Błędy cyfryzacji zagrożeniem dla naszych danych

Proste przekładanie zasad jawności ze świata analogowego do elektronicznego jest niewłaściwe, gdyż zmiana formy rodzi też nowe możliwości nadużyć.

Publikacja: 04.09.2023 14:59

Błędy cyfryzacji zagrożeniem dla naszych danych

Foto: Adobe Stock

Szymon Cydzik

W połowie sierpnia media informowały, że podczas zgłaszania roszczeń przez wierzycieli Getin Noble Banku, każdy ze zgłaszających miał dostęp do danych (w tym PESEL) wszystkich innych – a mowa tu o ok. 30 tys. osób. Podobne zaniepokojenie (w kontekście ujawnienia danych z recepty przez byłego ministra zdrowia) wywołała informacja, że każdy lekarz w Polsce ma dostęp do danych każdego pacjenta. Prócz tego np. PESELe i adresy wielu osób dostępne są też w takich publicznych rejestrach, jak Krajowy Rejestr Sądowy, Monitor Sądowy i Gospodarczy czy księgi wieczyste.

- A pamiętajmy, że w KRS są jeszcze akta rejestrowe, dostępne dla tego, kto ma konto w portalu jako pełnomocnik. – zauważa adw. dr Paweł Litwiński - Można tam znaleźć bardzo szczegółowe dane, także dotyczące sytuacji osobistej i majątkowej. Wcześniej trzeba było w tym celu jechać do właściwego sądu rejestrowego. Teraz można to zrobić z dowolnego miejsca. – dodaje.

Czytaj więcej

W sądzie i w urzędzie

Roszczenia wobec Getin Noble Bank. System wymusza kupienie e-podpisu

Krajowy Rejestr Zadłużonych nie wytrzymał obciążenia związanego ze zgłaszaniem roszczeń wobec Getin Noble Banku. Sytuacja może się powtarzać przy kolejnych dużych upadłościach.

Po co te dane?

-W KRS znajdują się powszechnie dostępne dane w tym PESELe, często osób publicznych i lepiej sytuowanych, np. prezesów dużych spółek. – tłumaczy adw. dr Karol Pachnik -A osoba mająca konto w portalu, może też przeglądać dokumenty rejestrowe, sprawdzając np. gdzie spółka ma nieruchomość. A skoro istnieje możliwość zdobycia „kolekcjonerskich dokumentów” to może kogoś kusić, by się nimi posłużyć i w imieniu prezesa spółki sprzedać taką nieruchomość. – dodaje.

Takie przypadki już się zresztą zdarzały, organizowane przez grupy przestępcze, z jedną z nich nawet współpracował notariusz. Ale taka współpraca nie jest potrzebna, bo jeśli mamy podrobiony dokument na prawdziwe dane, to notariusz nie jest wstanie tego zweryfikować (jeśli sam dokument nie wzbudzi jego podejrzeń). Nie trzeba zresztą uciekać się do podrabiania dokumentów, w oparciu o dane z rejestrów można bowiem np. wziąć w cudzym imieniu sprzęt AGD na kredyt.

Czytaj więcej

Zdrowie

Wrażliwe dane każdego pacjenta dla każdego lekarza. Jest luka w systemie

Lekarze znaleźli lukę w systemie gabinetowym gabinet.gov.pl umożliwiającą wgląd w dane dowolnej osoby niebędącej pacjentem danego lekarza - ujawnił TVN.

-Najprostszym rozwiązaniem byłaby rezygnacja z publikowania PESELu w tych rejestrach. To obecnie najważniejsza dana, dzięki której wszystko załatwiamy w urzędach czy bankach. - wskazuje Karol Pachnik -Kiedyś masowo wysyłano do e-sądu pozwy z fałszywymi adresami pozwanych. Aby to ukrócić, wprowadzono obowiązek podawania PESEL ale… powodów. Tylko po co one są w aktach sprawy? Potrzebne są realnie dopiero na etapie egzekucji. – dodaje.

