szukaj

16.09.2015 | 14:18

avatar

Adam Haertle

Urząd opublikował dane osobowe… w treści swojej Polityki Bezpieczeństwa

Powiatowy Urząd Pracy w Krośnie opublikował na swojej stronie internetowej Politykę Bezpieczeństwa, a w niej zrzut ekranu z systemu przetwarzającego dane osobowe bezrobotnych – z danymi kilkunastu osób na ekranie.

Kilka dni temu jeden z naszych Czytelników podesłał nam ciekawego linka. Prowadził on do dokumentu Polityki Bezpieczeństwa PUP Krosno, w któym można było znaleźć dane, wyglądające na dane osobowe bezrobotnych. Niestety urząd konsekwentnie odmawia nam udzielenia odpowiedzi na kilka prostych pytań dotyczących tego incydentu.

Ustawa wymaga, polityka jest

Polityka Bezpieczeństwa urzędu jest wypełnieniem wymogów wynikających z przepisów dotyczących ochrony danych osobowych. Zawiera ona wszystkie niezbędne elementy, w tym także opis struktury zbiorów danych, w których znajdziemy szczegółowy spis wszystkich narzędzi informatycznych używanych w urzędzie. Wśród nich jest także program ARCHIWUM, służący do, jak wynika z opisu zgromadzenia pod jednym numerem archiwalnym historii (okresy zarejestrowania, pobierania zasiłków, wysokość świadczeń itp.)  poszczególnych osób.

Jeszcze chwilę po wysłaniu zapytania w tej sprawie do urzędu na stronie nr 16 Polityki znajdował się zrzut ekranu z programu ARCHIWUM:

Zrzut ekranu fragmentu Polityki

Zrzut ekranu fragmentu Polityki

Zamazaliśmy dane zawarte w zrzucie ekranu takie jak imię, nazwisko, numer PESEL oraz imię ojca. Krótko po wysłaniu pierwszego pytania do urzędu dokument magicznie uległ zmianie (nie widać tego w historii zmian) i w nowej wersji nie zawiera już rzeczonego zrzutu ekranu.

My pytamy, urząd nie odpowiada

Zaczęliśmy od prostego pytania wysłanego na skrzynkę urzędu o treści:

1. Czy zamieszczone na zrzucie ekranu dane faktycznie należą do osób obecnie lub kiedyś zarejestrowanych w Urzędzie Pracy?
2. Jeśli dane są prawdziwe, to dlaczego zamieszczono je w upublicznionym dokumencie?

Po kilku dniach zastępca dyrektora PUP przesłał do nas pytanie zwrotne. Chciał wiedzieć, jak brzmi nazwisko redaktora oraz na jaki adres ma wysłać odpowiedź. Nie spotkaliśmy się wcześniej z taką praktyką, zatem poprosiliśmy o odpowiedź na nasz adres email. Pan zastępca dyrektora był jednak nieugięty i w kolejnym emailu powołał się na art. 63 Kodeksu Postępowania Administracyjnego, który w naszej skromnej ocenie nijak się ma do zapytania prasowego.

Postanowiliśmy jednak dać drugą szansę i poprosiliśmy o przesłanie informacji w trybie dostępu do informacji publicznej, który zgodnie z orzecznictwem nie wymaga podawania danych osobowych pytającego a odpowiedź powinna być wysłana również na adres poczty elektronicznej. Tym razem zastępca dyrektora wyciągnął innego asa z rękawa i zażądał wykazania, że żądana informacja ma charakter informacji publicznej. Mamy dosyć tej zabawy w kotka i myszkę – może ktoś z Czytelników wydusi z urzędu odpowiedź.

Podsumowując, mimo wielokrotnych prób nie udało nam się dowiedzieć, czy udostępnione dane należały faktycznie do osób fizycznych zarejestrowanych jako bezrobotne w PUP Krosno. Biorąc pod uwagę fakt, że fragment zniknął z dokumentu a urząd aktywnie utrudnia nam uzyskanie odpowiedzi na to pytanie – musicie zgadywać sami.

