Powiatowy Urząd Pracy w Krośnie opublikował na swojej stronie internetowej Politykę Bezpieczeństwa, a w niej zrzut ekranu z systemu przetwarzającego dane osobowe bezrobotnych – z danymi kilkunastu osób na ekranie.
Kilka dni temu jeden z naszych Czytelników podesłał nam ciekawego linka. Prowadził on do dokumentu Polityki Bezpieczeństwa PUP Krosno, w któym można było znaleźć dane, wyglądające na dane osobowe bezrobotnych. Niestety urząd konsekwentnie odmawia nam udzielenia odpowiedzi na kilka prostych pytań dotyczących tego incydentu.
Ustawa wymaga, polityka jest
Polityka Bezpieczeństwa urzędu jest wypełnieniem wymogów wynikających z przepisów dotyczących ochrony danych osobowych. Zawiera ona wszystkie niezbędne elementy, w tym także opis struktury zbiorów danych, w których znajdziemy szczegółowy spis wszystkich narzędzi informatycznych używanych w urzędzie. Wśród nich jest także program ARCHIWUM, służący do, jak wynika z opisu zgromadzenia pod jednym numerem archiwalnym historii (okresy zarejestrowania, pobierania zasiłków, wysokość świadczeń itp.) poszczególnych osób.
Jeszcze chwilę po wysłaniu zapytania w tej sprawie do urzędu na stronie nr 16 Polityki znajdował się zrzut ekranu z programu ARCHIWUM:
Zamazaliśmy dane zawarte w zrzucie ekranu takie jak imię, nazwisko, numer PESEL oraz imię ojca. Krótko po wysłaniu pierwszego pytania do urzędu dokument magicznie uległ zmianie (nie widać tego w historii zmian) i w nowej wersji nie zawiera już rzeczonego zrzutu ekranu.
My pytamy, urząd nie odpowiada
Zaczęliśmy od prostego pytania wysłanego na skrzynkę urzędu o treści:
2. Jeśli dane są prawdziwe, to dlaczego zamieszczono je w upublicznionym dokumencie?
Po kilku dniach zastępca dyrektora PUP przesłał do nas pytanie zwrotne. Chciał wiedzieć, jak brzmi nazwisko redaktora oraz na jaki adres ma wysłać odpowiedź. Nie spotkaliśmy się wcześniej z taką praktyką, zatem poprosiliśmy o odpowiedź na nasz adres email. Pan zastępca dyrektora był jednak nieugięty i w kolejnym emailu powołał się na art. 63 Kodeksu Postępowania Administracyjnego, który w naszej skromnej ocenie nijak się ma do zapytania prasowego.
Postanowiliśmy jednak dać drugą szansę i poprosiliśmy o przesłanie informacji w trybie dostępu do informacji publicznej, który zgodnie z orzecznictwem nie wymaga podawania danych osobowych pytającego a odpowiedź powinna być wysłana również na adres poczty elektronicznej. Tym razem zastępca dyrektora wyciągnął innego asa z rękawa i zażądał wykazania, że żądana informacja ma charakter informacji publicznej. Mamy dosyć tej zabawy w kotka i myszkę – może ktoś z Czytelników wydusi z urzędu odpowiedź.
Podsumowując, mimo wielokrotnych prób nie udało nam się dowiedzieć, czy udostępnione dane należały faktycznie do osób fizycznych zarejestrowanych jako bezrobotne w PUP Krosno. Biorąc pod uwagę fakt, że fragment zniknął z dokumentu a urząd aktywnie utrudnia nam uzyskanie odpowiedzi na to pytanie – musicie zgadywać sami.
Dziękujemy Piotrowi za podesłanie informacji.
Komentarze
Teraz to można myśleć o wyduszeniu nieroba ze stołka, a nie odpowiedzi.
Paweł Nadziakiewicz
013 43 213 89 wewn. 300
pokój 340
nie prościej googlować dane osobowe i pytać te osoby czy to ich pesel? :)
Adamie, nie chce byc wredny bo lubie twoj serwis. Ale nie ma ciekawszych tematow? Takie „niebezpicznikowanie” moze fajnie wyglada w statystykach, ale w kuluarach jest srednio postrzegane. Powiem tak: czekam na kolejne fajne techniczne artykuly ;-) Nawet raz na tydzien.
