Sprawa wycieku danych funkcjonariuszy z Rządowego Centrum Bezpieczeństwa. Nie doszło do ich upublicznienia - odpowiedź dla RPO
- Miało dojść do wycieku danych osobowych ponad 20 tys. funkcjonariuszy publicznych, w tym policjantów, funkcjonariuszy Służby Ochrony Państwa, Straży Granicznej czy Służby Więziennej
- Chodzi o osoby, które miały się zgłosić na szczepienia przeciwko COVID-19 – sprawa dotyczy zatem wrażliwego kontekstu przetwarzania danych w celu udzielania świadczeń zdrowotnych
- AKTUALIZACJA: Śledztwo w tej sprawie umorzono. Faktycznie nie doszło do upublicznienia danych osobowych funkcjonariuszy lub innego nieuprawnionego ich ujawnienia rodzącego ryzyko naruszenia praw i wolności podmiotów danych. Wobec tego nie było potrzeby podejmowania przez RCB dalszych środków zaradczych oraz rekomendowania funkcjonariuszom środków ostrożnościowych - głosi odpowiedź RCB.
Rzecznik Praw Obywatelskich zajął się sprawą wycieku danych osobowych funkcjonariuszy publicznych, przetwarzanych przez Rządowe Centrum Bezpieczeństwa. Z informacji niebezpiecznik.pl wynika, że naruszenie ochrony danych dotyczy ponad 20 tys. policjantów, funkcjonariuszy Służby Ochrony Państwa, Krajowej Administracji Skarbowej, Straży Granicznej, Państwowej Straży Pożarnej, Inspekcji Transportu Drogowego, Straży Miejskiej, Służby Ochrony Kolei czy Służby Więziennej.
Według tej publikacji wyciekły następujące kategorie danych: nazwiska, numery telefonów, numery PESEL, e-maile (służbowe lub prywatne), a także dokładne adresy miejsca pracy. Osoby, których dane wyciekły, miały zgłosić się na szczepienia przeciwko COVID-19, a to oznacza, że wyciek dotyczy wrażliwego kontekstu przetwarzania danych w celu udzielania świadczeń zdrowotnych.
Zostały zatem ujawnione istotne, szczególne dane osobowe, które mogą być wykorzystane w sposób nieuprawniony. W przypadku funkcjonariuszy publicznych jeszcze większe zagrożenie wiąże się z możliwością wkroczenia w życie prywatne poprzez niechciane telefony czy korespondencję, a nawet wykorzystanie możliwości kontaktu do wywierania wpływu lub podejmowanie działań w celu pozbawienia ich zaufania publicznego.
Rzecznik spytał dyrektora Rządowego Centrum Bezpieczeństwa płk. Konrada Korpowskiego, jakie działania podjął lub planuje w tej sprawie. Chodzi także m.in. o informację, czy osoby, których dane zostały ujawnione, otrzymały stosowną informację o naruszeniu ochrony danych osobowych.
Kolejne pismo do RCB
W odpowiedzi dla RPO z 7 maja 2021 r. przedstawiono wyjaśnienia dotyczące wycieku danych osobowych funkcjonariuszy publicznych przetwarzanych przez Rządowe Centrum Bezpieczeństwa. Wskazano w nim na podjęte działania mające na celu wyjaśnienie sprawy oraz jej okoliczności.
Zastępca RPO Stanisław Trociuk prosi dyrektora RCB nadbryg. Marka Kubiaka o informacje nt. postępowania wyjaśniającego, a także podjętych działań, także o charakterze zaradczym.
Odpowiedź Marka Kubiaka, dyrektora Rządowego Centrum Bezpieczeństwa
Poczynione w wewnętrznym postępowaniu wyjaśniającym ustalenia pozwalały na przyjęcie, że w procesie przetwarzania danych osobowych w systemie teleinformatycznym ArcGIS dostępna była czasowo (w dniach 12–20 kwietnia 2021 r.) funkcjonalność usługi umożliwiająca wyeksportowanie, przez osoby nieupoważnione, danych z tego zbioru do pliku, a zalogowany do portalu ArcGIS użytkownik mógł wykonać tę operację i pobrać plik z danymi. Ten stan rzeczy mógł powstać z trzech poniższych przyczyn:
- błędnego działania pracownika RCB – użytkownika aplikacji konfigurującego właściwości formularza, lub;
- właściwości (domyślnych ustawień) aplikacji ArcGIS Online lub skryptu do formularza, lub;
- intencjonalnego działania użytkownika (pracownika RCB, pracownika (...) Sp. z o.o. lub inny nieuprawniony użytkownik aplikacji) polegającego na zmianie zaznaczonych opcji formularza umożliwiających jego publikację i eksport danych do pliku.
