Po publikacjach DGP resort sprawiedliwości zmienia zasady korzystania z Krajowego Rejestru Zadłużonych, tak aby uniemożliwić dostęp do danych wierzycieli przypadkowym osobom.
Problem z wyjątkowo łat wym dostępem do danych tysięcy osób pokazała upadłość Getin Noble Banku. Około 30 tys. kredytobiorców zgłosiło w sierpniu za pośrednictwem Krajowego Rejestru Zadłużonych swe wierzytelności względem tego banku. To wówczas okazało się, że każdy może podejrzeć informacje o innych wierzycielach.
– Oczywiście jest dla mnie zrozumiałe, że mogę poznać podstawowe dane pozostałych wierzycieli, takie jak ich imiona i nazwiska czy też nawet adres zamieszkania. Natomiast zupełnie nie wiem, czemu miałoby służyć ujawnianie tak szczegółowych informacji, jak dane współmałżonków, rodziców, kwota kredytu, informacje o nieruchomościach stanowiących zabezpieczenie, nr PESEL czy dowodu osobistego – komentował wówczas DGP czytelnik, który zasygnalizował nam ten problem. Najwięcej szczegółowych informacji wynikało z treści umów kredytowych. Choć nie było obowiązku ich przesyłania do KRZ, to wielu kredytobiorców na wszelki wypadek tak robiło. Niektórzy dołączali do nich zresztą także wiele innych informacji (np. historię spłaty kredytu). Gdy się okazało, że w zasadzie każdy ma do nich dostęp, zaczęli się obawiać, że dane te mogą zostać przez kogoś wykorzystane. I to nie tylko przez innych wierzycieli, ale w zasadzie przez dowolną osobę. Okazało się bowiem, że wystarczyło samo zgłoszenie wierzytelności, by mieć do nich dostęp. System nie weryfikował bowiem, czy taka wierzytelność rzeczywiście jest prawdziwa.
MS dostrzega zagrożenia
Ministerstwo Sprawiedliwości początkowo nie dostrzegało problemu, utrzymując, że zaistniała sytuacja jest konsekwencją jawności postępowań i tego, że strony muszą mieć dostęp do informacji o pozostałych wierzycielach. Sprawą szybko zajął się Urząd Ochrony Danych Osobowych, który poprosił resort o wyjaśnienia, oraz rzecznik praw obywatelskich, który skierował wystąpienie w tej sprawie. Przywołując m.in. artykuł DGP, zwrócił uwagę na zagrożenia wynikające z łatwego dostępu do informacji o wierzycielach.
„W przedmiotowym postępowaniu upadłościowym – jak wynika z informacji prasowych – zostało bowiem zgłoszonych ponad 30 tys. wierzytelności. Stwarza to wysokie ryzyko naruszenia prawa do ochrony danych osobowych i prywatności uczestników tego postępowania. Wątpliwości budzi przy tym zakres udostępnianych informacji w postaci elektronicznej, które znajdują się w aktach postępowania” – pisał prof. Marcin Wiącek.
Okazało się, że w zasadzie każdy ma dostęp do danych wierzycieli, więc mogą one być wykorzystane nie tylko przez innych wierzycieli, ale w zasadzie przez dowolną osobę
Jak wynika z odpowiedzi opublikowanej na stronach internetowych RPO, MS ostatecznie dostrzegło niebezpieczeństwa związane ze zbyt szerokim dostępem do akt postępowania prowadzonego w trybie elektronicznym. Tłumaczy to odwzorowaniem zasad obowiązujących przy prowadzeniu akt w wersji papierowej, do których strony zawsze miały nieskrępowany dostęp, choć w sekretariatach sądów.
„Niemniej jednak, w związku ze zgłaszanymi potrzebami zwiększenia bezpieczeństwa dostępu do danych wierzycieli i ich ochrony, a także danych gromadzonych w sprawach prowadzonych w systemie teleinformatycznym obsługującym postępowanie sądowe (Krajowy Rejestr Zadłużonych) Ministerstwo Sprawiedliwości podjęło działania w zakresie zmiany architektury systemu teleinformatycznego KRZ w taki sposób, że dostęp wierzyciela do akt zgłoszeń wierzytelności innych wierzycieli zostanie ściśle powiązany z etapem postępowania” – pisze w swej odpowiedzi resort. Dodaje, że będzie też prowadził dalsze analizy związane z zapewnieniem bezpieczeństwa ochrony danych osobowych zamieszczonych w aktach postępowań prowadzonych w systemie teleinformatycznym KRZ.
