KRS opublikował numery systemu ewidencji ludności ponad miliona osób. Wszystko jednak wskazuje na to, że ujawnienie numerów PESEL odbyło się zgodnie z przepisami. Urząd Ochrony Danych Osobowych bije na alarm.
Ujawnienie numerów PESEL ponad miliona Polaków w KRS
Od 1 października ubiegłego roku sprawozdania finansowe mogą być składane w formie elektronicznej, pod warunkiem, że są uwiarygodnione profilem zaufanym lub podpisem elektronicznym. Można w nich znaleźć numer PESEL. W związku z tym Krajowy Rejestr Sądowy opublikował na swojej stronie PESEL, imiona i nazwiska członków zarządów spółek, fundacji i stowarzyszeń. Jak się okazuje, ujawnienie numerów PESEL odbyło się zgodnie z przepisami. Jak to możliwe, że w dobie RODO do sieci trafiają tzw. wrażliwe dane osobowe?
Ustawa o KRS
Winny sytuacji jest artykuł 8 Ustawy o Krajowym Rejestrze Sądowym, o dostępie do danych zawartych w rejestrze:
- Rejestr jest jawny.
2. Każdy ma prawo dostępu do danych zawartych w Rejestrze za pośrednictwem Centralnej Informacji.
3. Każdy ma prawo otrzymać, również drogą elektroniczną, poświadczone odpisy, wyciągi, zaświadczenia i informacje z Rejestru.
Ujawnienie numerów PESEL odbyło się zatem w świetle obowiązujących przepisów.
UODO bije na alarm
Urząd Ochrony Danych Osobowych uważa, że koncepcja powszechnej jawności PESEL wymaga ponownej, dogłębnej analizy. Przepisy te nie korelują bowiem z rozporządzeniem RODO, które nakazuje podmiotom przetwarzającym dane osobowe zachowanie szczególnej ostrożności oraz zabezpieczenia praw i wolności osoby, której dane dotyczą. Świadomi konsumenci usuwają swoje dane osobowe z mediów społecznościowych, banków i firm handlowych, tymczasem w KRS są one ogólnodostępne.
Dlaczego ujawnienie numerów PESEL w KRS jest groźne?
Ujawnienie numerów PESEL w KRS rodzi wątpliwości, w związku z którymi Prezes UODO zwróci się do Ministra Sprawiedliwości. Dyskusyjny jest bowiem fakt wycieku tzw. wrażliwych danych osobowych. W konsekwencji osoby niepowołane, które wejdą w ich posiadanie, mogą z powodzeniem dokonać kradzieży tożsamości. Dla ofiar tego procederu może to oznaczać np. wyłudzenie kredytu na ich dane osobowe. Pokrzywdzonym konsumentom pozostanie wówczas jedynie zastrzeganie dokumentów (por.: wyciek danych osobowych z paszportów).
Zainteresowanie nie wiedzą, że udostępniają dane
Jak się okazuje, sami zainteresowani nie mieli świadomości, że udostępnili swoje dane osobowe. W kręgu osób narażonych na niebezpieczeństwo ze względu na ujawnienie numerów PESEL w KRS są członkowie zarządów i fundacji, ale również biegli rewidenci, księgowi oraz pełnomocnicy, którzy przesyłają dane do KRS. Jak podkreśla Maciej Gawroński z Gawroński & Piecuch, w numerze PESEL zakodowana jest data urodzenia oraz płeć, które są one wykorzystywane przez systemy uwierzytelniania na wielu platformach.
Czy będą konsekwencje niedostosowania przepisów o KRS do RODO, nie wiadomo. Trudno bowiem sobie wyobrazić kogo miałaby dotknąć kara za nieprzestrzeganie RODO. Wątpliwości nie ulega jednak fakt, że ujawnienie numerów PESEL w KRS jest wyciekiem danych osobowych na dużą skalę.