East News

wp.pl, 12 kwietnia 2019

Ujawniony PESEL nawet miliona Polaków. Wszystkie dane w Krajowym Rejestrze Sądowym

Tweetnij Komentuj

Krajowy Rejestr Sądowy opublikował na swojej stronie numery PESEL, wraz z imionami i nazwiskami członków zarządów spółek, fundacji czy stowarzyszeń - pisze Prawo.pl. Prawnicy alarmują, że to wyciek danych na masową skalę, które pomaga przestępcom w procederze tzw. kradzieży tożsamości.

Jak podaje Prawo.pl , w Polsce jest blisko 500 tys. spółek , 22 tysiące fundacji i 112 tysięcy stowarzyszeń. Gdyby średnio miały one tylko dwuosobowe zarządy, to KRS pozwala poznać PESEL ponad miliona osób.

Zapytaliśmy kilku członków zarządów różnych osób prawnych, czy wiedzą, że wraz ze złożeniem elektronicznego sprawozdania finansowego za 2018 rok, ujawnią światu numery PESEL wszystkich osób, które je podpisały. Żaden nie odpowiedział – tak.

– Jestem zaskoczona – mówi Anna Serpina-Forkasiewicz, prezes spółki PortalPZP, która specjalizuje się w elektronizacji zamówień publicznych. – Przecież numer PESEL w połączeniu z imieniem i nazwiskiem jest jak dana wrażliwa, powinna być udostępniana na wniosek. Takie powszechne jej ujawnienie jest niebezpieczne i zbędne – podkreśla Anna Serpina-Forkasiewicz.

Obejrzyj: Dr Maciej Kawecki: " Facebook wymyka się spod ram prawnych"

Pokaż...

Problem dotyczy członków zarządów, których PESEL jest już dostępny w KRS, ale także biegłych rewidentów, księgowych sporządzających dokumenty finansowe oraz pełnomocników , którzy prześlą je do Krajowego Rejestru Sądowego. Mają go też urzędnicy. Maciej Gawroński, partner Gawroński & Piecuch zwraca uwagę, że PESEL zawiera też informacje o dacie urodzin i płci.

- Wszystkie te dane są używane do uwierzytelnienia w różnych systemach i usługach, ich znajomość ułatwia kradzież tożsamości. O ile nie zgadzam się z poglądem UODO, że przypadkowy wyciek numeru PESEL do pojedynczych osób rodzi wysokie ryzyko naruszenia ochrony danych osobowych, bo nie każdy Polak to złodziej tożsamości, to publiczna dostępność numerów PESEL setek tysięcy osób brzmi jak koszmar ochrony danych - ocenia Maciej Gawroński. Część prawników nieoficjalnie przyznaje, że można to uznać za "wyciek" danych na masową skalę.

Urząd Ochrony Danych Osobowych (UODO) już wielokrotnie zwracał uwagę na potrzebę zmiany obecnych rozwiązań prowadzących do ujawnienia numeru PESEL w kwalifikowanym podpisie elektronicznym ze względu na związane z tym ryzyka dla ochrony danych osobowych, ale bezskutecznie. Wkrótce wystąpi z do Ministerstwa Sprawiedliwości w sprawie KRS.

Skąd wziął się problem jawnego numeru PESEL

Od 1 października 2018 r. sprawozdanie finansowe może być złożone tylko w formie elektronicznej. Musi zostać opatrzone kwalifikowanym podpisem elektronicznym lub profilem zaufanym przez osobę, której powierzono prowadzenie ksiąg rachunkowych oraz wszystkich członków zarządu. Tymczasem każdy z tych podpisów zawiera obligatoryjnie imię, nazwisko i numer PESEL.

Dzięki temu pozwala zidentyfikować daną osobę. Gdy te dokumenty trafią do Repozytorium Danych Finansowych, można je wyszukać i obejrzeć dzięki przeglądarce dokumentów finansowych na stronie ekrs.ms.gov.pl.

- Rozumiem, że jesteśmy identyfikowani za pośrednictwem PESEL, ale nie rozumiem dlaczego staje się on ogólnodostępny „przy okazji” dla każdego, kto przegląda dokumenty finansowe w eKRS. Dlaczego w czasach RODO następuje jego publiczne wyświetlenie na etapie po złożeniu dokumentów do RDF – zastanawia się Łukasz Drożdżowski, radca prawny . Prawnicy nie mają wątpliwości, że taka jawność jest sprzeczna z RODO, czyli unijnymi przepisami o ochronie danych osobowych.

