Dokumenty, które powinny być w sieci, a mimo to nam je zgłaszacie

dodał 14 sierpnia 2018 o 18:37 w kategorii Info  z tagami:
Dokumenty, które powinny być w sieci, a mimo to nam je zgłaszacie

Informujecie nas często o zaobserwowanych przez siebie wyciekach danych – i bardzo dobrze! Udało się nam dzięki temu rozwiązać niejeden problem. Bywa jednak, że zgłaszane przez Was wycieki w rzeczywistości wyciekami wcale nie są.

Jedno z ostatnich rozpatrywanych przez nas zgłoszeń dotyczyło trzech tajemniczych plików, które znalazł nasz Czytelnik, szukając w BIP-ie danych kontaktowych pewnego pracownika ZUS-u.

Jak sami możecie się przekonać, sumarycznie zawierają one imiona, nazwiska, adresy e-mail, telefony oraz stanowiska 9 635 pracowników Zakładu Ubezpieczeń Społecznych. Czytelnika zastanowiło, czy dane te aby na pewno powinny być publicznie dostępne.

Postanowiliśmy zapytać o to ZUS. Odpowiedział nam Bartłomiej Celejewski z Biura Prasowego: „Zakład zamieścił wymienione dane na stronie internetowej w wykonaniu wyroku NSA z dnia 7 kwietnia 2017 r., sygn. akt I OSK 1894/15”. Sprawdźmy, co to oznacza, w Centralnej Bazie Orzeczeń Sądów Administracyjnych.

Dlaczego ZUS upublicznił dane 10 tys. swoich pracowników

Ze wspomnianego wyżej orzeczenia wynika, że NSA oddalił skargę kasacyjną ZUS-u od wyroku WSA w Warszawie z dnia 9 marca 2015 r., sygn. akt II SA/Wa 1855/14. Poszło o odmowę udzielenia informacji publicznej. W lutym 2013 r. ktoś wystąpił z wnioskiem o udostępnienie:

– numerów telefonów komórkowych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje poszczególnymi numerami i komu numer został przydzielony;

– numerów telefonów stacjonarnych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje poszczególnymi numerami i komu numer został przydzielony;

– nazw lub numerów komunikatorów internetowych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje tym komunikatorem i komu aplikacja została przydzielona;

– adresów poczty elektronicznej będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje tym adresem i kto bezpośrednio jest odpowiedzialny za obsługę aplikacji.

ZUS odmówił, argumentując, że udostępnienie takich danych naruszyłoby prywatność zatrudnianych przez niego osób. Niezrażony tym wnioskodawca poprosił o ponowne rozpatrzenie sprawy, nic nie wskórał, zwrócił się więc do Wojewódzkiego Sądu Administracyjnego w Warszawie. Ten nakazał dane udostępnić. Zakład poskarżył się do Naczelnego Sądu Administracyjnego, ale skarga została oddalona. W efekcie – cztery lata po złożenia wniosku – dane pracowników ZUS-u zostały upublicznione. I choć można sobie wyobrazić parę sposobów na wykorzystanie tych danych w niecnych celach, wszystko odbyło się w majestacie prawa.

Dlaczego banki publikują dane kontrahentów

Innym przykładem dokumentu, który średnio raz w miesiącu ktoś nam zgłasza jako wyciek, jest arkusz Excela zawierający listę podmiotów, które współpracują z mBankiem. Możecie go znaleźć pod adresem: https://www.mbank.pl/download/mBankRejestUmow.xls. Zestawienie liczy 506 rekordów, a w nich takie pola jak: Organizacja, siedziba Organizacji oraz NIP. Wielu z Was uważa, że bank nie powinien udostępniać takich rejestrów w sieci.

W tym przypadku wyjaśnienie jest jeszcze prostsze. Otóż powinien, wymaga tego Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. z 2017 r. poz. 1876), a konkretnie:

Art. 111b. Ogłoszenie o podmiotach uprawnionych do dostępu do informacji chronionych tajemnicą bankową

1. Bank obowiązany jest ogłaszać w sposób ogólnie dostępny informacje o przedsiębiorcach lub przedsiębiorcach zagranicznych, o których mowa w art. 6a (powierzenie wykonywania niektórych czynności w imieniu i na rzecz banku) ust. 1 i 7, o ile przy wykonywaniu na rzecz jednostki organizacyjnej banku albo innego przedsiębiorcy lub przedsiębiorcy zagranicznego czynności, o których mowa w tych przepisach, uzyskują dostęp do informacji chronionych tajemnicą bankową.
2. Informacje, o których mowa w ust. 1, bank obowiązany jest również udostępnić nieodpłatnie, na żądanie zainteresowanej osoby, w miejscu wykonywania czynności, o którym mowa w art. 111 (informacje ogłaszane przez bank w miejscu wykonywania czynności) ust. 1.

Innymi słowy, każdy może poznać listę firm świadczących usługi dla danego banku, o ile mają one dostęp do tajemnicy bankowej. Ta z kolei obejmuje wszystkie informacje dotyczące czynności bankowych (takich jak udzielenie kredytu, prowadzenie rachunku bankowego itp.) uzyskane w trakcie negocjacji, zawierania i realizacji umów, na podstawie których te czynności są prowadzone. Na szybko wyszukaliśmy kilka plików udostępnianych przez inne banki, podobnych do tego powyżej [1, 2, 3]. Liczymy na to, że nie będziecie nam go więcej zgłaszać ;-)

Chętnie zajmiemy się jednak prawdziwymi wyciekami danych – jeśli jakiś przyuważycie, dajcie znać, postaramy się szybko rozprawić z problemem. Ostatnio pomogliśmy np. zamknąć dwa otwarte „kubełki” w chmurze Amazona – jeden zawierał prawa jazdy i dowody rejestracyjne, drugi życiorysy zawodowe Polaków.