To akurat dotyczy bezpieczeństwa urzędów. Jest przestrogą dla tych, którzy tworzą politykę bezpieczeństwa. No i wątek ma charakter informacyjno-humorystyczny :)
„i zażądał wykazania, że żądana informacja ma charakter informacji publicznej” Głupota. To oni muszą udowodnić że to nie jest informacja publiczna. Brak odpowiedzi (decyzji administracyjnej odmownej, informacji że urząd takiej informacji nie posiada lub samej informacji) w ciągu 14 dni -> skarga na bezczynność do WSA: http://forumprawne.org/postepowanie-administracyjne/300550-dostep-do-informacji-publicznej.html
A napiszcie w komentarzach co dokładnie do nich wysłaliście za drugim razem to sam do nich napiszę :)
Zostało opublikowane w Biuletynie Informacji Publicznej, wobec tego stanowi informację publiczną.
i dodam tylko jeszcze, że IP się albo udziela, albo odmawia w drodze decyzji administracyjnej. I tu jest mały haczyk, bo żeby wydać decyzję, potrzebne są dane strony, która o udostępnienie wnioskuje.
Nie dziwi mnie pomyłka. Natomiast reakcja na nią to sztandarowy przykład tego, jak urzędy nie powinny się zachowywać. Zaklinanie rzeczywistości…
art. 237 § 1 K.p.a. i tyle w temacie. A jak będą się ociągać to kodeksem po łapach.
Ustawa o dostępie do informacji publicznej wyraźnie to określa:
Art. 1. 1. Każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu i ponownemu wykorzystywaniu na zasadach i w trybie określonych w niniejszej ustawie.
Zatem szanowny Pan z urzędu ewidentnie się miga. Gra nie warta świeczki ale jak ktoś ma za dużo czasu to może pognębić urzędasa i mu zacytować w piśmie. Jeszcze lepiej jak zrobi to 100 lub więcej osób. Każdy taki wniosek będą musieli rozpatrzyć. Dalej można złożyć pozew do sądu administracyjnego na bezczynność (choć bezczelność bardziej tu pasuje) urzędniczą.
Dotykamy tu bardzo poważnego problemu – publikowania polityki bezpieczeństwa na stronach bip. Największe tuzy prawnicze toczą od lat spór, czy art. ustawy o ochronie danych osobowych nakazujący zachować w poufności sposób zabezpieczenia danych, ma w tym wypadku zastosowanie. Czy może jednak ważniejsza jest jawność działania administracji i polityka, jako informacja publiczna, powinna być udostępniona.
Dlatego mam nieco wyrozumiałości dla urzędników. Nikt nie ma pojęcia jakie będzie rozstrzygnięcie sądu, a urzędnik może ponosić odpowiedzialność zarówno gdy dokument udostępni, jak i wtedy gdy go nie udostępni.
Tylko nam nie chodzi o udostępnienie dokumentu a informację czy doszło do wycieku danych osobowych…
to ja wiem :)
Ale problem publikacji PB z informacją o stosowanych zabezpieczeniach boli mnie od dawna.
Natomiast w tym wypadku, jeżeli dane były danymi rzeczywistymi, to do ich udostępnienia osobom nieupoważnionym doszłoby nawet jeżeli dokument nie zostałby opublikowany na bip-ie. Bo przecież nie każdy pracownik Urzędu zapoznający się z PB, jest upoważniony do przetwarzania tych konkretnych danych.
W tej sytuacji takie pytanie trzeba zadać GIODO
I mają rację, że Wam nie odpowiadają! Czytać KPA 63.:
§ 3a. Podanie wniesione w formie dokumentu elektronicznego powinno:
1) być opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, przy zachowaniu zasad przewidzianych w przepisach o podpisie elektronicznym, oraz
2) zawierać dane w ustalonym formacie, zawarte we wzorze podania określonym w odrębnych przepisach, jeżeli te przepisy nakazują wnoszenie podań według określonego wzoru.
