Dokumenty, które powinny być w sieci, a mimo to nam je zgłaszacie
Informujecie nas często o zaobserwowanych przez siebie wyciekach danych – i bardzo dobrze! Udało się nam dzięki temu rozwiązać niejeden problem. Bywa jednak, że zgłaszane przez Was wycieki w rzeczywistości wyciekami wcale nie są.
Jedno z ostatnich rozpatrywanych przez nas zgłoszeń dotyczyło trzech tajemniczych plików, które znalazł nasz Czytelnik, szukając w BIP-ie danych kontaktowych pewnego pracownika ZUS-u.
- http://bip.zus.pl/documents/493361/1410103/Telefon.pdf
- http://bip.zus.pl/documents/493361/1410103/Email.pdf
- http://bip.zus.pl/documents/493361/1410103/Funkcja.pdf
Jak sami możecie się przekonać, sumarycznie zawierają one imiona, nazwiska, adresy e-mail, telefony oraz stanowiska 9 635 pracowników Zakładu Ubezpieczeń Społecznych. Czytelnika zastanowiło, czy dane te aby na pewno powinny być publicznie dostępne.
Postanowiliśmy zapytać o to ZUS. Odpowiedział nam Bartłomiej Celejewski z Biura Prasowego: „Zakład zamieścił wymienione dane na stronie internetowej w wykonaniu wyroku NSA z dnia 7 kwietnia 2017 r., sygn. akt I OSK 1894/15”. Sprawdźmy, co to oznacza, w Centralnej Bazie Orzeczeń Sądów Administracyjnych.
Dlaczego ZUS upublicznił dane 10 tys. swoich pracowników
Ze wspomnianego wyżej orzeczenia wynika, że NSA oddalił skargę kasacyjną ZUS-u od wyroku WSA w Warszawie z dnia 9 marca 2015 r., sygn. akt II SA/Wa 1855/14. Poszło o odmowę udzielenia informacji publicznej. W lutym 2013 r. ktoś wystąpił z wnioskiem o udostępnienie:
– numerów telefonów komórkowych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje poszczególnymi numerami i komu numer został przydzielony;
– numerów telefonów stacjonarnych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje poszczególnymi numerami i komu numer został przydzielony;
– nazw lub numerów komunikatorów internetowych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje tym komunikatorem i komu aplikacja została przydzielona;
– adresów poczty elektronicznej będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje tym adresem i kto bezpośrednio jest odpowiedzialny za obsługę aplikacji.
ZUS odmówił, argumentując, że udostępnienie takich danych naruszyłoby prywatność zatrudnianych przez niego osób. Niezrażony tym wnioskodawca poprosił o ponowne rozpatrzenie sprawy, nic nie wskórał, zwrócił się więc do Wojewódzkiego Sądu Administracyjnego w Warszawie. Ten nakazał dane udostępnić. Zakład poskarżył się do Naczelnego Sądu Administracyjnego, ale skarga została oddalona. W efekcie – cztery lata po złożenia wniosku – dane pracowników ZUS-u zostały upublicznione. I choć można sobie wyobrazić parę sposobów na wykorzystanie tych danych w niecnych celach, wszystko odbyło się w majestacie prawa.
Dlaczego banki publikują dane kontrahentów
Innym przykładem dokumentu, który średnio raz w miesiącu ktoś nam zgłasza jako wyciek, jest arkusz Excela zawierający listę podmiotów, które współpracują z mBankiem. Możecie go znaleźć pod adresem: https://www.mbank.pl/download/mBankRejestUmow.xls. Zestawienie liczy 506 rekordów, a w nich takie pola jak: Organizacja, siedziba Organizacji oraz NIP. Wielu z Was uważa, że bank nie powinien udostępniać takich rejestrów w sieci.
W tym przypadku wyjaśnienie jest jeszcze prostsze. Otóż powinien, wymaga tego Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. z 2017 r. poz. 1876), a konkretnie:
Art. 111b. Ogłoszenie o podmiotach uprawnionych do dostępu do informacji chronionych tajemnicą bankową
1. Bank obowiązany jest ogłaszać w sposób ogólnie dostępny informacje o przedsiębiorcach lub przedsiębiorcach zagranicznych, o których mowa w art. 6a (powierzenie wykonywania niektórych czynności w imieniu i na rzecz banku) ust. 1 i 7, o ile przy wykonywaniu na rzecz jednostki organizacyjnej banku albo innego przedsiębiorcy lub przedsiębiorcy zagranicznego czynności, o których mowa w tych przepisach, uzyskują dostęp do informacji chronionych tajemnicą bankową.
