Eksperci są zgodni – ujawnienie informacji o tym, którzy politycy są zaszczepieni, uwidoczniło ułomności systemu. UODO analizuje sprawę.
Onet opublikował w środę artykuł, w którym wskazał, kto z członków rządu, parlamentarzystów czy nawet sędziów Trybunału Konstytucyjnego zaszczepił się przeciwko COVID-19. Portal nie ujawnił, w jaki sposób posiadł te informacje, wskazał jedynie, że pochodzą one z dwóch baz: Ewidencji Wjazdu do Polski (EWP) oraz SEPIS (to po prostu System Ewidencji Państwowej Inspekcji Sanitarnej, czyli baza sanepidu).
Jednocześnie Wirtualna Polska opisała lukę, dzięki której również można było sprawdzić, czy ktoś jest zaszczepiony. Umożliwiał to system rejestracji na szczepienia. Wystarczyło znać PESEL osoby sprawdzanej, a ten jest publicznie dostępny, jeśli ktoś kiedyś prowadził działalność gospodarczą czy nawet społeczną. Zabezpieczeniem miał być kod przesyłany SMS-em, tyle że można było podać swój numer telefonu. I to wielokrotnie. Jeśli platforma wyświetlała propozycje umówienia się na szczepienie, wiadomo było, że sprawdzana osoba się nie zaszczepiła.
W przypadku tej drugiej furtki decydenci potwierdzają, że w Ministerstwie Zdrowia zdawano sobie z niej sprawę.
- Po analizie przez ekspertów uznano jednak, że korzyść, jaką daje łatwość rejestracji, jest wartością nadrzędną. W tamtym okresie kluczowe było, by każdy mógł jak najszybciej, bez profilu zaufanego, zapisać się na szczepienie. Dziś sytuacja się zmieniła, bo coraz mniej osób się szczepi, dlatego też zrezygnowano z tej drogi - mówi nam Janusz Cieszyński, pełnomocnik rządu do spraw cyberbezpieczeństwa, a w latach 2018-2020 wiceminister zdrowia odpowiedzialny za informatyzację sektora zdrowia.
Nieuprawniony dostęp
Według ministra Cieszyńskiego dane ujawnione przez Onet prawdopodobnie pozyskano w inny sposób - poprzez nieuprawniony dostęp. Zawinił więc nie system i jego zabezpieczenia, tylko człowiek. Jeśli zostanie ustalony, to musi liczyć się z poważnymi konsekwencjami.
- Niezależnie od źródła wycieku, jedno jest pewne: mamy naruszenie poufności danych osobowych przez ich ujawnienie osobie, która takiego dostępu mieć nie powinna, bo dziennikarz nie ma prawa uzyskania tego rodzaju informacji. W mojej ocenie skala tego zjawiska, rodzaj danych, które są przedmiotem naruszenia oraz osoby, których naruszenie dotyczy, wskazują na to, że w tej sprawie powinno zostać z urzędu wszczęte postępowanie przez prezesa Urzędu Ochrony Danych Osobowych oraz przez prokuraturę, bo takie ujawnienie danych to przestępstwo z art. 107 ust. 2 ustawy o ochronie danych osobowych, zagrożone karą pozbawienia wolności do lat trzech - podkreśla dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
W przypadku dziennikarzy zarzut przestępstwa nie wchodzi w grę, bo nie podlegają oni przepisom RODO. Zwalnia ich z tego klauzula prasowa z art. 2 ustawy o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781). Co więcej są oni zobowiązani do zachowania w tajemnicy źródła swych informacji i prawo nie przewiduje możliwości zwolnienia ich z tego.
- Co nie znaczy, że autor wycieku pozostanie nieustalony. Administrator systemu powinien sprawdzić, czy ktoś sprawdzał dane dotyczące polityków i jeżeli ta informacja się potwierdzi, zgłosić naruszenie poufności danych osobowych do prezesa UODO oraz zawiadomić o tym fakcie prokuraturę, gdyż jako podmiot publiczny ma taki prawny obowiązek. Swoją drogą, i prokuratura, i prezes UODO powinni, korzystając z własnych kompetencji, dążyć do ustalenia tego, kto dane ujawnił - zauważa dr Paweł Litwiński.
