Co się wydarzyło w bazie PESEL?

W zeszłym tygodniu media obiegła informacja o wycieku danych z rejestru PESEL. Wokół sprawy narosło wiele emocji i niejasności. W związku z tym spróbowaliśmy podsumować najważniejsze wnioski wynikające z wiarygodnie brzmiących doniesień i oficjalnych komunikatów. Zwróciliśmy się też do premier Beaty Szydło z apelem o dopilnowanie, by podległe jej instytucje wyczerpująco wyjaśniły, czy rzeczywiście doszło do wycieku danych oraz wprowadziły takie rozwiązania, które zminimalizują ryzyko wystąpienia tego typu zagrożeń w przyszłości.

Co wiemy o sprawie?

25 sierpnia Prokuratura Okręgowa w Warszawie poinformowała, że nadzoruje postępowanie w sprawie niedopełnienia obowiązków i działania na szkodę interesu publicznego przez kancelarie komornicze z Warszawy, Poznania i Łodzi. Zgodnie z tą informacją, komornicy, stosując złośliwie oprogramowanie lub skrypty służące do automatycznego generowania zapytań, pobierali od kilkudziesięciu do kilkuset tysięcy rekordów z bazy PESEL. Łącznie od marca 2015 r. kancelarie te zgromadziły dane o ponad 800 tys. osób. Śledztwo w tej sprawie zostało wszczęte na podstawie zawiadomienia Ministerstwa Cyfryzacji. Obecnie prowadzi je Agencja Bezpieczeństwa Wewnętrznego. Z kolei już 30 sierpnia prokuratura poinformowała, że nie doszło do udostępnienia danych osobowych osobom nieuprawnionym. To stwierdzenie jest oczywiście dosyć zagadkowe, nie wiemy również, czy pobierane rekordy dotyczyły tylko prowadzonych przez komorników spraw, czy też bez związku z nimi.

Jak zareagowały instytucje publiczne?

Informacje pochodzące z prokuratury wzbudziły szereg komentarzy i wywołały spore emocje. Początkowe doniesienia mówiły o gigantycznym wycieku danych. Jak alarmowały media, miały wśród nich być dane, za pomocą których można m.in. zaciągnąć pożyczkę. Wzbudziło to uzasadniony niepokój wielu obywateli.

Ministerstwo Cyfryzacji, które nadzoruje działanie rejestrów publicznych, opublikowało uspokajający komunikat w tej sprawie. Przede wszystkim resort cyfryzacji uznaje, że nie można mówić o żadnym wycieku czy ataku – dane pobierały instytucje do tego upoważnione bez naruszenia mechanizmów bezpieczeństwa. Od początku było wiadomo, kto pobrał dane i kogo one dotyczyły. System monitorowania bazy danych wykrył natomiast – jak podkreślało w swoim komunikacie ministerstwo – „anomalie” w pobieraniu danych z rejestru. Zapytania z kancelarii były generowane na masową skalę i w godzinach nocnych.  

Oficjalny komunikat pojawił się również na stronach Ministerstwa Sprawiedliwości, które zapewniło, że na bieżąco monitoruje sprawę. Resort zwrócił się również do prezesów wszystkich sądów apelacyjnych o wszczęcie kontroli służącej zbadaniu wykorzystywania przez komorników bazy danych PESEL. Z kolei prezesi Sądów Okręgowych w Warszawie, Poznaniu i Łodzi zostali poproszeni o zbadanie ewentualnych nieprawidłowości w działaniu wskazanych przez prokuraturę kancelarii komorniczych.

Działania w tej sprawie podjęła również Naukowa i Akademicka Sieć Komputerowa (NASK), który m.in. prowadzi rejestr domen internetowych. Zespół specjalistów NASK-u ma zbadać, jak doszło do masowego pobierania danych z bazy PESEL oraz ocenić potencjalne zagrożenia dla innych publicznych baz danych.

Apelujemy do premier  

W związku z tym, że domniemany wyciek danych ma ogromne znaczenie dla prawa do prywatności i ochrony danych osobowych, zaapelowaliśmy do premier Beaty Szydło o poważne potraktowanie sprawy i zadbanie o to, by została kompleksowo wyjaśniona, a wnioski – przekazane opinii publicznej. Naszym zdaniem zaistniała sytuacja może poważnie ograniczyć zaufanie obywateli do funkcjonowania instytucji państwowych – w tym aspekcie nie bez znaczenia jest też zamieszanie informacyjne związane z wyciekiem. Zaniepokojeni obywatele mają prawo oczekiwać rzetelnej informacji oraz pociągnięcia do odpowiedzialności winnych nadużyć – jeśli takie zostaną stwierdzone. Rząd powinien również przeprowadzić odpowiedni audyt, a na bazie wniosków – wdrożyć rozwiązania prawne i techniczne, które ograniczą ryzyko wystąpienia podobnych zdarzeń w przyszłości do minimum.

Co warto wiedzieć o PESEL-u?

Rejestr PESEL to jedna z najstarszych elektronicznych baz danych w Polsce, budowana w latach 70. i 80 XX w. System PESEL to jedyny zbiór zawierający dane wszystkich obywateli i obywatelek oraz osób stale zamieszkujących na terytorium Polski. Sam numer PESEL jest nadawany zaraz po urodzeniu wszystkim obywatelom Polski. PESEL otrzymują również cudzoziemcy, którzy uzyskali prawo stałego pobytu w Polsce. Na numer PESEL składa się 11 cyfr, które w sposób jednoznaczny identyfikują daną osobę. W numerze PESEL zakodowana jest data urodzenia, płeć, numer porządkowy oraz liczba kontrolna umożliwiająca sprawdzenie, czy numer jest poprawny. Natomiast katalog danych gromadzonych w rejestrze PESEL jest o wiele szerszy. Poza imieniem i nazwiskiem trafiają do niego takie informacje jak: stan cywilny, obywatelstwo, adres zameldowania, kraj urodzenia i zamieszkania, data zawarcia związku małżeńskiego czy deklarowany termin pobytu cudzoziemca.

Obecnie dane z rejestru PESEL są udostępnianie wielu instytucjom publicznym: sądom, prokuraturze, komornikom, kontroli skarbowej, policji, straży granicznej oraz służbom takim jak ABW czy CBA. To, jakie dane i w jakim celu mogą być udostępniane, szczegółowo określają ustawy regulujące zasady działania tych instytucji. Dostęp do bazy PESEL ma również Polski Czerwony Krzyż – w zakresie danych osób poszukiwanych – oraz komisje wyborcze. Wgląd do rejestru mogą mieć również inne osoby fizyczne i prawne (np. instytucje badawcze), jeśli wykażą interes prawny lub uzyskają zgodę osoby, której dane dotyczą.