Dziękujemy Piotrowi za podesłanie informacji.

Powrót

Komentarze

  • avatar
    2015.09.16 14:28 steniek

    Teraz to można myśleć o wyduszeniu nieroba ze stołka, a nie odpowiedzi.

    Odpowiedz
    • avatar
      2015.09.17 12:48 kot

      Paweł Nadziakiewicz
      013 43 213 89 wewn. 300
      pokój 340

      Odpowiedz
  • avatar
    2015.09.16 14:43 Ace

    nie prościej googlować dane osobowe i pytać te osoby czy to ich pesel? :)

    Odpowiedz
  • avatar
    2015.09.16 14:49 J

    Adamie, nie chce byc wredny bo lubie twoj serwis. Ale nie ma ciekawszych tematow? Takie „niebezpicznikowanie” moze fajnie wyglada w statystykach, ale w kuluarach jest srednio postrzegane. Powiem tak: czekam na kolejne fajne techniczne artykuly ;-) Nawet raz na tydzien.

    Odpowiedz
    • avatar
      2015.09.16 17:31 Cololo

      To akurat dotyczy bezpieczeństwa urzędów. Jest przestrogą dla tych, którzy tworzą politykę bezpieczeństwa. No i wątek ma charakter informacyjno-humorystyczny :)

      Odpowiedz
  • avatar
    2015.09.16 15:01 inpub

    „i zażądał wykazania, że żądana informacja ma charakter informacji publicznej” Głupota. To oni muszą udowodnić że to nie jest informacja publiczna. Brak odpowiedzi (decyzji administracyjnej odmownej, informacji że urząd takiej informacji nie posiada lub samej informacji) w ciągu 14 dni -> skarga na bezczynność do WSA: http://forumprawne.org/postepowanie-administracyjne/300550-dostep-do-informacji-publicznej.html

    Odpowiedz
  • avatar
    2015.09.16 15:02 example

    A napiszcie w komentarzach co dokładnie do nich wysłaliście za drugim razem to sam do nich napiszę :)

    Odpowiedz
  • avatar
    2015.09.16 15:17 pcs

    Zostało opublikowane w Biuletynie Informacji Publicznej, wobec tego stanowi informację publiczną.

    Odpowiedz
    • avatar
      2015.09.16 16:04 pcs

      i dodam tylko jeszcze, że IP się albo udziela, albo odmawia w drodze decyzji administracyjnej. I tu jest mały haczyk, bo żeby wydać decyzję, potrzebne są dane strony, która o udostępnienie wnioskuje.

      Odpowiedz
  • avatar
    2015.09.16 15:24 Krzysiek

    Nie dziwi mnie pomyłka. Natomiast reakcja na nią to sztandarowy przykład tego, jak urzędy nie powinny się zachowywać. Zaklinanie rzeczywistości…

    Odpowiedz
  • avatar
    2015.09.16 15:24 Daniel

    art. 237 § 1 K.p.a. i tyle w temacie. A jak będą się ociągać to kodeksem po łapach.

    Odpowiedz
  • avatar
    2015.09.16 15:24 MatM

    Ustawa o dostępie do informacji publicznej wyraźnie to określa:

    Art. 1. 1. Każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu i ponownemu wykorzystywaniu na zasadach i w trybie określonych w niniejszej ustawie.

    Zatem szanowny Pan z urzędu ewidentnie się miga. Gra nie warta świeczki ale jak ktoś ma za dużo czasu to może pognębić urzędasa i mu zacytować w piśmie. Jeszcze lepiej jak zrobi to 100 lub więcej osób. Każdy taki wniosek będą musieli rozpatrzyć. Dalej można złożyć pozew do sądu administracyjnego na bezczynność (choć bezczelność bardziej tu pasuje) urzędniczą.