Konkretów wciąż brak
Konkretów na temat planowanych rozwiązań resort na razie nie ujawnił, niemniej z przesłanej odpowiedzi wynika, że dostęp ma być uzależniony od etapu postępowania. Prawdopodobnie chodzi o to, by był przydzielany jedynie uczestnikom, których status strony zostanie już potwierdzony przez sąd. Jak pokazała sprawa Getinu, dotychczas każdy, kto uznawał się za wierzyciela, mógł zapoznać się ze wszystkimi informacjami, nawet gdyby później miało się okazać, że tym wierzycielem w rzeczywistości nie jest.
Eksperci, których poprosiliśmy o komentarz, zachowują sceptycyzm, czy zapowiadane zmiany wystarczą.
– W mojej ocenie trzeba wzmocnić ochronę danych osobowych w kontekście KRZ, ale nie poprzez łatanie systemu prawnego zmianami w systemie teleinformatycznym, tylko przygotowanie projektu przepisów, które tę materię uregulują. Trzeba z jednej strony chronić dane osobowe, a z drugiej zapewnić uczestnikom dostęp do sądu – mówi dr Bartosz Sierakowski, radca prawny z kancelarii Zimmerman Sierakowski i Partnerzy.
– To wymaga zmian legislacyjnych, a nie tylko technicznych. Jeśli ograniczamy stronom prawo dostępu do akt w imię ochrony innej wartości (danych osobowych) – poprzez np. dodatkową weryfikację użytkownika systemu czy ograniczenie widoku jakichś dokumentów w aktach sprawy – to takie ograniczenie powinno być dokonane mocą ustawy – dodaje.
Cyfryzacja papierowego postępowania
Doktor Paweł Litwiński, adwokat z kancelarii Barta Litwiński, zaznacza, że trzeba poczekać na szczegółowe rozwiązania.
– Cieszy oczywiście, że zmiany będą i że dostęp ma być powiązany z etapem postępowania, co, jak sądzę, oznacza po prostu, że dostęp będzie udzielany później, a nie automatycznie po przesłaniu zgłoszenia. Co zaś do zapowiadanych analiz – moim zdaniem powinny jednak iść w takim kierunku, żeby ograniczyć zakres udostępnianych danych online. Rzeczywistość cyfrowa to jednak zupełnie nowe zagrożenia i uważam, że tylko w ten sposób będzie można ich uniknąć – komentuje adwokat. Jego zdaniem cały problem wynika właśnie z tego, że MS postanowiło przenieść rzeczywistość papierową do cyfrowej, nie zauważając, że stwarza to dodatkowe niebezpieczeństwa dla ochrony danych osobowych.
Podobnie uważa dr hab. Arwid Mednis, wykładowca WPiA UW i wspólnik w kancelarii Kobylańska Lewoszewski Mednis.
– Nie jest dla mnie argumentem to, że w KRZ chodzi wyłącznie o ucyfrowienie tego, co już istniało w procedurze papierowej, bo przykład ze wzajemnym dostępem do danych kilkudziesięciu tysięcy wierzycieli banku będącego w postępowaniu upadłościowym pokazuje, że konieczne jest przemyślenie podstawowych zasad jawności postępowania dla stron. I pojawia się też pytanie, czy ministerstwo zachowało wymagane przez RODO standardy ochrony prywatności w fazie projektowania, czy przeprowadzono zawczasu ocenę skutków przetwarzania. Problem zbyt szerokiego dostępu do danych innych wierzycieli powinien był zostać ujawniony na etapie projektowania systemu – podkreśla prawnik, zaznaczając, że powiązanie dostępu do elektronicznych akt z konkretnym etapem postępowania jest krokiem w dobrym kierunku. Jak zresztą każdy krok, który ograniczy dostępność danych.
Zabezpieczenie danych w systemie KRZ osobno jest badane w UODO. Prezes tej instytucji również otrzymał odpowiedzi z MS i analizuje je przed podjęciem decyzji o ewentualnych dalszych krokach. Resort sprawiedliwości z jednej strony zapewnia w swych wyjaśnieniach, że system weryfikuje użytkowników zakładających w nich swe konta, co ma uniemożliwiać dostęp do danych postronnym osobom. Z drugiej strony jednak przyznaje, że istnienie samej wierzytelności nie jest sprawdzane i wystarczy samo jej zgłoszenie, by otrzymać dostęp do informacji na temat pozostałych uczestników postępowania. Jak tłumaczy, wynika to z przyjętej przez MS interpretacji przepisów, zgodnie z którą wierzycielem jest również podmiot, który zgłosił swą wierzytelność pomimo, że ostatecznie nie zostanie ona uznana na liście wierzytelności. Do czasu uprawomocnienia się odmowy uznania wierzytelności ma on dostęp do akt postępowania, a więc informacji na temat wszystkich uczestników. ©℗