14.08.2018 | 18:37

Anna Wasilewska-Śpioch

Dokumenty, które powinny być w sieci, a mimo to nam je zgłaszacie

Informujecie nas często o zaobserwowanych przez siebie wyciekach danych – i bardzo dobrze! Udało się nam dzięki temu rozwiązać niejeden problem. Bywa jednak, że zgłaszane przez Was wycieki w rzeczywistości wyciekami wcale nie są.

Jedno z ostatnich rozpatrywanych przez nas zgłoszeń dotyczyło trzech tajemniczych plików, które znalazł nasz Czytelnik, szukając w BIP-ie danych kontaktowych pewnego pracownika ZUS-u.

Jak sami możecie się przekonać, sumarycznie zawierają one imiona, nazwiska, adresy e-mail, telefony oraz stanowiska 9 635 pracowników Zakładu Ubezpieczeń Społecznych. Czytelnika zastanowiło, czy dane te aby na pewno powinny być publicznie dostępne.

Postanowiliśmy zapytać o to ZUS. Odpowiedział nam Bartłomiej Celejewski z Biura Prasowego: „Zakład zamieścił wymienione dane na stronie internetowej w wykonaniu wyroku NSA z dnia 7 kwietnia 2017 r., sygn. akt I OSK 1894/15”. Sprawdźmy, co to oznacza, w Centralnej Bazie Orzeczeń Sądów Administracyjnych.

Dlaczego ZUS upublicznił dane 10 tys. swoich pracowników

Ze wspomnianego wyżej orzeczenia wynika, że NSA oddalił skargę kasacyjną ZUS-u od wyroku WSA w Warszawie z dnia 9 marca 2015 r., sygn. akt II SA/Wa 1855/14. Poszło o odmowę udzielenia informacji publicznej. W lutym 2013 r. ktoś wystąpił z wnioskiem o udostępnienie:

– numerów telefonów komórkowych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje poszczególnymi numerami i komu numer został przydzielony;

– numerów telefonów stacjonarnych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje poszczególnymi numerami i komu numer został przydzielony;

– nazw lub numerów komunikatorów internetowych będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje tym komunikatorem i komu aplikacja została przydzielona;

– adresów poczty elektronicznej będących w dyspozycji Zakładu wraz z informacją, kto z imienia i nazwiska oraz wykonywaną funkcją dysponuje tym adresem i kto bezpośrednio jest odpowiedzialny za obsługę aplikacji.

ZUS odmówił, argumentując, że udostępnienie takich danych naruszyłoby prywatność zatrudnianych przez niego osób. Niezrażony tym wnioskodawca poprosił o ponowne rozpatrzenie sprawy, nic nie wskórał, zwrócił się więc do Wojewódzkiego Sądu Administracyjnego w Warszawie. Ten nakazał dane udostępnić. Zakład poskarżył się do Naczelnego Sądu Administracyjnego, ale skarga została oddalona. W efekcie – cztery lata po złożenia wniosku – dane pracowników ZUS-u zostały upublicznione. I choć można sobie wyobrazić parę sposobów na wykorzystanie tych danych w niecnych celach, wszystko odbyło się w majestacie prawa.

Dlaczego banki publikują dane kontrahentów

Innym przykładem dokumentu, który średnio raz w miesiącu ktoś nam zgłasza jako wyciek, jest arkusz Excela zawierający listę podmiotów, które współpracują z mBankiem. Możecie go znaleźć pod adresem: https://www.mbank.pl/download/mBankRejestUmow.xls. Zestawienie liczy 506 rekordów, a w nich takie pola jak: Organizacja, siedziba Organizacji oraz NIP. Wielu z Was uważa, że bank nie powinien udostępniać takich rejestrów w sieci.

W tym przypadku wyjaśnienie jest jeszcze prostsze. Otóż powinien, wymaga tego Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. z 2017 r. poz. 1876), a konkretnie:

Art. 111b. Ogłoszenie o podmiotach uprawnionych do dostępu do informacji chronionych tajemnicą bankową

1. Bank obowiązany jest ogłaszać w sposób ogólnie dostępny informacje o przedsiębiorcach lub przedsiębiorcach zagranicznych, o których mowa w art. 6a (powierzenie wykonywania niektórych czynności w imieniu i na rzecz banku) ust. 1 i 7, o ile przy wykonywaniu na rzecz jednostki organizacyjnej banku albo innego przedsiębiorcy lub przedsiębiorcy zagranicznego czynności, o których mowa w tych przepisach, uzyskują dostęp do informacji chronionych tajemnicą bankową.
2. Informacje, o których mowa w ust. 1, bank obowiązany jest również udostępnić nieodpłatnie, na żądanie zainteresowanej osoby, w miejscu wykonywania czynności, o którym mowa w art. 111 (informacje ogłaszane przez bank w miejscu wykonywania czynności) ust. 1.