W oparciu o posiadane informacje nie sposób było w tym wewnętrznym postępowaniu wyjaśniającym jednoznacznie wskazać przyczyn i mechanizmu narażenia formularza z danymi osobowymi na ujawnienie. Za najbardziej prawdopodobną przyczynę umożliwiającą upublicznienie pliku z danymi osobowymi w środowisku portalu ArcGIS uznano błąd pracownika RCB, polegający na skonfigurowaniu skryptu w sposób umożliwiający innym użytkownikom ArcGIS Online eksport danych z formularza. Należy tu podkreślić, że tryb i dopuszczalne środki wewnętrznych czynności wyjaśniających dawały ograniczone możliwości pogłębienia i zweryfikowania dokonanych ustaleń. Większe możliwości w tym względzie posiadały organy dochodzeniowo–śledcze oraz państwowe organy kontrolne.
Dlatego RCB ściśle i na bieżąco współpracowało w tym względzie z Prokuraturą Okręgową w Warszawie i Agencją Bezpieczeństwa Wewnętrznego, a wcześniej z Komendą Stołeczną Policji, w ramach wszczętego przez Prokuraturę Okręgową w Warszawie dochodzenia (sygn. akt: PO II Ds. 128.2021). Między innymi pismem z dnia 26.05.2021 r. RCB przekazało tej jednostce Prokuratury wyżej wymienione wewnętrzne ustalenia, aby mogły one zostać procesowo zweryfikowane w przedmiotowym dochodzeniu, dla ustalenia przyczyn oraz mechanizmu narażenia danych osobowych funkcjonariuszy na nieuprawniony dostęp i przetwarzanie.
Jak okazało się, wyniki wewnętrznego postępowania wyjaśniającego w RCB korespondowały z ustaleniami zawartymi w postanowieniu Prokuratora Prokuratury Okręgowej w Warszawie z dnia 7 listopada 2022 r. o umorzeniu śledztwa (sygn. akt: PO II Ds. 128.2021), iż w dniach 12–20 kwietnia 2021 r. dostępna była czasowo funkcjonalność usługi platformy ArcGIS Online umożliwiająca wyeksportowanie danych z tego zbioru do pliku wyłącznie przez zalogowanego do portalu ArcGIS Online użytkownika. Aby mieć dostęp do danych osobowych w portalu ArcGis Online konieczne było wygenerowanie i pobranie plików, a mógł to zrobić zarejestrowany, a następnie zalogowany do portalu użytkownik identyfikowany m.in. po adresie IP. W wewnętrznym postępowaniu wyjaśniającym nie udało się jednoznacznie potwierdzić, czy faktycznie doszło do nieuprawnionego wyeksportowania (utworzenia pliku z danymi) oraz jego pobrania, bowiem do tych ustaleń konieczny był dostęp do logów zewnętrznych, będących w posiadaniu spółki głównej (....) (z siedzibą w USA). Te logi zewnętrzne najprawdopodobniej zostały przekazane przez tę spółkę polskiej Prokuraturze na potrzeby prowadzonego śledztwa i na tej podstawie organ ten dokonał w tym zakresie własnych ustaleń.
Według informacji uzyskanych z (...) Sp. z o.o. usunięcie formularza w dniu 20.04.2021 r. spowodowało bezpowrotne usunięcie danych zawartych w formularzu ze środowiska ArcGIS Online, a tym samym uniemożliwiło wygenerowanie i eksport pliku z danymi. Natomiast dokonane przez Prokuraturę ustalenia w toku w/wym. śledztwa potwierdziły, że wystąpił tylko jeden eksport danych zamieszczonych w pliku „formularz nr 2” w dniu 20.04.2021 r. zapisany przez użytkownika ArcGIS Online: (...) - użytkownika (...) – to jest redaktora (....). Przedmiotowy plik tego samego dnia został przez niego usunięty, bez udostępniania lub przekazywania innym osobom. Tym samym można zasadnie przyjąć, że pomimo wystąpienia możliwości dostępu do pliku zawierającego dane funkcjonariuszy zarejestrowanych użytkowników portalu ArcGIS, poza osobą redaktora (....) ostatecznie nie doszło do pobrania tych danych przez inne podmioty nieuprawnione i dalszego ich przetwarzania.
Skoro zaś faktycznie nie doszło do upublicznienia danych osobowych funkcjonariuszy lub innego nieuprawnionego ich ujawnienia rodzącego ryzyko naruszenia praw i wolności podmiotów danych, nie było potrzeby podejmowania przez RCB dalszych środków zaradczych oraz rekomendowania funkcjonariuszom środków ostrożnościowych.
Pismo do PUODO
W związku z tą odpowiedzią RPO poprosił Prezesa Urzędu Ochrony Danych Osobowych o informację o wyniku postępowania w przedmiocie naruszenia ochrony danych osobowych.
VII.501.109.2021
Załączniki:
- Dokument