Przed kilkoma tygodniami media obiegła informacja o prawdopodobnym wycieku danych osobowych należących do frankowiczów z Getinu, którzy zgłosili swoją wierzytelność do masy upadłościowej banku przez Krajowy Rejestr Zadłużonych. Dane takie jak imiona, nazwiska, adresy, numery PESEL i szczegółowe informacje o zaciągniętych kredytach mógł poznać każdy, kto również zgłosił wierzytelność, niekoniecznie tę faktyczną, przez system KRZ. O ogromnym polu do nadużyć rozpisywał się m.in. portal niebezpiecznik.pl, który nagłośnił sprawę i zgłosił problem odpowiednim organom. Jak się okazuje, w sprawę zaangażował się również Rzecznik Praw Obywatelskich, który odniósł się do wycieku danych w swoim wystąpieniu. Czy interwencja RPO może skłonić rządzących do uszczelnienia systemu?
Krajowy Rejestr Zadłużonych to jedyny sposób na zgłoszenie wierzytelności do masy upadłościowej Getin Noble Banku, którą zarządza obecnie syndyk
Tysiące frankowiczów podeszły do rejestracji swojej wierzytelności online w lipcu i sierpniu br., gdy zgłoszenie można było złożyć za darmo. Nie wszystkim udało się dopełnić formalności, gdyż system okazał się niewydolny. To jednak niejedyny problem z KRZ
Portal niebezpiecznik.pl wykrył, że po zarejestrowaniu wierzytelności w KRZ każdy może zyskać dostęp do danych innych wierzycieli, w tym tych bardzo osobistych, co otwiera oszustom drogę do nadużyć
Ministerstwo Sprawiedliwości przekonywało jeszcze w sierpniu, że system KRZ działa prawidłowo, a udostępnienie danych wierzycieli innym uczestnikom postępowania to coś całkiem normalnego. Rzecznik Praw Obywatelskich ma jednak pewne wątpliwości… i składa zapytanie w tej sprawie do prezesa UODO oraz do szefa resortu sprawiedliwości.
Wyciek danych frankowiczów z Getin Noble Banku stawia pod znakiem zapytania bezpieczeństwo procedury zgłaszania wierzytelności w KRZ
Mogłoby się wydawać, że w dobie obowiązywania rozporządzenia RODO i zwiększonej czujności firm oraz urzędów w obszarze ochrony danych osobowych takie sytuacje jak ta nie mają już racji bytu. A jednak. W II połowie sierpnia br. na portalu niebezpiecznik.pl pojawiła się niepokojąca informacja o możliwym wycieku danych z systemu KRZ. Ofiarami wycieku mieli być wierzyciele upadłego Getin Noble Banku – w sumie nawet 30 tys. klientów podmiotu, w tym oczywiście frankowicze, którzy zgłosili swoją wierzytelność online, co mogli zrobić bezpłatnie do 21 sierpnia.
System Krajowego Rejestru Zadłużonych od dawna nie ma dobrej opinii: prawnicy frankowi poznali się na nim przy okazji upadłości Idea Banku. W te wakacje ostrzegali frankowiczów z Getinu, by nie odkładali zgłoszenia wierzytelności na ostatnią chwilę, gdyż system jest niewydolny i często dochodzi do przeciążeń, a prace konserwacyjne mogą skutecznie utrudnić dopełnienie niezbędnych formalności nawet w nocy. Szybko okazało się, że mieli rację – nie wszystkim klientom Getinu udało się zgłosić wierzytelność w terminie, nawet mimo wielu podejść.