2. Informacje, o których mowa w ust. 1, bank obowiązany jest również udostępnić nieodpłatnie, na żądanie zainteresowanej osoby, w miejscu wykonywania czynności, o którym mowa w art. 111 (informacje ogłaszane przez bank w miejscu wykonywania czynności) ust. 1.
Innymi słowy, każdy może poznać listę firm świadczących usługi dla danego banku, o ile mają one dostęp do tajemnicy bankowej. Ta z kolei obejmuje wszystkie informacje dotyczące czynności bankowych (takich jak udzielenie kredytu, prowadzenie rachunku bankowego itp.) uzyskane w trakcie negocjacji, zawierania i realizacji umów, na podstawie których te czynności są prowadzone. Na szybko wyszukaliśmy kilka plików udostępnianych przez inne banki, podobnych do tego powyżej [1, 2, 3]. Liczymy na to, że nie będziecie nam go więcej zgłaszać ;-)
Chętnie zajmiemy się jednak prawdziwymi wyciekami danych – jeśli jakiś przyuważycie, dajcie znać, postaramy się szybko rozprawić z problemem. Ostatnio pomogliśmy np. zamknąć dwa otwarte „kubełki” w chmurze Amazona – jeden zawierał prawa jazdy i dowody rejestracyjne, drugi życiorysy zawodowe Polaków.
Wyrok NSA z dnia 7 kwietnia 2017 r. czyli przepisy RODO jeszcze nie obowiązywały, czy pracodawca (w tym przypadku ZUS) musi zapytać pracownika o wyrażenie zgody na upublicznienie jego danych ?
RODO w tej kwestii nic nie zmienia. Nawiasem mówiąc RODO to kit często wykorzystywany przez ludzi, którzy nie chcą udostępnić danych, które udostępnić muszą. W instytucjach państwowych nie ma czegoś takiego jak prywatność urzędnika. Jego nazwisko, numer telefonu, funkcja, adres e-mail są tzw. informacją publiczną.
„Prywatność urżędnika” jest. Można publikować jego nazwisko, stanowisko, dane kontaktowe. Ale nie wolno upubliczniać jego wizerunku (sic), adresu zamieszkania i podobnych danych.
Nie potrzebuje zgody. Pracodawca ma prawnie usprawiedliwony cel w posługiwaniu się, w tym publikowaniu np na www, danych pracowników (imię, nazwisko, dane służbowe jak stanowisko sluzbowy email, nr tel). Firmy i instytucje tworzą przecież (jeszcze;) ludzie.
W przypadku instytucji publicznych można tez twierdzić ze są to osoby pełniące funkcje publiczne więc nie mieszczą się w kategorii prywatności tej osoby, stanowią tez z tego powodu informację publiczną co potwierdził NSA min w powyższym wyroku.
Dobrze, jaki to prawnie usprawiedliwiony cel ma pracodawca? Osoby jakieś kontaktowe czy handlowcy to pewnie przejdzie ale np kadrowa?
Kadrowa bierze państwowe pieniądze więc jej dane są też jawne. Tak jak dane o firmie, która wykonuje usługi na rzecz urzędu. Kto robi, co robi, za ile oraz treść umowy są jawne.
Z wnioskiem o udostępnienie informacji publicznej możesz zwrócić się nawet do prywatnej firmy jeśli wniosek dotyczy kasy jaką otrzymała od instytucji państwowej.
prawnym usprawiedliwieniem celu jest wyrok sądowy nakazujący publikację
Kadrowa to kiepski przykład, bo kontaktują się z nią często osoby spoza organizacji.
Podanie danych pracowników w większości przypadków znajduje uzasadnienie.
Zastanowienia mogłoby natomiast wymagać udostępnienie danych personelu sprzątającego.
Należy też pamiętać, by z rozpędu nie podać prywatnych mejli czy telefonów, co się niestety często zdarza.
Coraz bardziej przekonuję się, że nasza kultura prawna nie dorosła jeszcze do RODO i w ogóle rozporządzeń unijnych :/
Interesujący ten Excel od mBanku.
Ciekaw jestem do jakich „informacji chronionych tajemnicą bankową” ma Chorzowskie solarium albo sklep wędkarski z Nowych Grocholic.
Możecie podrążyć temat?
Prylaczam sie do pytania, tez jestem ciekawy.
Ej a kiedy będzie jakiś cyber-atak bo nie ma o czym czytać ?
Zusy i banki są ponad prawem :-)