#CyberMagazyn: Jak wyglądały naruszenia ochrony danych w polskiej policji?

Warto przypomnieć ciekawy incydent z 2021 roku, gdzie na rządowym portalu pojawiły się dane 20 tys. funkcjonariuszy publicznych (policjantów, celników, strażników granicznych, służby więziennej itd.). „Na podstawie budowy pliku i danych wywnioskować można, że jest to lista funkcjonariuszy i pracowników różnych rządowych instytucji, których zgłoszono do szczepień” – stwierdził wówczas Niebezpiecznik. W arkuszu Excela znajdowały się m.in. imiona i nazwiska, numery PESEL oraz dane kontaktowe.

Wówczas incydent dotknął wielu funkcjonariuszy policji, lecz przyczyniło się do niego działanie Rządowego Centrum Bezpieczeństwa. Opisywane poniżej komunikaty zostały zamieszczone przez komendy policji oraz dotyczą obywateli.

Komunikaty o naruszeniu ochrony danych osobowych

Podstawą prawną publikowania komunikatów dot. naruszenia ochrony danych osobowych jest art. 34 RODO. „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu” – stwierdzono w pierwszym punkcie artykułu.

Jeśli zawiadomienie wymagałoby „niewspółmiernie dużego wysiłku” (art. 34 pkt. 2c RODO), możliwe jest opublikowanie publicznego komunikatu. Warto przy tym dodać, że naruszenie ochrony danych osobowych to nie tylko wyciek, lecz również m.in. utrata dostępności.

Pechowe notatniki

Wiele komunikatów o naruszeniu ochrony danych osobowych nie dotyczy wcale cyberataków. Myśląc o danych osobowych można skupić się jedynie na nośnikach informatycznych, lecz nie tylko one mogą zawierać ważne informacje.

Osiem zawiadomień dostępnych w sieci dotyczy utraty służbowych notatników, które zawierały dane osobowe. W wielu przypadkach znajdowały się tam dane wrażliwe, dotyczące np. możliwej odpowiedzialności karnej.

Wspomniane zawiadomienia dotyczą następujących komend policji oraz okresu zebranych danych:

• KMP Kielce, 2019 r. – legitymowani z 22 dni;
• KPP Kraków, 2021 r. - legitymowani z 21 dni;
• KPP Grajewo, 2021 r. - legitymowani z 14 dni;
• KPP Ciechanów, 2022 - legitymowani z 34 dni;
• KMP Łomża, 2022 - legitymowani z 146 dni;
• KPP Wadowice, 2022 - legitymowani z 44 dni;
• KPP Słupca, 2023 - legitymowani z 15 dni;
• KWP Radom, 2024 – legitymowani z czterech komend powiatowych (łącznie: 6 dni).

Co ciekawe, zawiadomienia nieco różnią się zakresem zbieranych danych, których dotyczy zdarzenie. Każde z nich obejmuje imiona i nazwiska, adresy zamieszkania oraz numery PESEL. Wśród innych danych wyszczególniono m.in.:

• serię i/lub numer dowodu osobistego – 5 razy;
• imię ojca – 4 razy;
• imię matki – 3 razy;
• nazwisko rodowe matki – 2 razy;
• numer telefonu – raz;
• numer polisy ubezpieczeniowej – raz.

Mail powodem naruszenia

Warto również wskazać naruszenia ochrony danych osobowych, które były bezpośrednio związane z danymi w formie elektronicznej. KMP Olsztyn w 2021 r. oraz KPP Sławno 2022 r. informowały o incydentach związanych z e-mailami.

W przypadku olsztyńskiej Komendy naruszenie polegało na „omyłkowym wysłaniu e-maila zawierającego dane osobowe do niewłaściwego adresata przez funkcjonariusza Komendy”. Zakres danych obejmował m.in. adres pobytu, numer telefonu, informacje dot. naruszeń przepisów prawa oraz dane medyczne.

W przypadku Komendy w Sławnie incydent jest trochę bardziej skomplikowany. W komunikacie poinformowano o ryzyku „ujawnienia danych osobowych osób objętych kwarantanną na terenie powiatu sławieńskiego”. Zdarzenie mogło mieć miejsce wskutek przesłania danych dostępowych do systemu EWP (związanego z przeciwdziałaniem pandemii COVID-19) na prywatną skrzynkę mailową. „(…) postępowanie wyjaśniające wykazało, iż nie doszło do udostępnienia danych osobowych osobom nieuprawnionym” – stwierdziła tamtejsza policja.

Utrata ogromnej ilości danych

Dość nietypowa sytuacja miała miejsce w Komendzie Wojewódzkiej Policji w Radomiu. W listopadzie 2023 roku KWP Radom poinformował o „utracie danych przechowywanych w postaci elektronicznej w Komendzie Miejskiej Policji w Radomiu od maja 2023 r.”. Dokumentacja służbowa zawierała m.in.:

• imiona i nazwiska;
• imiona rodziców;
• nazwisko rodowe matki;
• datę urodzenia;
• numer PESEL;
• adres zamieszkania lub pobytu;
• serię i numer dowodu osobistego;
• serię i numer prawa jazdy;
• numer telefonu;
• opis zdarzenia.

Szczególnie zadziwiające jest to, jakiego okresu czasu dotyczy utrata danych, ponieważ jest to zakres od 2013 r. do 22 stycznia 2018 r. Dokumenty zawierały m.in. informacje o osobach legitymowanych, przesłuchiwanych świadkach oraz składających ustne zawiadomienia o popełnieniu przestępstwa.

W komunikacie nie stwierdzono nieuprawnionego dostępu do informacji.

Powódź i dokumenty poza komendą

„W dniu 15.09.2024 roku w wyniku powodzi oraz na skutek przerwania tamy w Stroniu Śląskim budynek Posterunku Policji w Stroniu Śl. został całkowicie zniszczony przez falę powodziową jaka przeszła przez miasto, wskutek czego uległy zniszczeniu również dokumenty i urządzenia elektroniczne znajdujące się w posterunku” – stwierdzono w komunikacie KPP Kłodzko. Prezes UODO informował o wyrozumiałości dla administratorów danych osobowych, których dotknęło destrukcyjne działanie żywiołu.

Rolę ochrony papierowych dokumentów pokazuje sytuacja w KMP Wrocław, gdzie przez kilka miesięcy pracownik Komisariatu Policji Wrocław-Rakowiec wynosił i przechowywał dokumentację służbową poza budynkiem. Prokuratura wszczęła śledztwo w tej sprawie.

Podsumowanie

Naruszenie ochrony danych osobowych może mieć miejsce w każdej organizacji, co dobrze pokazują wyżej wymienione przykłady. Ważne, aby przykładać odpowiednią wagę zarówno do ochrony nośników informatycznych oraz papierowych dokumentów.

Podmioty publiczne nie są wolne od wycieków danych, co pokazuje np. incydent w Naczelnej Radzie Adwokackiej.