Wyciek wrażliwych danych z sądu w Warszawie! Przez kuriozalny błąd kierownictwa - sprawą zajął się prokurator

Dziurawy system zabezpieczeń

Portal Niezalezna.pl dotarł do pisma skierowanego w połowie marca br. do pracowników Sądu Apelacyjnego w Warszawie. Dyrektor Katarzyna Adamczyk-Czubik poinformowała o stwierdzeniu nieuprawnionego dostępu do konta sądu na Platformie Usług Elektronicznych ZUS (PUE ZUS), co oznacza wprost naruszenie ochrony danych osobowych.

Okazało się, że dwóm wcześniej zwolnionym osobom nie odebrano uprawnień do logowania w systemie, który zawiera wrażliwe dane (w tym o charakterze medycznym) dotyczące wszystkich pracowników sądu. I oni z tego dostępu korzystali. Co było karygodnym niedopatrzeniem ze strony osób odpowiedzialnych za ochronę danych. Mało tego - to nie zostało przez nich odkryte.

Kierownictwo sądu wprawdzie powzięło informację o nieuprawnionym dostępie do systemu drogą mailową, ale od... sprawcy!

"W dniu 28 lutego br. o godz. 21:49 wpłynęła wiadomość mailowa od byłego pracownika, w której ten poinformował, że nie zostały mu odebrane uprawnienia dostępowe do platformy PUE ZUS" – czytamy w piśmie skierowanym do pracowników.

- Analiza potwierdziła, że dwie ustalone osoby logowały się i zapoznały się z danymi osobowymi w zakresie imienia i nazwiska, numeru PESEL oraz danymi dot. stanu zdrowia w zakresie przebywania na zwolnieniu lekarskim

- napisano, dodając, że nieuprawnione osoby posiadały dostęp do konta SA w systemie PUE ZUS aż przez 31 dni.

Dyrektor Adamczyk-Czubik zapewniła o odebraniu im uprawnień oraz poinformowała o działaniach zmierzających do wyeliminowania podobnych sytuacji w przyszłości i zawiadomieniu o sprawie prezesa Urzędu Ochrony Danych Osobowych (UODO).

Równocześnie ostrzegła pracowników, że naruszenie może skutkować „powstaniem szkód majątkowych i niemajątkowych” oraz niesie „wysokie ryzyko naruszenia praw i wolności z uwagi na charakter danych jakie zostały ujawnione”.

(Jawna?) baza PESEL 

Jak ustalił portal Niezalezna.pl, to nie było w ostatnim czasie jedyne niedopatrzenie administracji warszawskiego sądu. Do podobnego incydentu, czyli nieuprawnionego dostępu poprzez logowanie, ale tym razem do systemu PESEL.SAD miało dojść ok. dwa miesiące wcześniej w ówczesnym II Wydziale Karnym Sądu Apelacyjnego w Warszawie.

System PESEL.SAD umożliwia dostęp do bazy PESEL Ministerstwa Spraw Wewnętrznych, a zawarte w nim dane mogą być udostępniane jedynie upoważnionym pracownikom sądów. Znaleźć w nim można informacje dotyczące osób przebywających stale na terytorium Polski, zameldowanych na pobyt stały lub czasowy trwający ponad 3 miesiące, a także ubiegających się o wydanie dowodu osobistego lub paszportu. 

Dostęp do systemu PESEL.SAD służy możliwości weryfikacji danych osobowych uczestników postępowań sądowych (w tym m.in. świadków i pełnomocników stron i osadzonych w zakładach karnych), jednak konieczna jest w takim wypadku podstawa i wpisanie przez uprawnionego pracownika sygnatury sprawy, co miałoby uzasadnić pozyskanie konkretnych informacji. 

W tym przypadku tak nie było, jednak nie udało nam się ustalić, ile razy doszło do podobnej sytuacji. Z naszych informacji wynika, że z pracownikiem, który miał się tego dopuścić rozwiązano umowę o pracę za porozumieniem stron. 

Pytania bez odpowiedzi

Próbowaliśmy uzyskać komentarz kierownictwa SA w Warszawie. Wysłaliśmy maila z pytaniami. Niestety, sędzia Alicja Fronczyk - rzecznik ds. cywilnych, rodzinnych, gospodarczych oraz pracy i ubezpieczeń społecznych - de facto uchyliła się od udzielenia informacji, bo nie mogła otworzyć załącznika ze skanem legitymacji prasowej, a takiego sobie zażyczyła do weryfikacji.

