Dane osobowe: dziurawe gminne systemy

Dostęp do danych osobowych właścicieli gruntów i budynków z portali publicznych części gmin jest źle zabezpieczony. Wystarczą proste wskazówki od zorientowanej w sprawie osoby i kilka kliknięć myszką, by przejrzeć bazę danych chronionych prawem.

Chodzi o systemy informacji przestrzennej w aplikacji iMap, czyli tzw. geoportal, który działa poprzez najzwyklejszą internetową przeglądarkę. W ciągu kilku sekund, nie wychodząc z domu, można poznać komplet danych właścicieli gruntów i budynków: imię, nazwisko, imiona rodziców oraz dokumentu tożsamości, adres.

Aplikacja iMap daje dostęp do danych przestrzennych z terenu gminy. Producentem iMap jest wrocławska firma GISPartner, a z jej aplikacji korzysta m.in. cały powiat wrocławski, miasta Kwidzyń i Świdnica.

Sprawdziliśmy – z ewidencji gruntów i budynków w tych miejscach można wydobyć informacje chronione bez tzw. wcześniejszej autoryzacji użytkownika. We wrocławskiej ewidencji można pozyskać dodatkowo nawet numer PESEL właściciela danego gruntu czy budynku.

To są dane niejawne – co podkreśla Małgorzata Kałużyńska-Jasak, rzeczniczka generalnego inspektora ochrony danych osobowych. Tłumaczy, że może mieć do nich dostęp tylko sam właściciel, organ administracji publicznej albo np. policja czy prokuratura.

– Posiadanie takiego zestawu informacji może posłużyć do przestępstwa – alarmuje Andrzej Gąska, rzecznik Śląskiej Komendy Wojewódzkiej Policji w Katowicach. Dane mogą wykorzystać np. internetowi oszuści sprzedający towar, który nie istnieje, osoby wyłudzające pożyczki, podszywające się pod inną osobę.

Rzeczniczka głównego inspektora ochrony danych osobowych dodaje, że ochronie podlegają zarówno takie informacje, które wprost pozwalają na określenie tożsamości konkretnej osoby, np. zestawienie nazwiska z numerem PESEL, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia.

"Rz" bez problemu ściągnęła także numery ksiąg wieczystych wszystkich nieruchomości. To nie są dane chronione, można je uzyskać legalnie, ale jest to płatne.

Nieszczelność serwisu iMAP potwierdzają nam informatycy specjalizujący się w bezpieczeństwie danych.

– W aplikacji, za którą producent pobiera odpłatność, nie powinno to mieć miejsca – mówi Zbigniew Engiel z firmy Mediarecovery, która zajmuje się m.in. bezpieczeństwem danych i informatyką śledczą. Zwraca uwagę, że chodzi o znane w branży informatycznej od lat i szeroko opisane zagrożenie określane nazwą SQL injection. Taka luka w zabezpieczeniach aplikacji internetowych, umożliwiająca nieuprawnionym dostęp do danych, jest najczęściej efektem błędu przy pisaniu programu.

GISPartner, którego poinformowaliśmy o nieszczelności systemu, wyłączył w czwartek usługę we wszystkich samorządach, które obsługuje (nie tylko na Dolnym Śląsku, ale też m.in. w Małopolsce, Gdańsku, Łodzi).

– To nie powinno się zdarzyć. Wszczęliśmy audyt wszystkich systemów i sprawdzamy, gdzie leży błąd, by go jak najszybciej wyeliminować. W naszym interesie i naszych klientów leży dbałość o ochronę danych osobowych – mówi "Rz" Magdalena Grondkowska-Hada z GISPartner.

Zdaniem informatyków, dziurawy system można łatwo zabezpieczyć. Nie powinno się jednak skończyć na poprawkach w programie.

– Koniecznie należy również wprowadzić odpowiednie zasady dostępu do danych, tak by nie mogły zostać pobrane bez wcześniejszej autoryzacji użytkownika, jak to ma miejsce obecnie. Każdy z użytkowników mógłby mieć możliwość dostępu do innej grupy danych. Jedynie osoby z najwyższymi uprawnieniami miałyby możliwość dotarcia do danych osobowych, które w myśl ustawy powinny być w szczególny sposób chronione, a dostęp powinien być rozliczany – podpowiada Zbigniew Engiel z Mediarecovery.

Jak przypomina rzeczniczka GIODO, za brak ochrony danych osobowych grozi kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Odpowiedzialność ponosi administrator danych – w tym przypadku gmina – na którym ciąży obowiązek zabezpieczenia ich m.in. przed ich udostępnieniem osobom nieupoważnionym.

Społeczeństwo Donald Tusk Dane Osobowe Zadania Samorządu

Pozostało jeszcze 86% artykułu