    Odpowiedz
  • avatar
    2015.09.16 15:26 pcs

    Dotykamy tu bardzo poważnego problemu – publikowania polityki bezpieczeństwa na stronach bip. Największe tuzy prawnicze toczą od lat spór, czy art. ustawy o ochronie danych osobowych nakazujący zachować w poufności sposób zabezpieczenia danych, ma w tym wypadku zastosowanie. Czy może jednak ważniejsza jest jawność działania administracji i polityka, jako informacja publiczna, powinna być udostępniona.
    Dlatego mam nieco wyrozumiałości dla urzędników. Nikt nie ma pojęcia jakie będzie rozstrzygnięcie sądu, a urzędnik może ponosić odpowiedzialność zarówno gdy dokument udostępni, jak i wtedy gdy go nie udostępni.

    Odpowiedz
    • avatar
      2015.09.16 15:41 Adam

      Tylko nam nie chodzi o udostępnienie dokumentu a informację czy doszło do wycieku danych osobowych…

      Odpowiedz
      • avatar
        2015.09.16 16:46 pcs

        to ja wiem :)
        Ale problem publikacji PB z informacją o stosowanych zabezpieczeniach boli mnie od dawna.

        Natomiast w tym wypadku, jeżeli dane były danymi rzeczywistymi, to do ich udostępnienia osobom nieupoważnionym doszłoby nawet jeżeli dokument nie zostałby opublikowany na bip-ie. Bo przecież nie każdy pracownik Urzędu zapoznający się z PB, jest upoważniony do przetwarzania tych konkretnych danych.

        Odpowiedz
      • avatar
        2015.09.17 09:59 Imek

        W tej sytuacji takie pytanie trzeba zadać GIODO

        Odpowiedz
  • avatar
    2015.09.16 15:26 Mikado

    I mają rację, że Wam nie odpowiadają! Czytać KPA 63.:

    § 3a. Podanie wniesione w formie dokumentu elektronicznego powinno:

    1) być opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, przy zachowaniu zasad przewidzianych w przepisach o podpisie elektronicznym, oraz

    2) zawierać dane w ustalonym formacie, zawarte we wzorze podania określonym w odrębnych przepisach, jeżeli te przepisy nakazują wnoszenie podań według określonego wzoru.

    Odpowiedz
    • avatar
      2015.09.16 15:39 Adam

      To spójrz do prawa prasowego.

      Odpowiedz
    • avatar
      2015.09.16 16:16 Joahim

      Wniosek o udostępenienie informacji publicznej nie ma określonej formy, w szczególności lata mu i powiewa KPA :D

      Odpowiedz
  • avatar
    2015.09.16 15:31 tenbit

    Kontrola GIOO już została zamówiona. Następnym razem trzeb używać tego co ma się pomiędzy uszami i problemów by nie było.

    Odpowiedz
  • avatar
    2015.09.16 16:42 ff

    Trzeba było udać, że jest się osobą widniejącą na spisie.

    Odpowiedz
  • avatar
    2015.09.16 17:41 Tymon

    Poszedł wniosek ;) Adam – proszę o kontakt mailowy

    Odpowiedz
  • avatar
    2015.09.16 19:58 Duży Pies

    Adam opisał poważny incydent naruszenia danych osobowych. Zgłosić sprawę do GIODO.

    Odpowiedz
  • avatar
    2015.09.16 20:19 blah

    @pcs
    Ja nie publikuję i nie udostępniam pb z przyległościami w trybie IP. Urząd nie realizuje posiadając SZBI w mojej opinii żadnego działania „publicznego”związanego z działalnością urzędową. Takie same obowiązki mają też inni ado, także biznes. Spróbuj wyciągnąć dokumentację szbi od banku czy innej firmy.