To spójrz do prawa prasowego.
Żeby pytać w trybie prawa prasowego to trzeba być zarejestrowanym w sądzie jako podmiot prasowy :-). Ot taka mała zagwostka. Zapraszam do przeczytania artykułu http://techlaw.pl/serwis-internetowy-nalezy-rejestrowac-podobnie-prase/
z3s jest zarejestrowana od samego początku działalności.
Wniosek o udostępenienie informacji publicznej nie ma określonej formy, w szczególności lata mu i powiewa KPA :D
Kontrola GIOO już została zamówiona. Następnym razem trzeb używać tego co ma się pomiędzy uszami i problemów by nie było.
Trzeba było udać, że jest się osobą widniejącą na spisie.
Poszedł wniosek ;) Adam – proszę o kontakt mailowy
Adam opisał poważny incydent naruszenia danych osobowych. Zgłosić sprawę do GIODO.
@pcs
Ja nie publikuję i nie udostępniam pb z przyległościami w trybie IP. Urząd nie realizuje posiadając SZBI w mojej opinii żadnego działania „publicznego”związanego z działalnością urzędową. Takie same obowiązki mają też inni ado, także biznes. Spróbuj wyciągnąć dokumentację szbi od banku czy innej firmy.
Realizacja zadań publicznych nie ma tu wiele wspólnego i to jest osobny temat.
Tutaj mówimy o informacji publicznej. Mimo, że pojawiają się, w mojej ocenie kuriozalne, orzeczenia wyłączające niektóre dokumenty, to jednak w tym wypadku nie ma wątpliwości. Ustawa o dostępie do informacji publicznej mówi, że każdemu przysługuje prawo „wglądu do dokumentów urzędowych”. A każde zarządzenie wójta/burmistrza/prezydenta/dyrektora z pewnością jest dokumentem urzędowym. Jeżeli każde inne zarządzenie jest IP, to dlaczego nie ma być nią PB? Moim PB jest informacją publiczną, ale możemy się zastanawiać czy powinna być udostępniana. Moim zdaniem, na podstawie zasady szczególnej w ustawie o ochronie danych osobowych – nie. Ale wiem, że niektórzy uważają inaczej.
PS
Przykład banku albo przedsiębiorstwa nie jest trafiony, bo zwykle ustawa o dostępie do IP ich nie dotyczy. Piszę zwykle, bo będzie ich dotyczyć, jeżeli będą realizować zadnia publiczne. I tu wracamy do definicji zadania publicznego. Problem w tym, że jedna, ustawowe definicja nie istnieje. Zadania wynikają z różnych ustaw. Ale w wypadku urzędu sprawa jest prosta. Nie wchodząc w szczegóły – wszystkie zadania realizowane przez jednostkę samorządu terytorialnego są zadaniami publicznymi (patrz art. 7 i art. 166 Konstytucji)
Chyba się zgadzamy ale inaczej dochodzimy do tych samych wniosków.
Ja uważam że cała dok. szbi nie jest IP bo nie jest to informacja o sprawach publicznych. obowiązek ochrony informacji, D. O. jest obowiązkiem powszechnym tak jak np ppoż, bhp czy urlop dla pracowników i dotyczy każdego podmiotu a „branża” nie ma znaczenia choć oczywiście są różne obowiązki branżowe. Podmiot publ. przyjmie oczywiście taką PB np. zarządzeniem wójta ale z orzecznictwA wynika że treść a nie forma decyduje o tym czy coś jest IP czy nie jest. No bo jak ma niby wójt ją przyjąć inaczej do stosowania? IP będzie natomiast na pewno to czy szbi funkcjonuje, ile kosztowało wdrożenie zabezpieczeń itd. To podejście chyba nie było testowane w sądach (nie znam Orzeczeń)
Twoje podejście opiera się na uznaniu z góry że dok. Szbi to IP (bo każda „kartka papieru” powstała w urzędzie to IP” i odmowie jej udostępnienia na podstawie art. 5 u. 1 ustawy o dip. w zw. z art 39 UODO. I tu na dwoje babka wróżyła.
