Błędy cyfryzacji zagrożeniem dla naszych danych

Proste przekładanie zasad jawności ze świata analogowego do elektronicznego jest niewłaściwe, gdyż zmiana formy rodzi też nowe możliwości nadużyć.

Publikacja: 04.09.2023 14:59

Błędy cyfryzacji zagrożeniem dla naszych danych

Foto: Adobe Stock

W połowie sierpnia media informowały, że podczas zgłaszania roszczeń przez wierzycieli Getin Noble Banku, każdy ze zgłaszających miał dostęp do danych (w tym PESEL) wszystkich innych – a mowa tu o ok. 30 tys. osób. Podobne zaniepokojenie (w kontekście ujawnienia danych z recepty przez byłego ministra zdrowia) wywołała informacja, że każdy lekarz w Polsce ma dostęp do danych każdego pacjenta. Prócz tego np. PESELe i adresy wielu osób dostępne są też w takich publicznych rejestrach, jak Krajowy Rejestr Sądowy, Monitor Sądowy i Gospodarczy czy księgi wieczyste.

- A pamiętajmy, że w KRS są jeszcze akta rejestrowe, dostępne dla tego, kto ma konto w portalu jako pełnomocnik. – zauważa adw. dr Paweł Litwiński - Można tam znaleźć bardzo szczegółowe dane, także dotyczące sytuacji osobistej i majątkowej. Wcześniej trzeba było w tym celu jechać do właściwego sądu rejestrowego. Teraz można to zrobić z dowolnego miejsca. – dodaje.

Czytaj więcej

Roszczenia wobec Getin Noble Bank. System wymusza kupienie e-podpisu

Po co te dane?

-W KRS znajdują się powszechnie dostępne dane w tym PESELe, często osób publicznych i lepiej sytuowanych, np. prezesów dużych spółek. – tłumaczy adw. dr Karol Pachnik -A osoba mająca konto w portalu, może też przeglądać dokumenty rejestrowe, sprawdzając np. gdzie spółka ma nieruchomość. A skoro istnieje możliwość zdobycia „kolekcjonerskich dokumentów” to może kogoś kusić, by się nimi posłużyć i w imieniu prezesa spółki sprzedać taką nieruchomość. – dodaje.

Takie przypadki już się zresztą zdarzały, organizowane przez grupy przestępcze, z jedną z nich nawet współpracował notariusz. Ale taka współpraca nie jest potrzebna, bo jeśli mamy podrobiony dokument na prawdziwe dane, to notariusz nie jest wstanie tego zweryfikować (jeśli sam dokument nie wzbudzi jego podejrzeń). Nie trzeba zresztą uciekać się do podrabiania dokumentów, w oparciu o dane z rejestrów można bowiem np. wziąć w cudzym imieniu sprzęt AGD na kredyt.

Czytaj więcej

Wrażliwe dane każdego pacjenta dla każdego lekarza. Jest luka w systemie

-Najprostszym rozwiązaniem byłaby rezygnacja z publikowania PESELu w tych rejestrach. To obecnie najważniejsza dana, dzięki której wszystko załatwiamy w urzędach czy bankach. - wskazuje Karol Pachnik -Kiedyś masowo wysyłano do e-sądu pozwy z fałszywymi adresami pozwanych. Aby to ukrócić, wprowadzono obowiązek podawania PESEL ale… powodów. Tylko po co one są w aktach sprawy? Potrzebne są realnie dopiero na etapie egzekucji. – dodaje.

- Moim zdaniem kierunkiem rozwoju rejestrów w sieci powinno być ograniczanie dostępu do szczegółowych danych osobowych (np. dotyczących sytuacji finansowej) tylko do zakresu niezbędnego dla realizacji interesu prawnego innych osób lub interesu publicznego. – mówi z kolei prof. Grzegorz Sibiga z INP PAN

Złe projektowanie

-Przed wprowadzeniem elektronizacji też teoretycznie każdy uczestnik miał dostęp do tych danych, ale trzeba było jechać do siedziby syndyka lub sądu i sprawdzać rekord po rekordzie. – wskazuje Paweł Litwiński -Teraz wszystko jest dostępne kilkoma kliknięciami z poziomu komputera.  Podobnie było z księgami wieczystymi – niby po cyfryzacji były to te same dane i te same księgi, ale forma elektroniczna sprawiła, że ryzyko dla praw i wolności tych osób, stało się znacznie większe. – podsumowuje.

-Błędem w cyfryzacji było proste przeniesienie jawnych rejestrów do sieci, w tym rejestrów jawnych wewnętrznie dla uczestników postępowań, bez dokonania analizy konsekwencji tego w zakresie ingerencji w prywatność osób, których dane dotyczą. – tłumaczy z kolei prof. Grzegorz Sibiga z INP PAN -Nie zauważono, że w sieci znikają „naturalne bariery” ochrony danych, które istniały dotychczas. Wykazy czy rejestry były wcześniej dostępne tylko w określonym miejscu i czasie, co w praktyce znacząco ograniczało faktyczny dostęp do nich osób trzecich. – podsumowuje.