Innymi słowy, każdy może poznać listę firm świadczących usługi dla danego banku, o ile mają one dostęp do tajemnicy bankowej. Ta z kolei obejmuje wszystkie informacje dotyczące czynności bankowych (takich jak udzielenie kredytu, prowadzenie rachunku bankowego itp.) uzyskane w trakcie negocjacji, zawierania i realizacji umów, na podstawie których te czynności są prowadzone. Na szybko wyszukaliśmy kilka plików udostępnianych przez inne banki, podobnych do tego powyżej [1, 2, 3]. Liczymy na to, że nie będziecie nam go więcej zgłaszać ;-)

Chętnie zajmiemy się jednak prawdziwymi wyciekami danych – jeśli jakiś przyuważycie, dajcie znać, postaramy się szybko rozprawić z problemem. Ostatnio pomogliśmy np. zamknąć dwa otwarte „kubełki” w chmurze Amazona – jeden zawierał prawa jazdy i dowody rejestracyjne, drugi życiorysy zawodowe Polaków.

Powrót

Komentarze

  • 2018.08.15 11:00 Pioteek

    Wyrok NSA z dnia 7 kwietnia 2017 r. czyli przepisy RODO jeszcze nie obowiązywały, czy pracodawca (w tym przypadku ZUS) musi zapytać pracownika o wyrażenie zgody na upublicznienie jego danych ?

    Odpowiedz
    • 2018.08.16 08:21 Jan

      RODO w tej kwestii nic nie zmienia. Nawiasem mówiąc RODO to kit często wykorzystywany przez ludzi, którzy nie chcą udostępnić danych, które udostępnić muszą. W instytucjach państwowych nie ma czegoś takiego jak prywatność urzędnika. Jego nazwisko, numer telefonu, funkcja, adres e-mail są tzw. informacją publiczną.

      Odpowiedz
      • 2018.08.26 15:39 komentatorka

        „Prywatność urżędnika” jest. Można publikować jego nazwisko, stanowisko, dane kontaktowe. Ale nie wolno upubliczniać jego wizerunku (sic), adresu zamieszkania i podobnych danych.

        Odpowiedz
  • 2018.08.15 19:47 rodeo

    Nie potrzebuje zgody. Pracodawca ma prawnie usprawiedliwony cel w posługiwaniu się, w tym publikowaniu np na www, danych pracowników (imię, nazwisko, dane służbowe jak stanowisko sluzbowy email, nr tel). Firmy i instytucje tworzą przecież (jeszcze;) ludzie.
    W przypadku instytucji publicznych można tez twierdzić ze są to osoby pełniące funkcje publiczne więc nie mieszczą się w kategorii prywatności tej osoby, stanowią tez z tego powodu informację publiczną co potwierdził NSA min w powyższym wyroku.

    Odpowiedz
    • 2018.08.15 22:40 abc

      Dobrze, jaki to prawnie usprawiedliwiony cel ma pracodawca? Osoby jakieś kontaktowe czy handlowcy to pewnie przejdzie ale np kadrowa?

      Odpowiedz
      • 2018.08.16 08:23 Jan

        Kadrowa bierze państwowe pieniądze więc jej dane są też jawne. Tak jak dane o firmie, która wykonuje usługi na rzecz urzędu. Kto robi, co robi, za ile oraz treść umowy są jawne.

        Z wnioskiem o udostępnienie informacji publicznej możesz zwrócić się nawet do prywatnej firmy jeśli wniosek dotyczy kasy jaką otrzymała od instytucji państwowej.

        Odpowiedz
      • 2018.08.16 10:00 Joe

        prawnym usprawiedliwieniem celu jest wyrok sądowy nakazujący publikację

        Odpowiedz
      • 2018.08.16 12:11 Mateusz

        Kadrowa to kiepski przykład, bo kontaktują się z nią często osoby spoza organizacji.
        Podanie danych pracowników w większości przypadków znajduje uzasadnienie.
        Zastanowienia mogłoby natomiast wymagać udostępnienie danych personelu sprzątającego.
        Należy też pamiętać, by z rozpędu nie podać prywatnych mejli czy telefonów, co się niestety często zdarza.
        Coraz bardziej przekonuję się, że nasza kultura prawna nie dorosła jeszcze do RODO i w ogóle rozporządzeń unijnych :/

        Odpowiedz
  • 2018.08.16 09:07 krsf

    Interesujący ten Excel od mBanku.
    Ciekaw jestem do jakich „informacji chronionych tajemnicą bankową” ma Chorzowskie solarium albo sklep wędkarski z Nowych Grocholic.
    Możecie podrążyć temat?

    Odpowiedz
    • 2018.08.17 14:37 JanuszBiznesu

      Prylaczam sie do pytania, tez jestem ciekawy.

      Odpowiedz
  • 2018.08.16 19:32 cyberJerzy

    Ej a kiedy będzie jakiś cyber-atak bo nie ma o czym czytać ?

    Odpowiedz
  • 2018.08.18 09:19 Marianna

    Zusy i banki są ponad prawem :-)

    Odpowiedz

Zostaw odpowiedź do JanuszBiznesu

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Dokumenty, które powinny być w sieci, a mimo to nam je zgłaszacie

Komentarze