Wczoraj napisał do nas Tomasz, który ma syna w wieku przedgimnazjalnym. Żona Tomasza postanowiła, idąc z duchem czasu, zgłosić syna do gimnazjum drogą elektroniczną. I tu stała się rzecz magiczna…

Przytoczmy konwersację rodziców:

— Super! Samo się wypełniło! — rzekła żona.

— Jak to samo? — brew Tomasza uniosła sie w zaciekawieniu.

— No normalnie wpisałam PESEL i się wypełniło

Oto, jak zareagował Tomasz:

no to pozbierałem szczękę z podłogi i do kompa. chwila hakowania i mamy: dajemy POST’a z peselem a w odpowiedzi dostajemy wszystkie dane dziecka łącznie z adresem zamieszkania!!! Ja wiem że ograniczone geograficznie, ale znamy zakres dat urodzeń uczniów biorących udział w rekrutacji, checksumę peselu też wyliczyć nie trudno, skrypt pętla i… no właśnie.

Trudno nie podzielić obaw Tomasza o możliwość zautomatyzowania procesu enumeracji danych osobowych dzieci w wieku gimnazjalnym, choć jak sam zauważa, dopełnienie następować może tylko po podaniu odpowiedniego wieku oraz miejscowości. Problem w tym, że można wyjść poza miejscowość naszego czytelnika (Gliwice) a także poza wiek charakterystyczny dla gimnazjalistów. System umożliwia bowiem rekrutacje także do innych typów szkół i w innych miastach:

System twierdzi też, że gwarantuje “dużo wyższe bezpieczeństwo”:

Aby dowiedzieć się na czym to dużo wyższe bezpieczeństwa polega oraz jak dokładnie działa system naboru, a także jak PCSS walczy z nadużyciami, wystosowaliśmy zapytanie do PCSS. Oto odpowiedź Piotra Grzybowskiego:

Z pozycji Menadżera Produktu Nabór (który wdrażany jest w 30 miastach w Polsce) oraz w konsultacji z Działem Bezpieczeństwa PCSS pragnę zapewnić, że opisana sytuacja dotyczyła tylko i wyłącznie jednego wdrożenia prowadzonego w mieście Gliwice dla szkół gimnazjalnych i była związana z konkretnym wymaganiem, jakie tam wystąpiło. Przyczyną wprowadzenia możliwości pobrania danych na temat ucznia na podstawie Jego numeru PESEL, była duża liczba przypadków podawania przez Rodziców nieprawdziwych informacji dotyczących obwodu, do którego przypisany jest uczeń. W efekcie implementacji funkcji zabezpieczającej przed takim nadużyciem,

system Nabór stał się nieodporny na inne nadużycie, co zostało odnotowane przez Państwa Czytelnika. W związku z tym faktem funkcja została już wyłączona i nie będzie można z niej dalej korzystać. Niebezpiecznik: W jaki sposób system do obsługi naboru ogranicza możliwość nadużyć związanych z podaniem przez kogoś PESEL-u należącego nie do swojego dziecka?

Piotr Grzybowski, PCSS: Obecnie system nie pozwala na nadużycie związane z podaniem przez Rodzica PESEL-u należącego nie do swojego dziecka. Wyjątkowo taka sytuacja miała miejsce w przypadku rekrutacji do klas pierwszych gimnazjów w Gliwicach. Sytuacja taka nie miała miejsca w przypadku jakiejkolwiek innej rekrutacji. W przypadku poświadczenia nieprawdy przez Rodzica i wprowadzenia do systemu niewłaściwego nr PESEL jest to weryfikowane przy składaniu papierowego podania w szkole. NBZP: Czy podanie dowolnego poprawnego PESEL-u spowoduje zwrócenie danych, jeśli nie – w jaki sposób wykonawca systemu ogranicza podawane PESEL-e (sprawdzajac datę urodzenia, sprawdzając miejscowość?) PG: Obecnie system nie posiada funkcjonalności umożliwiającej pozyskanie danych na podstawie nr PESEL. Sytuacja dotyczyła jedynie nr PESEL ograniczonej liczby dzieci wyłącznie w przypadku rekrutacji do klas pierwszych gimnazjów w Gliwicach. Dotyczyło to jedynie tych dzieci, których dane wcześniej zostały podane przez rodziców w szkołach podstawowych na deklaracjach dot. wyboru gimnazjów. W przypadku poświadczenia nieprawdy przez Rodzica i wprowadzenia do systemu niewłaściwego nr PESEL jest to weryfikowane przy składaniu papierowego podania w szkole. NBZP: Jakie dokładnie dane mogą być zwrócone poprzez podanie przez rodzica / ucznia numeru PESEL (imię, nazwisko, adres, ?) PG: Obecnie system nie zwraca żadnych danych po podaniu PESEL-u, wyjątkowo taka sytuacja miała miejsce jedynie w przypadku rekrutacji do klas pierwszych gimnazjów w Gliwicach, gdzie zastosowano mechanizm autouzupełniania danych wcześniej podanych przez Rodziców w szkołach podstawowych na deklaracjach dot. wyboru gimnazjów.

Podsumowując, wedle PCSS problem dotyczyły tylko jednego wdrożenia (tylko Gliwic, z których pochodzi nasz czytelnik) i powstał w wyniku “łatania” innego problemu. Dane, które można było pozyskać (imię, nazwisko, adres) nie dotyczyły wszystkich obywateli (ogólnopolska baza PESELi) a jedynie dzieci, których dane wcześniej zostały podane przez rodziców w szkołach podstawowych.