W jednym i drugim przypadku zgadzamy się chyba że udostępnianie takich dok. Szbi że szczegółami zabezpieczeń wprost przeczy idei ich wdrażania.
To jeszcze w tym temacie: DIS/DEC-371/22315/11
i dzisiejszy tekst: http://prawo.gazetaprawna.pl/artykuly/894369,ministerstwo-sprawiedliwosci-przez-lata-korzystalo-z-bezprawnie-kopiowanego-rejestru-pesel.html
cudo!
Dokładnie. Polityka Bezpieczeństwa z racji zawarcia w sobie opisu wrażliwych mechanizmów ochronnych podmiotu, nie może być dokumentem jawnym. Polityka Bezpieczeństwa jest zwykle poszerzana o załączniki które dotyczą części często zmiennych oraz enumeratywnych – np. listy osób które są dopuszczone do przetwarzania takich czy innych informacji. Zatem jako że PB i załączniki stanowią całość, publikacja PB oznacza publikację załączników a więc ujawnienie danych osobowych (patrząc z UODO), z punktu widzenia ISO 27xxx stanowi incydent bezpieczeństwa nie gorszy niż utrata kluczy prywatnych.
Jeżeli podmiot publikuje PB na stronach BIP czy własnych to znaczy że zarząd nie rozumie co deklaruje w nieszczęsnej Polityce, zaś administrator bezpieczeństwa to delikatnie mówiąc ignorant. 90% przypadków wynika z tego że ludzie mylą Politykę Bezpieczeństwa z Polityką Prywatności – „panie to to co ma sklep i co każdy ma – to ja też dam i będzie…” no niestety tak to wygląda w praktyce. Ilość wdrożeń ze zrozumieniem ich sensu i zaangażowaniem kierownictwa jest niewielka…
2012.04.12, wyrok WSA w Olsztynie, II SAB/Ol 33/12, LEX nr 1145979
To, że prawo do informacji publicznej przysługuje każdemu nie oznacza, że wnioskodawca może być anonimowy. Pod pojęciem każdego należy rozumieć osobę fizyczną, osobę prawną lub jednostkę nieposiadającą osobowości prawnej. Wskazanie przez wnioskodawcę danych pozwalających na jego identyfikację jest minimalnym wymaganiem. Organ zobowiązany do udzielenia informacji publicznej ma zatem pełne prawo domagać się danych, które pozwolą na należyte określenie podmiotu, wobec którego mają być podjęte czynności związane z realizacją wniosku. Uprawnienia organu w podanym zakresie nie niweczy fakt, że udzielenie informacji publicznej
nie jest uzależnione od wykazania przez wnioskodawcę interesu prawnego lub faktycznego.
A II SAB/Wa 57/09 ? Poza tym możesz wejść i zapytać, nie masz obowiązku posiadania ze sobą dowodu osobistego.
Ciekawy wyrok…
Zawsze, gdy ktoś mówił, że w celu udostępnienia IP mam mu podać moje dane, cytowałem wyrok WSA w Warszawie II SAB/Wa 57/09.
Jak widać, w Polsce nadal łatwiej przewidzieć wyroki boskie niż wyroki sądów.
2015 rok a oni ciągle w DOS …
zaktualizowali politykę
Krosno – to na Podkarpaciu,czy gdzie indziej ?
Mam rację… Podkarpackie… Tu urzędy (zwłaszcza urzędy bezrobocia zwane dla beki urzędami pracy) nie takie numery wywijają…
Pozdro from Polish Bostwanaland :D
Znaczy… Polish Botswanaland. Albo jak ktoś woli województwa kandydujące do roli najbardziej patologicznego w kraju :P
po pobraniu pliku widać że był modyfikowany 10.09.2015 o 10:51 przez roberta :)
Nie zaktualizowali się do ostatniej zmiany … :|
@Adam: napisz do Marcina Maja z Dziennika Internautów, on się z chęcią zajmie próbami wyciągnięcia informacji z urzędu.
Jak widać rejestr zmian w BiP to pic na wodę, dobrze wiedzieć.
Biurokratyczna mafia.
No i to jest kolejny przykład na to, że z danymi osobowymi postępować trzeba bardzo ostrożnie.