Teraz okazuje się, że niewydolność systemu KRZ to najmniejszy problem – znacznie większym jest brak ochrony danych wierzycieli. Jak informował w sierpniu portal niebezpiecznik.pl, każdy, kto zgłosił swoją wierzytelność w systemie, mógł zyskać dostęp do akt postępowania, w tym danych pozostałych wierzycieli, takich jak ich imiona, nazwiska, adresy, numery PESEL, numery dowodów osobistych, a także szczegółowe dane z kwestionowanych umów kredytowych – w tym dane nieruchomości. Bardzo łatwy dostęp do tych informacji dotyczy nie tylko realnych wierzycieli, ale również żartownisiów, zgłaszających fikcyjne dane. Stwarza to oczywiście ogromne pole do oszustw i nadużyć.
Zaskakująca odpowiedź Ministerstwa Sprawiedliwości na obawy o wyciek danych z systemu KRZ
Portal zainterweniował, zgłaszając sprawę do Ministerstwa Sprawiedliwości. To po kilku dniach odpowiedziało, że… wszystko jest w porządku. System zawsze tak działał, a obowiązujące przepisy nakazują danie wglądu do akt sprawy wszystkim jego uczestnikom. MS wprawdzie podkreśliło w swojej odpowiedzi, że osoby, które wejdą bezprawnie w posiadanie danych, będą podlegać odpowiedzialności karnej. Pytanie tylko, czy zrobi to wrażenie na kimś, kto miałby wobec tych danych jakieś nieuczciwe zamiary.
Mogłoby się wydawać, że po odpowiedzi Ministerstwa Sprawiedliwości sprawa ucichnie. Nic bardziej mylnego. W temat wdrożył się Rzecznik Praw Obywatelskich, który 28 września br. wydał komunikat w tej sprawie. RPO zaadresował swoje wystąpienie zarówno do Prezesa Urzędu Ochrony Danych Osobowych, jak również do Ministra Sprawiedliwości. W swoim wystąpieniu RPO zwraca uwagę na ogromną skalę problemu, który objął ponad 30 tys. klientów Getinu.
UODO otrzymał zgłoszenia o wycieku danych. Sprawa jest rozwojowa
Jak podkreśla Rzecznik, aby uzyskać dostęp do danych osobowych wierzycieli, nie trzeba przejść żadnej weryfikacji – dane nie są odblokowywane po złożeniu stosownego podpisu, cały proces odbywa się automatycznie. Jedyną barierą do pokonania przez potencjalnego wyłudzacza danych jest posiadanie Profilu Zaufanego, ale są to drzwi łatwe do wyważenia: ten bowiem można pozyskać kanałami nielegalnymi. Wątpliwości Rzecznika Praw Obywatelskich budzi nie tylko zakres danych, które są udostępniane przez system KRZ, ale również sposób zabezpieczenia tych danych i zapewnienia ich poufności.
Co więcej, RPO zwrócił się o wyjaśnienia do Ministra Sprawiedliwości, a także do prezesa UODO z zapytaniem, czy w związku z podejrzeniem naruszenia przepisów o ochronie danych osobowych urząd ten podjął jakieś kroki w tej konkretnej sprawie, a jeśli tak – to jakie. RPO chce wiedzieć również, czy do UODO wpłynęły jakieś skargi w sprawie KRZ, a także czy w toku są związane z Rejestrem postępowania administracyjne.
Prezes UODO ustosunkował się do zapytania RPO, wskazując, że sprawa ta jest przedmiotem zainteresowania organu nadzorczego, który 24 sierpnia 2023 roku wystąpił do Ministra Sprawiedliwości z pisemną prośbą o złożenie wyjaśnień. Jak zapewnia Prezes UODO, obecnie trwa analiza odpowiedzi przesłanej do urzędu w tej sprawie. W odpowiedzi Prezesa znajduje się również informacja o tym, że do organu wpłynęły zgłoszenia w tej sprawie pochodzące od osób fizycznych, które są obecnie procedowane zgodnie z Kodeksem postępowania administracyjnego. Odpowiedź prezesa UODO została wysłana 21 września br., z kolei pismo RPO w tej sprawie datowane jest na 4 września br. Wymianę korespondencji pomiędzy urzędami można prześledzić poprzez Biuletyn Informacji Publicznej RPO.