- Moim zdaniem kierunkiem rozwoju rejestrów w sieci powinno być ograniczanie dostępu do szczegółowych danych osobowych (np. dotyczących sytuacji finansowej) tylko do zakresu niezbędnego dla realizacji interesu prawnego innych osób lub interesu publicznego. – mówi z kolei prof. Grzegorz Sibiga z INP PAN

Złe projektowanie

-Przed wprowadzeniem elektronizacji też teoretycznie każdy uczestnik miał dostęp do tych danych, ale trzeba było jechać do siedziby syndyka lub sądu i sprawdzać rekord po rekordzie. – wskazuje Paweł Litwiński -Teraz wszystko jest dostępne kilkoma kliknięciami z poziomu komputera. Podobnie było z księgami wieczystymi – niby po cyfryzacji były to te same dane i te same księgi, ale forma elektroniczna sprawiła, że ryzyko dla praw i wolności tych osób, stało się znacznie większe. – podsumowuje.

-Błędem w cyfryzacji było proste przeniesienie jawnych rejestrów do sieci, w tym rejestrów jawnych wewnętrznie dla uczestników postępowań, bez dokonania analizy konsekwencji tego w zakresie ingerencji w prywatność osób, których dane dotyczą. – tłumaczy z kolei prof. Grzegorz Sibiga z INP PAN -Nie zauważono, że w sieci znikają „naturalne bariery” ochrony danych, które istniały dotychczas. Wykazy czy rejestry były wcześniej dostępne tylko w określonym miejscu i czasie, co w praktyce znacząco ograniczało faktyczny dostęp do nich osób trzecich. – podsumowuje.

-Mamy machinalne przenoszenie rzeczywistości analogowej do świata cyfrowego. A tymczasem rozwiązania cyfrowe trzeba zaprojektować z myślą o ochronie prywatności, z uwzględnieniem nowych ryzyk, jak np. tego, że ktoś ma dostęp do 30 tys. rekordów w jednym miejscu. – podsumowuje Paweł Litwiński.

Dlatego też każde przeniesienie jawnego rejestru (wykazu) do sieci powinno być poprzedzone szczegółową analizą, której szczególnych celem jest minimalizowanie ryzyk dla praw osób, których dane dotyczą. Dopiero po niej należy wdrażać konkretne rozwiązania, które pozwolą na ochronę tych praw. Jednym z głównych problemów prawnych w tworzeniu jawnych rejestrów online jest potrzeba wyważenia prawa do ochrony danych osobowych oraz celów ustanawiania jawności, takich jak pewność obrotu gospodarczego, czy realizacja praw innych osób. Eksperci są zgodni, że jest to zadanie niezwykle trudne i nie można zrobić tego abstrakcyjnie.

- W kontekście KRZ większość ekspertów wskazywała, że węższy zakres danych powinien być dostępny elektronicznie. Problem polegał na tym, że system z automatu każdemu nadawał status strony bez weryfikacji, więc można było złożyć wniosek tylko po to, aby uzyskać dostęp do danych. – zauważa Paweł Litwiński - Ale jak mówią informatycy, to nie jest błąd systemu – on po prostu ma tak działać z założenia. Inaczej wygląda to w sprawach sądowych – tam mamy sprzeczne interesy i konieczny jest dostęp do danych drugiej strony, by tych interesów bronić. W przypadku upadłości – wszyscy wierzyciele właściwie są po tej samej stronie i sprzeczności interesów nie ma – dodaje.

Opinia dla "Rzeczpospolitej"

Wojciech Klicki, prawnik z Fundacji Panoptykon

To sytuacja o tyle nietypowa, że nie mamy do czynienia z dostępem do danych przez polityka lub urzędnika, ale ze swego rodzaju „wzajemną inwigilacją”. Tu mamy do czynienia z błędnym zaprojektowaniem systemu, który na taką inwigilację pozwala. Cyfryzacja państwa nie może być prostą digitalizacją akt, bo ona sama w sobie potęguje pewne zagrożenia i zmienia istotę rzeczy. Podobny problem dotyczył też dostępu do danych o wystawionych receptach, gdyż każdy lekarz, których mamy niemal 190 tys., miał dostęp do danych każdego pacjenta. Wystarczyło, że znał jego PESEL. Jest pewna możliwość śledzenia, kto ten dostęp uzyskał, ale jednak bardzo ograniczona. W takich systemach powinno się zapewniać osobom, których dane dotyczą, informacje o tym kto miał do nich dostęp. I to nie na wniosek, bo nie każdy ma kompetencje by go złożyć, ale z urzędu, w sposób automatyczny. Ponadto obywatel powinien mieć możliwość zgłoszenia nieprawidłowości w łatwy sposób (tak jest np. w Estonii). Po to, by ktoś (policja, UODO), mógł się nimi zająć.