    Odpowiedz
    • avatar
      2015.09.16 22:16 pcs

      Realizacja zadań publicznych nie ma tu wiele wspólnego i to jest osobny temat.
      Tutaj mówimy o informacji publicznej. Mimo, że pojawiają się, w mojej ocenie kuriozalne, orzeczenia wyłączające niektóre dokumenty, to jednak w tym wypadku nie ma wątpliwości. Ustawa o dostępie do informacji publicznej mówi, że każdemu przysługuje prawo „wglądu do dokumentów urzędowych”. A każde zarządzenie wójta/burmistrza/prezydenta/dyrektora z pewnością jest dokumentem urzędowym. Jeżeli każde inne zarządzenie jest IP, to dlaczego nie ma być nią PB? Moim PB jest informacją publiczną, ale możemy się zastanawiać czy powinna być udostępniana. Moim zdaniem, na podstawie zasady szczególnej w ustawie o ochronie danych osobowych – nie. Ale wiem, że niektórzy uważają inaczej.

      PS
      Przykład banku albo przedsiębiorstwa nie jest trafiony, bo zwykle ustawa o dostępie do IP ich nie dotyczy. Piszę zwykle, bo będzie ich dotyczyć, jeżeli będą realizować zadnia publiczne. I tu wracamy do definicji zadania publicznego. Problem w tym, że jedna, ustawowe definicja nie istnieje. Zadania wynikają z różnych ustaw. Ale w wypadku urzędu sprawa jest prosta. Nie wchodząc w szczegóły – wszystkie zadania realizowane przez jednostkę samorządu terytorialnego są zadaniami publicznymi (patrz art. 7 i art. 166 Konstytucji)

      Odpowiedz
      • avatar
        2015.09.17 13:47 blah

        Chyba się zgadzamy ale inaczej dochodzimy do tych samych wniosków.
        Ja uważam że cała dok. szbi nie jest IP bo nie jest to informacja o sprawach publicznych. obowiązek ochrony informacji, D. O. jest obowiązkiem powszechnym tak jak np ppoż, bhp czy urlop dla pracowników i dotyczy każdego podmiotu a „branża” nie ma znaczenia choć oczywiście są różne obowiązki branżowe. Podmiot publ. przyjmie oczywiście taką PB np. zarządzeniem wójta ale z orzecznictwA wynika że treść a nie forma decyduje o tym czy coś jest IP czy nie jest. No bo jak ma niby wójt ją przyjąć inaczej do stosowania? IP będzie natomiast na pewno to czy szbi funkcjonuje, ile kosztowało wdrożenie zabezpieczeń itd. To podejście chyba nie było testowane w sądach (nie znam Orzeczeń)

        Twoje podejście opiera się na uznaniu z góry że dok. Szbi to IP (bo każda „kartka papieru” powstała w urzędzie to IP” i odmowie jej udostępnienia na podstawie art. 5 u. 1 ustawy o dip. w zw. z art 39 UODO. I tu na dwoje babka wróżyła.

        W jednym i drugim przypadku zgadzamy się chyba że udostępnianie takich dok. Szbi że szczegółami zabezpieczeń wprost przeczy idei ich wdrażania.

        Odpowiedz
    • avatar
      2015.09.21 10:21 Łukasz

      Dokładnie. Polityka Bezpieczeństwa z racji zawarcia w sobie opisu wrażliwych mechanizmów ochronnych podmiotu, nie może być dokumentem jawnym. Polityka Bezpieczeństwa jest zwykle poszerzana o załączniki które dotyczą części często zmiennych oraz enumeratywnych – np. listy osób które są dopuszczone do przetwarzania takich czy innych informacji. Zatem jako że PB i załączniki stanowią całość, publikacja PB oznacza publikację załączników a więc ujawnienie danych osobowych (patrząc z UODO), z punktu widzenia ISO 27xxx stanowi incydent bezpieczeństwa nie gorszy niż utrata kluczy prywatnych.
      Jeżeli podmiot publikuje PB na stronach BIP czy własnych to znaczy że zarząd nie rozumie co deklaruje w nieszczęsnej Polityce, zaś administrator bezpieczeństwa to delikatnie mówiąc ignorant. 90% przypadków wynika z tego że ludzie mylą Politykę Bezpieczeństwa z Polityką Prywatności – „panie to to co ma sklep i co każdy ma – to ja też dam i będzie…” no niestety tak to wygląda w praktyce. Ilość wdrożeń ze zrozumieniem ich sensu i zaangażowaniem kierownictwa jest niewielka…