O komentarz poprosiliśmy także doktora Pawła Litwińskiego, adwokata i współzałożyciela kancelarii Barta Litwiński:

Administrator danych osobowych ma prawny obowiązek ochrony danych osobowych m.in. przez udostępnieniem danych osobom nieupoważnionym (art. 36 ust. 1 ustawy o ochronie danych osobowych). Tymczasem zastosowany mechanizm w sposób bardzo prosty umożliwia dostęp do szczegółowych danych osobowych po podaniu numeru pesel – co istotne, do danych osobowych dzieci. Wygenerowanie numeru pesel w tym kontekście nie wydaje się trudne.

Co jednak najbardziej istotne, autor systemu stawia znak równości pomiędzy faktem wpisania numeru pesel dziecka, a byciem uprawnionym do poznania danych osobowych tegoż dziecka. Takie postępowanie, poprzez brak weryfikacji tożsamości tego, kto uzyskuje dane z systemu, to nieporozumienie, które może prowadzić do udostępniania danych dzieci osobom nieupoważnionym.

W tym kontekście wydaje się, że mogło w tej sprawie dojść do popełnienia przestępstwa z art. 51 ust. 1 ustawy o ochronie danych osobowych – udostępnienie danych osobom nieupoważnionym. Powstaje też pytanie o ew. odpowiedzialność na gruncie art. 52, czyli za naruszenie zasad zabezpieczenia danych.

Jak widać, skutki prawne nieprzemyślanej do końca funkcjonalności systemu mogą być poważne. Błąd — wedle deklaracji PCSS — już został usunięty, a możliwość enumeracji PESEL-i zablokowana. Co więc pozostaje osobie polującej na dane związane z obywatelem? Wizyta u lekarza…

Twojego miasta nie obsługuje system PCSS? Udaj się do lekarza

Dostęp do podobnego systemu “autouzupełniającego dane” na podstawie PESEL-u mają także lekarze i wykorzystują go do wystawiania zwolnień (55 sekunda):

Jak zauważa jeden z naszych czytelników:

“Czy nie wystarczy jeden lekarz który da niepowołanej osobie dostęp do portalu żeby na hurtową skalę wyciągać dane z rejestru pesel?”

Nasuwa się bardzo proste pytanie. Czy jeden nieuczciwy lekarz nie wyciągnie zbyt wielu danych? Co się stanie, jeśli ktoś wejdzie w posiadanie danych uwierzytelniających do konta konkretnego lekarza?

Podpytaliśmy o tę sprawę ZUS. Dowiedzieliśmy się przede wszystkim, że lekarze posiadają dostęp do danych osobowych na podstawie art. 55a ust. 2 Ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa. W związku z tym przepisem prawa lekarze, którym Zakład udostępnia dane osobowe uzyskują status odbiorcy danych w rozumieniu przepisów ustawy o ochronie danych osobowych.

Po tym krótkim wyjaśnieniu prawnym przejdźmy do ważnych kwestii technicznych.

Uzyskanie dostępu jest rejestrowane

— System ten odnotowuje informacje o lekarzach, którym dane zostały udostępnione oraz dacie tego udostępnienia. Odnotowywanie tych informacji stanowi wykonanie przepisu §7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji (…) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. — wyjaśnił Radosław Milczarski z biura prasowego ZUS.

Co więcej, system odnotowuje informacje o każdym uzyskanym dostępie oraz informacje o tym, czy w związku z tym dostępem lekarz wystawił i przekazał do Zakładu zaświadczenie lekarskie.

— Na podstawie ww. informacji istnieje możliwość śledzenia, analizy i wykrywania działań lekarzy, uzyskujących dostęp do danych osobowych, które mogą być potraktowane jako nadużycie — zapewnił Radosław Milczarski.

Lekarzu! Pilnuj haseł!

Powyższa informacja jest istotna nie tylko dla pacjentów, ale także dla lekarzy. Jeśli jakiś lekarz utraci swoje dane uwierzytelniające, ktoś może wykorzystać jego konto do nadużyć. Wówczas to lekarz może mieć problem. Mamy nadzieję, że lekarze nie będą robić takich rzeczy jak zapisywanie haseł na kartkach walających się po biurku w przychodni.

Warto także wspomnieć, że jeszcze przed wprowadzeniem e-zwolnień przedstawiciele Naczelnej Rady Lekarskiej wyrażali obawy o lekarzy starszej daty, którzy “nie używają komputerów” i mogą mieć problem z samym wystawianiem zwolnień. Pytanie brzmi, czy tacy lekarze nie będą stanowili ogniwa w łańcuchu bezpieczeństwa? Informatyzacja służby zdrowia zawsze będzie się nieco gryźć z obszarem prywatności. Usługi ZUS to jedno, ale większym problemem może być tzw. Platforma P1, która ma dawać dostęp do elektronicznej dokumentacji medycznej. Kiedy już utworzymy elektroniczne bazy z danymi zdrowotnymi, pojawi się wielu zainteresowanych dostępem do tych informacji…

PESEL to nie tylko twoja jawna data urodzenia i płeć

Jak więc widzicie, zostawiając gdzieś (czy przekazując komuś) PESEL, możecie ułatwić dotarcie do waszego imienia, nazwiska i adresu zamieszkania. Pozdrawiamy z tego miejsca studentów, których PESEL-e wykładowcy udostępniają podczas publikacji wyników egzaminów. W gablotach. Na korytarzach uczelni.

Przeczytaj także: