na ulicy czyjejś recepty (na której zresztą nie ma np. serii i numeru dowodu). Zbiorami danych interesują się ludzie którzy wiedzą o co chodzi i często pozyskują specjalnie, to bywa wręcz zorganizowany proceder. A zgubioną receptę szybciej znajdzie ktoś kompletnie przypadkowy, zajęty swoimi sprawami, kto po prostu patrzy pod nogi. Większość nie pomyśli “o, recepta, wezmę kredyt”, tylko zrobi coś doraźnego, traktując ją jako papierek, w najlepszym przypadku czyjś papierek.

      Na jakiej stronie wpisywałeś swoje dane i pesel żeby je zabezpieczyć? Jakiejś instytucji?

  17. Dzięki za pomoc. Niestety badanie było razem z receptami i wszystko przepadło, dosłownie nie ma nigdzie. Strona na której się zarejestrowałem to KRD-chronpesel.
    Niby było tutaj “polecane do sprawdzania zobowiązań” ale… no różnie bywa.

  18. A ja nie mam (aktualnego) dowodu osobistego – leży przeterminowany i nie odnowię go za cholerę – jeśli nikt nie daje mi gwarancji, że posługiwanie się tym dokumentem jest bezpieczne i w razie utraty, zgubienia czy kradzieży nie grozi mi jakiś koszmar. Im się nie chce – raz już tu pisałem – wystarczyłby jeden centralny system, który blokowałby dostęp do dokumentu, a który musiałby być odpytywany przed jakąkolwiek operacją na rachunku właściciela dokumentu (pożyczki na słupa itp).

    • Problem jest w Twoich DANYCH, a nie w samym dokumencie. Numer PESEL jest niezmienialny, data urodzenia jest niezmienialna – i ich nie powinno się co do zasady pozyskiwać, ale jest jak jest. Do tego niezliczone rejestry, prowadzone przez Januszy biznesu i zupełnie niezabezpieczone.

      Brak dowodu nie uchroni Cię przed wzięciem pożyczki na Twoje dane. Poza tym jeśli mieszkasz w Polsce to nasze (post)komunistyczne prawo przewiduje karę za niewyrobienie dowodu.

      Poza tym – jak podróżujesz? Wolisz oddać swoje odciski palców do paszportu?

  19. Żyj krótko umieraj MUODO ;-)

  20. A czy służbę zdrowia te przepisy nie obowiązują?
    Przy każdym skierowaniu na badanie – ksero dowodu. I nie, nie mogę się nie zgodzić, bo badania nie wykonają gdyż NFZ nie zwróci kasy. I badania które sam opłacam też – istna paranoja. Więc tych wniosków o naruszenie jest przynajmniej o kilka milionów za mało.

    • Pisz skargę do UODO. Kserowanie dowodu to przetwarzanie wizerunku twarzy, a do tego szpital/przychodnia/gabinet nie ma prawa.

  21. A wystarczy, że ktoś zrobi sobie kopię takiego ksera dowodu i chulaj dusza piekła nie ma. To jest chore.

  22. w październiku 2018 był włam na serwery towarzystwa ubezpieczeniowego AVIVA, wyciekły wszystkie dane z ubezpieczeń klientów. informacje o tym dostałem w grudniu.czemu nigdzie nie ma o tym mowy.?

    • Podeslij co dostałeś na redakcja@niebezpiecznik

  23. Czy istnieje możliwość stworzenia np. wtyczki do przeglądarki, która automatycznie będzie zgłaszać sprzeciwy do tzw. “uzasadnionego interesu” tzw. “partnerów” danego serwisu?

  24. […] z praktyki wiemy, że zwykle pierwszą rzeczą jaką robią administratorzy jest próba wytłumaczenia sobie, że wyciek nie był taki straszny. Czasami wymówki są mocno […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: