O udostępnieniu pliku Excel z danymi poinformował zajmujący się bezpieczeństwem informatycznym portal Niebezpiecznik.pl. Jeden z użytkowników serwisu do analizy i wizualizacji danych ArcGIS natknął się na wspomniany plik, szukając informacji o szczepieniach. Znalazł dwa arkusze, w których widniały dane m.in. policjantów, celników, pracowników Służby Ochrony Państwa, Straży Granicznej, Straży Pożarnej, Inspekcji Transportu Drogowego, Straży Miejskiej, Służby Więziennej i Administracji Skarbowej. Prawdopodobnie tych, którzy zgłosili się do szczepień przeciwko COVID-19. Ujawniono dane takie, jak imię i nazwisko, nazwę i adres jednostki, PESEL i prywatny numer telefonu. Na szczęście nie było adresu zamieszkania czy numeru dokumentu tożsamości. Mimo to problem jest poważny.
– Zagrożenie oceniam jako wysokie głównie ze względu na grupę osób, jakiej dotyczy. Jeśli wyciekły dane funkcjonariuszy operacyjnych to problem jest nadzwyczaj poważny, bo są to informacje ustawowo chronione – podkreśla dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński. I dodaje, że co gorsza wśród ujawnionych danych były prywatne numery telefoniczne, które są unikalnym identyfikatorem. – Wiążąc je z danymi z innych wycieków, można ustalić choćby adres zamieszkania, a to już stwarza realne zagrożenie – mówi prawnik.
Zdaniem portalu Niebezpiecznik.pl plik z danymi zamieścił pracownik Rządowego Centrum Bezpieczeństwa. Potwierdzać to może fakt, że po przekazaniu do RCB informacji o wycieku plik natychmiast został usunięty. Dlaczego ktoś go wgrał? Jakie mógł spowodować zagrożenia? Zapytaliśmy o to RCB, ale wczoraj nie uzyskaliśmy odpowiedzi. Centrum zamieściło jedynie na swej stronie komunikat, z którego wynika, że rozpoczęło wewnętrzną procedurę wyjaśniającą.
Reklama
„Analizujemy potencjalne przyczyny zaistniałej sytuacji i zbieramy szczegółowe informacje dotyczące ewentualnego pobrania plików przez podmioty do tego nieuprawnione. Zgodnie z przepisami RODO złożone zostanie stosowne zgłoszenie o naruszeniu bezpieczeństwa danych osobowych do prezesa Urzędu Ochrony Danych Osobowych” – pisze RCB. Swego rodzaju paradoksem jest to, że jednostka powołana do zarządzania kryzysowego prawdopodobnie sama kryzys stworzyła.
Administratorem danych szczepionych funkcjonariuszy jest resort zdrowia. RCB był procesorem, czyli podmiotem przetwarzającym. Nie zwalnia to go jednak od odpowiedzialności.
– Podmiot przetwarzający może otrzymać karę finansową, tak samo jak administrator. Decydujące więc będzie ustalenie, kto zawinił – wyjaśnia dr Paweł Litwiński.
W przypadku administracji publicznej maksymalna kara może wynieść 100 tys. zł. Dodatkowo osoby poszkodowane wyciekiem mogą wysuwać roszczenia na drodze cywilnej. Z kolei pracownikowi, który niefrasobliwie udostępnił dane, grozi odpowiedzialność karna.