-Mamy machinalne przenoszenie rzeczywistości analogowej do świata cyfrowego. A tymczasem rozwiązania cyfrowe trzeba zaprojektować z myślą o ochronie prywatności, z uwzględnieniem nowych ryzyk, jak np. tego, że ktoś ma dostęp do 30 tys. rekordów w jednym miejscu. – podsumowuje Paweł Litwiński.

Dlatego też każde przeniesienie jawnego rejestru (wykazu) do sieci powinno być poprzedzone szczegółową analizą, której szczególnych celem jest minimalizowanie ryzyk dla praw osób, których dane dotyczą. Dopiero po niej należy wdrażać konkretne rozwiązania, które pozwolą  na ochronę tych praw. Jednym z głównych problemów prawnych w tworzeniu jawnych rejestrów online jest potrzeba wyważenia prawa do ochrony danych osobowych oraz celów ustanawiania jawności, takich jak pewność obrotu gospodarczego, czy realizacja praw innych osób. Eksperci są zgodni, że jest to zadanie niezwykle trudne i nie można zrobić tego abstrakcyjnie.

- W kontekście KRZ większość ekspertów wskazywała, że węższy zakres danych powinien być dostępny elektronicznie. Problem polegał na tym, że system z automatu każdemu nadawał status strony bez weryfikacji, więc można było złożyć wniosek tylko po to, aby uzyskać dostęp do danych. – zauważa Paweł Litwiński - Ale jak mówią informatycy, to nie jest błąd systemu – on po prostu ma tak działać z założenia. Inaczej wygląda to w sprawach sądowych – tam mamy sprzeczne interesy i konieczny jest dostęp do danych drugiej strony, by tych interesów bronić. W przypadku upadłości – wszyscy wierzyciele właściwie są po tej samej stronie i sprzeczności interesów nie ma – dodaje.

Opinia dla "Rzeczpospolitej"
Wojciech Klicki, prawnik z Fundacji Panoptykon

To sytuacja o tyle nietypowa, że nie mamy do czynienia z dostępem do danych przez polityka lub urzędnika, ale ze swego rodzaju „wzajemną inwigilacją”. Tu mamy do czynienia z błędnym zaprojektowaniem systemu, który na taką inwigilację pozwala. Cyfryzacja państwa nie może być prostą digitalizacją akt,  bo ona sama w sobie potęguje pewne zagrożenia i zmienia istotę rzeczy. Podobny problem dotyczył też dostępu do danych o wystawionych receptach, gdyż każdy lekarz, których mamy niemal 190 tys., miał dostęp do danych każdego pacjenta. Wystarczyło, że znał jego PESEL. Jest pewna możliwość śledzenia, kto ten dostęp uzyskał, ale jednak bardzo ograniczona. W takich systemach powinno się zapewniać osobom, których dane dotyczą, informacje o tym kto miał do nich dostęp. I to nie na wniosek, bo nie każdy ma kompetencje by go złożyć, ale z urzędu, w sposób automatyczny. Ponadto obywatel powinien mieć możliwość zgłoszenia nieprawidłowości w łatwy sposób (tak jest np. w Estonii). Po to, by ktoś (policja, UODO), mógł się nimi zająć. 

W połowie sierpnia media informowały, że podczas zgłaszania roszczeń przez wierzycieli Getin Noble Banku, każdy ze zgłaszających miał dostęp do danych (w tym PESEL) wszystkich innych – a mowa tu o ok. 30 tys. osób. Podobne zaniepokojenie (w kontekście ujawnienia danych z recepty przez byłego ministra zdrowia) wywołała informacja, że każdy lekarz w Polsce ma dostęp do danych każdego pacjenta. Prócz tego np. PESELe i adresy wielu osób dostępne są też w takich publicznych rejestrach, jak Krajowy Rejestr Sądowy, Monitor Sądowy i Gospodarczy czy księgi wieczyste.

Pozostało 92% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Podatki
Sprzedali odziedziczone mieszkanie. Zapędy fiskusa musiał zastopować sąd
Zawody prawnicze
Czystki w krakowskich prokuraturach. To ewenement w skali całego kraju
Sądy i trybunały
Pracownicy sądów i prokuratur przedstawili swoje żądania Bodnarowi
Zadania
Zielona rewolucja w polskich miastach. Muszą stworzyć plany klimatyczne
Materiał Promocyjny
Jakie są główne zalety systemów do zarządzania zasobami ludzkimi?
Sądy i trybunały
Ujawniono drugi przypadek inwigilowania Pegasusem sędziego w Polsce
Prawo karne
Polak skazany na dożywocie w Kongu jest już na wolności