To nie koniec. Jedna z osób znających kulisy sprawy mówi: Problem polega też na tym, że nie sprawdzono, w jakich celach ta osoba wykorzystywała dostęp do wrażliwych danych

Tymczasem otwarte zostaje pytanie co ze sprawowaniem przez kierownictwo SA ochrony nad danymi osobowymi sędziów i pracowników sądu. Nie wiadomo również jak długa jest lista osób pokrzywdzonych nieuprawnionym dostępem, a przede wszystkim dlaczego nie odebrano dostępu dla zwolnionych pracowników. Jak ustaliliśmy, wykonująca obowiązki prezesa SA w Warszawie, sędzia Dorota Markiewicz, na te pytania nie chciała odpowiedzieć m.in. Zastępcy Rzecznika Dyscyplinarnego Sędziów Sądów Powszechnych.

Obydwa wycieki potwierdził UODO

Rzecznik Prokuratury Okręgowej w Warszawie Piotr Antoni Skiba poinformował nas, że do Prokuratury Rejonowej Warszawa Śródmieście-Północ 20 marca br. wpłynęło z Sądu Apelacyjnego w Warszawie zawiadomienie o możliwości popełnienia przestępstwa, w związku z nieuprawnionym dostępem do konta SA w systemie PUE ZUS. Nie udało nam się jednak potwierdzić złożenia zawiadomienia dotyczącego nieuprawnionego dostępu do systemu PESEL.SAD.

Z kolei rzecznik prasowy UODO Karol Witowski przekazał, że „w obu sprawach administratorzy zgłosili naruszenia ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych”.

---

Portal Niezalezna.pl ustalił również, że działania w tej sprawie podjął sędzia Przemysław Radzik, Zastępca Rzecznika Dyscyplinarnego Sędziów Sądów Powszechnych, którego poprosiliśmy o komentarz dotyczący bulwersującej sytuacji.

„Z przykrością stwierdzam, że działanie sędzi Doroty Markiewicz stanowi złamanie prawa. ZRDSSP działa w reżimie Kodeksu postępowania karnego. Wynika to wprost z art. 128 Prawa o ustroju sądów powszechnych; podobnie jak prokurator ma prawo żądania dokumentów, informacji, które stanowią, czy też mogą stanowić dowody w postępowaniu wyjaśniającym, czy też dyscyplinarnym. Osoba zobowiązana, w tym wypadku sędzia Markiewicz, do nadesłania dokumentów nie ma prawa polemizować z tym faktem, może ewentualnie później przesłać skargę, procesowo to kwestionować, natomiast nie może mówić, że ona dokumenty udostępni lub nie, w zależności od tego, że Rzecznik wykona taką czy inną czynność, której ona sobie życzy” 

– wyjaśnia s. Radzik.

Podkreślając: „Jest to złamanie prawa ewidentne, może dowodzić o zaistnieniu przestępstwa niedopełnienia obowiązku z artykułu 231 Kodeksu karnego, a także o przestępstwie z artykułu 276 Kodeksu karnego w postaci ukrywania dokumentów, a jeżeli to działanie chroni inne osoby potencjalnie obwinione w tym postępowaniu, możemy mówić o przestępstwie z artykułu 239, to jest o przestępstwie poplecznictwa”.

„Z całą pewnością Rzecznik podejmie przewidziane prawem działania w celu wyegzekwowania od s. Markiewicz obowiązku udostępniania informacji. Mogę zapewnić, że Rzecznik działa na podstawie przepisów prawa i nikt nie będzie sędzi Markiewicz wchodził do sądu z łomami” - usłyszeliśmy. - „Niemniej z całą pewnością wykorzystamy wszystkie możliwości, żeby pani Markiewicz tych informacji udzieliła, ponieważ dotyczy to poważnego deliktu dyscyplinarnego o znamionach przestępstwa, gdzie pokrzywdzonymi jest co najmniej kilkunastu sędziów Sądu Apelacyjnego, a także jego pracownicy”.

Sędzia Radzik zaznaczył: „W tym momencie nie będę ferował żadnych zarzutów. Nie wiem, czy pani Markiewicz jest, mówiąc kolokwialnie, winna tego czynu. Zakładam, że nie, ale jej obowiązkiem jest udzielić pomocy, żeby to po prostu wyjaśnić, czego - grając na zwłokę - nie czyni. Przewiduję, że pani Markiewicz będzie dalej trwała w tym postępowaniu, być może będzie liczyła na to, że minister sprawiedliwości powoła nielegalnego rzecznika specjalnego. Przy czym takie działania będą bezskuteczne. Ponieważ wielokrotnie mówiliśmy, że ci rzecznicy działają nielegalnie, bezprawnie i żadne akta nie będą im wydawane”.

„To jest właśnie obraz dzisiejszego sądownictwa i dzisiejszej prokuratury, kiedy osoba nielegalnie powołana na urząd odmawia legalnemu rzecznikowi wydania dokumentów i liczy zapewne na łaskawość zaprzyjaźnionej prokuratury. Do czasu”

– podsumował s. Przemysław Radzik.

 

Źródło: niezalezna.pl

#Sąd Apelacyjny w Warszawie #wyciek danych