IT Cyfryzacja Dane Osobowe Krajowy Rejestr Sądowy (KRS)

Pozostało 92% artykułu

Podatki

Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA

Naliczenia podatku od spadków i darowizn, gdy w wyniku odwołania darowizny doszło do skutecznego anulowania podstawy przysporzenia i jego zwrotu, nie da się pogodzić z konstytucją – uznał NSA.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Prawo w Polsce

Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"

Amnesty International Polska oraz sześć innych organizacji zwróciło się do premiera Donalda Tuska o zainicjowanie przez rząd procesu legislacyjnego prowadzącego do nowelizacji ustawy prawo o zgromadzeniach.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Praca, Emerytury i renty

Ile trzeba zarabiać, żeby na konto trafiło 5000 zł

Zastanawiasz się, ile musisz zarabiać brutto, by na Twoje konto wpływało 5000 zł netto? Kwota ta znacząco różni się w zależności od formy zatrudnienia.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wceminister sp

Prawo karne

Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach

W polskich aresztach i zakładach karnych przebywa o ponad 5 tys. więźniów mniej niż przed rokiem. Częściej wychodzą na wolność przed zakończeniem odbywania kary. - To dobra wiadomość - chwali ekspert.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Dane osobowe

PUODO o KROPiK: rejestr zwierząt niebezpieczny dla ludzi

Sam cel utworzenia Krajowego Rejestru Oznakowanych Psów i Kotów jest słuszny, ale przetwarzanie danych o nawet 12 milionach właścicieli psów i kotów, powinno odbywać się z ograniczeniem ryzyka dla tych danych - twierdzi Prezes Urzędu Ochrony Danych Osobowych, który został pominięty w procesie opiniowania projektu.

Kadry i Płace

Czy szef może zmusić pracownika do zaszczepienia się?

Obowiązkiem pracodawców jest ochrona życia i zdrowia pracowników. Czy w zakresie tego obowiązku firma może wymagać szczepienia, pytać o nie albo zwolnić za jego brak?

Rzecz o prawie

Przemysław Sotowski: Nie sprowadzajmy AI do danych osobowych

Czasy się zmieniają, a prawnicy specjalizujący się w ochronie danych osobowych nadal twierdzą, że to Urząd Ochrony Danych Osobowych powinien kontrolować dane i sztuczną inteligencję.

Raporty ekonomiczne

Cyfryzacja w Polsce wreszcie przyspieszyła

Z najnowszego raportu dotyczącego dojrzałości cyfrowej przedsiębiorstw produkcyjnych wyłaniają się optymistyczne wnioski. Inwestycje w IT idą w górę. Ale nadal jest dużo do zrobienia.

Raporty ekonomiczne

Boom na AI omija polski przemysł. Dlaczego firmy są sceptyczne?

Rodzime przedsiębiorstwa produkcyjne szybko się cyfryzują, ale technologia sztucznej inteligencji w nich ledwie raczkuje. Tylko 14 proc. firm z tej gałęzi gospodarki używa narzędzi AI – wskazują najnowsze badania.

Biznes

Firmy chcą cyfrowego przyspieszenia

Polska jest dziś w ogonie wyścigu państw wspierających systemowo innowacje. Mimo że nasza gospodarka jest jedną z większych w Europie, w rankingu inwestycji VC w stosunku do PKB plasujemy się na jego dole.

Praca

Polscy uczniowie nie radzą sobie z komputerami. Zaskakujące wyniki testu

Kompetencje cyfrowego młodego pokolenia Polaków są dramatycznie niskie. Z przeprowadzonego w naszym regionie Europy testu wśród tysięcy uczniów szkół podstawowych i liceów wynika, że to właśnie młodzież znad Wisły wypada najgorzej.

Biznes

Umowa o wdrożenie systemu informatycznego – jakie zawrzeć postanowienia?

Prawie każdy przedsiębiorca mierzył się z wdrożeniem systemu informatycznego, a tym samym z umową wdrożeniową. Odpowiednie jej skonstruowanie jest jednym z czynników, od których zależy powodzenie adaptacji.