Scenariusz jak z Orwella

Mirosław Gumularz, radca prawny z kancelarii GKK Gumularz Kozik, przyznaje, że fakt, iż elementem identyfikującym podpisującego może być PESEL nie oznacza, że może on być wykorzystywany dowolnie. - Ujawnianie PESEL osób, które nie zostały wpisane do KRS może być naruszeniem zasady minimalizacji – podkreśla Mirosław Gumularz.

- Zgodnie z przepisami KRS wpisując do rejestru osobę fizyczną, zamieszcza się nazwisko i imiona oraz PESEL. Trudno uznać jednak, aby ten przepis dotyczył innych osób niż wpisywane do KRS, np. podpisujących dokumenty pełnomocników - uważa Mirosław Gumularz.

Niestety przepisy krajowe pozwalają na takie przetwarzanie numeru PESEL. Według art. 5 ust. 1 lit. c RODO administrator - tu projektodawca - powinien każdorazowo określać, jakie dane są niezbędne dla realizacji usługi. To tzw. zasada minimalizacji, którą przetwarzanie na taką skalę PESEL może naruszać. I zdaniem Łukasza Drożdżowskiego tak jest w tym przypadku.

Mirosław Gumularz zwraca uwagę, że taka jawność może naruszać też zasadę privacy by design. Co ona oznacza? - RODO wymaga projektowania prywatności już na etapie tworzenia, np. rejestrów - tłumaczy Maciej Gawroński. - Systemowe upublicznianie numerów PESEL to coś przeciwnego, któremu bliżej raczej do Orwellowskiego Roku 1984 - uważa Gawroński. UODO ma zaś wątpliwości, czy PESEL w ogóle powinien być jawny na taką skalę.

Przepisy krajowe niezgodnie z RODO

- Na dzień dzisiejszy ujawnianie numeru PESEL w Krajowym Rejestrze Sądowym, a także w kwalifikowanym podpisie elektronicznym jest dopuszczone ustawowo. Niemniej w opinii Urzędu Ochrony Danych Osobowych, te przepisy, zapewniające legalność takiego przetwarzania danych, powinny być zmodyfikowane, gdyż wzbudzają wątpliwość pod kątem zgodności z art. 87 RODO – podkreśla Monika Krasińska, dyrektor zespołu ds. sektora publicznego w UODO.

I dodaje, że zgodnie z powołanym przepisem państwo może określić szczególne warunki przetwarzania krajowego numeru identyfikacyjnego, ale wyłącznie z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą.

- Rozumiejąc potrzebę dbałości o bezpieczeństwo obrotu gospodarczego, należałoby się ponownie zastanowić nad koncepcją powszechnego ujawniania numeru PESEL w kwalifikowanym podpisie elektronicznym, a także nad ograniczeniem jawności numeru PESEL w KRS, chociażby trybem wnioskowym - mówi Monika Krasińska.

Obecnie prezes UODO przygotowuje do Ministra Sprawiedliwości wystąpienie w sprawie konieczności przeanalizowania dotychczasowego modelu powszechnej dostępności numerów PESEL przetwarzanych w KRS. - Trzeba bowiem pamiętać o wielu ryzykach z tym związanych, jak chociażby profilowanie czy kradzież tożsamości, z wykorzystaniem której zaciągane mogą być różne zobowiązania finansowe, np. pożyczki – podkreśla Monika Krasińska.

Autor: Jolanta Ojczyk

Przeczytaj też:
Coraz więcej emerytów dorabia
Raportowanie schematów podatkowych do pilnej poprawy
Sondaż: Większość Polaków martwi się o niezależność sądów

Źródło: East News

Tagi: rodo krs dane osobowe pesel wyciek danych gospodarka wiadomości

Komentuj artykuł

Wybrane dla Ciebie

< Przejdź na wp.pl
Informujemy, iż w naszych serwisach internetowych korzystamy z informacji zapisanych za pomocą plików cookies na urządzeniach końcowych użytkowników. Dalsze korzystanie z naszych serwisów, bez zmiany ustawień przeglądarki internetowej oznacza, iż użytkownik akceptuje Politykę prywatności .