Zapytaliśmy UODO, czy zamierza zająć się sprawą.
- Analizujemy tę sprawę. Na tym etapie jest za wcześnie, by móc do sprawy odnieść się bardziej szczegółowo - odpowiedział Adam Sanocki, rzecznik prasowy urzędu.
Problem systemowy
Część komentatorów uważa, że bez względu na to, czy wykorzystano lukę w systemie, czy też ktoś uzyskał nieuprawniony dostęp do rejestrów, to końcowa ocena pozostaje ta sama - państwo nie zabezpiecza wystarczająco danych obywateli.
- To oznacza, że kluczowe dane wrażliwe nie są chronione, bo to samo można zrobić wobec każdego. To poraża, że w Polsce nie działa ochrona tak wrażliwych danych. Mamy jasny dowód. Po prostu nie działa! Takie są właśnie wnioski. Zdecydowanie widać powody dla uzasadnionych obaw o prywatność - nie przebiera w słowach dr Łukasz Olejnik, niezależny badacz i konsultant prywatności.
- Szanuję prawo do wolności prasy, ale z upublicznienia takich informacji można i trzeba wyciągnąć wnioski o zabezpieczeniu danych medycznych i państwowych. To powinna być syrena alarmowa i to dla wszystkich, nie tylko dla urzędników państwowych - dodaje.
Podobnego zdania jest Krzysztof Izdebski, ekspert ds. prawa i technologii.
- Ta sprawa pokazuje stopień zabezpieczenia baz z danymi. Danymi - należy podkreślić - wrażliwymi. Teraz sprawdzili to dziennikarze i ograniczyli się do informacji o politykach, ale na ujawnienie danych na swój temat narażony jest każdy obywatel. Ryzyko ujawnienia informacji o szczepieniach może dodatkowo zniechęcić tych, którzy już teraz mają ograniczone zaufanie do systemu - ubolewa Krzysztof Izdebski.
Dobra osobiste
Bartosz Węglarczyk, redaktor naczelny Onetu, w osobnym tekście wyjaśnił wczoraj, dlaczego redakcja zdecydowała się na ujawnienie nazwisk osób niezaszczepionych. Przekonywał m.in., że na politykach spoczywa specjalna odpowiedzialność w związku z pandemią. Hipokrytami są zarówno ci, którzy się nie szczepią, choć na głos zachęcają do szczepień, jak i ci, którzy się szczepią, choć jednocześnie zniechęcają do szczepionek.
- Jak wynika z orzecznictwa Europejskiego Trybunału Praw Człowieka, politycy muszą mieć grubszą skórę - przyznaje Wojciech Klicki, prawnik z Fundacji Panoptykon.
- Czy jednak uzasadnia to publikację informacji o tym, czy się zaszczepili? To zależy od konkretnego polityka. W przypadku osób, które jawnie protestują przeciwko szczepieniom, a same się zaszczepiły, rzeczywiście może być to dowodem na hipokryzję, a więc cenną informacją dla wyborców. W przypadku wiceministra finansów, który nie wypowiada się raczej na temat szczepień, nie widzę już jednak podstaw, by ujawniać te wrażliwe dane - komentuje.
Podobnego zdania jest dr Paweł Litwiński.
- Czym innym byłoby opublikowanie informacji, że minister odpowiedzialny za walkę z pandemią i namawiający do szczepień sam się nie zaszczepił, a czym innym lustrowanie wiceministra finansów, który ze szczepieniami nie ma nic wspólnego - uważa adwokat.
O ile dziennikarzom nie grozi pozew (ani tym bardziej akt oskarżenia) za naruszenie przepisów ochrony danych osobowych, o tyle odpowiedzialności cywilnej nie da się wykluczyć. Doszło bowiem do ujawnienia danych i to danych o stanie zdrowia, a więc szczególnie chronionych. Pozew o naruszenie dóbr osobistych mógłby zostać uwzględniony jednak tylko wtedy, gdyby publikacji nie udało się wybronić działaniem w interesie publicznym. ©℗
Ryzyko ujawnienia informacji o szczepieniach może dodatkowo zniechęcić tych, którzy już teraz mają ograniczone zaufanie do systemu