      Odpowiedz
  • avatar
    2015.09.16 22:13 dudut

    2012.04.12, wyrok WSA w Olsztynie, II SAB/Ol 33/12, LEX nr 1145979

    To, że prawo do informacji publicznej przysługuje każdemu nie oznacza, że wnioskodawca może być anonimowy. Pod pojęciem każdego należy rozumieć osobę fizyczną, osobę prawną lub jednostkę nieposiadającą osobowości prawnej. Wskazanie przez wnioskodawcę danych pozwalających na jego identyfikację jest minimalnym wymaganiem. Organ zobowiązany do udzielenia informacji publicznej ma zatem pełne prawo domagać się danych, które pozwolą na należyte określenie podmiotu, wobec którego mają być podjęte czynności związane z realizacją wniosku. Uprawnienia organu w podanym zakresie nie niweczy fakt, że udzielenie informacji publicznej
    nie jest uzależnione od wykazania przez wnioskodawcę interesu prawnego lub faktycznego.

    Odpowiedz
    • avatar
      2015.09.16 22:45 Adam

      A II SAB/Wa 57/09 ? Poza tym możesz wejść i zapytać, nie masz obowiązku posiadania ze sobą dowodu osobistego.

      Odpowiedz
    • avatar
      2015.09.17 01:01 pcs

      Ciekawy wyrok…
      Zawsze, gdy ktoś mówił, że w celu udostępnienia IP mam mu podać moje dane, cytowałem wyrok WSA w Warszawie II SAB/Wa 57/09.
      Jak widać, w Polsce nadal łatwiej przewidzieć wyroki boskie niż wyroki sądów.

      Odpowiedz
  • avatar
    2015.09.16 22:37 BloodMan

    2015 rok a oni ciągle w DOS …

    Odpowiedz
  • avatar
    2015.09.16 23:16 marcin

    zaktualizowali politykę

    Odpowiedz
  • avatar
    2015.09.17 00:36 kez87

    Krosno – to na Podkarpaciu,czy gdzie indziej ?
    Mam rację… Podkarpackie… Tu urzędy (zwłaszcza urzędy bezrobocia zwane dla beki urzędami pracy) nie takie numery wywijają…
    Pozdro from Polish Bostwanaland :D

    Odpowiedz
    • avatar
      2015.09.17 00:38 kez87

      Znaczy… Polish Botswanaland. Albo jak ktoś woli województwa kandydujące do roli najbardziej patologicznego w kraju :P

      Odpowiedz
  • avatar
    2015.09.17 08:33 avalon

    po pobraniu pliku widać że był modyfikowany 10.09.2015 o 10:51 przez roberta :)

    Odpowiedz
  • avatar
    2015.09.17 08:42 blinkin

    Nie zaktualizowali się do ostatniej zmiany … :|

    Odpowiedz
  • avatar
    2015.09.17 10:34 Ninja

    @Adam: napisz do Marcina Maja z Dziennika Internautów, on się z chęcią zajmie próbami wyciągnięcia informacji z urzędu.

    Odpowiedz
  • avatar
    2015.09.17 13:27 kac-

    Jak widać rejestr zmian w BiP to pic na wodę, dobrze wiedzieć.
    Biurokratyczna mafia.

    Odpowiedz
  • avatar
    2015.11.18 11:28 Batłomiej

    No i to jest kolejny przykład na to, że z danymi osobowymi postępować trzeba bardzo ostrożnie.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Urząd opublikował dane osobowe… w treści swojej Polityki Bezpieczeństwa

Komentarze