Dane klientów wodociągów miesiącami widniały na stronie sądu

O sprawie jako pierwszy poinformował lokalny portal przeclaw24.pl. Redakcja miała otrzymać na swoją skrzynkę mailową linki prowadzące do dokumentów. „Proszę zajrzeć na Portal Rejestrów Sądowych i przejrzeć dane rejestrowe CUK Kołbaskowo sp. z o.o. W dokumentach pod nazwą wypisy aktu notarialnego dostępne są dane osobowe wszystkich mieszkańców gminy, a także pracowników wraz z numerami PESEL. W nierozliczonych płatnościach widać nawet numery telefonów! Dostęp do tych danych jest publiczny od 28 marca” – przekazał portalowi jeden z mieszkańców. Incydent miał dotyczyć 3577 osób.

Tego samego dnia na stronie Centrum Usług Komunalnych w Kołbaskowie pojawił się komunikat dot. naruszenia ochrony danych osobowych. „(…) w publicznym dostępie znalazły się dane identyfikujące kontrahentów, w tym osoby fizyczne prowadzące działalność gospodarczą oraz osoby prywatne, obejmujące: imię, nazwisko, adres zamieszkania lub zameldowania oraz adres nieruchomości, której dotyczyła współpraca ze Spółką, a także dane dłużników Spółki (…)” – stwierdzono w publicznym zawiadomieniu.

Działania po incydencie

Gmina Kołbaskowo poinformowała, że dane upubliczniono w toku postępowania rejestrowego, które prowadził Sąd Rejonowy Szczecin‑Centrum w Szczecinie, XIII Wydział Gospodarczy KRS. CUK Kołbaskowo zaznaczył również, że owe postępowanie prowadziła zewnętrzna kancelaria prawna.

Zdarzenie zostało zgłoszone do Prezesa UODO. Obecnie dane nie są widoczne z poziomu Portalu Rejestru Sądowych (PRS). „Zalecam zachowanie standardowej rozwagi w kontaktach telefonicznych i e‑mailowych, weryfikowanie nadawców oraz – według własnej decyzji – skorzystanie z dostępnych narzędzi zwiększających bezpieczeństwo, takich jak zastrzeżenie numeru PESEL czy monitoring prób wyłudzeń” – skwitował prezes zarządu Centrum Usług Komunalnych w Kołbaskowie.

Przykładowe dokumenty

Portal przeclaw24.pl zamieścił zrzuty ekranu fragmentów dokumentów, do których udało się dotrzeć redakcji. Na zdjęciu okładkowym artykułu widzimy nagłówki m.in.:

• listy dokumentów nierozliczonych na dzień 13 marca br.;
• zestawienia kontrahentów (z kolumnami wskazującymi na m.in. adres zamieszkania);
• wykazu osób zatrudnionych w ZWiK.

„Nieoficjalnie ustaliliśmy, że listy z danymi osobowymi krążyły między mieszkańcami już od pewnego czasu” – przekazały przecławskie media, co nie napawa optymizmem.

Nie pierwszy taki incydent

W lipcu br. informowaliśmy o przypadkowym upublicznieniu danych gdańszczań na stronie przetagu dot. budowy linii tramwajowej. Z zawiadomienia Dyrekcji Rozbudowy Miasta Gdańska wynika, że wśród dokumentów znajdowały się wypisy z „ewidencji gruntów i przyległych terenów, przez które będzie przebiegać trasa”.

Kilka miesięcy temu byliśmy świadkami omyłkowego udostępniania arkusza Excela z danymi osobowymi młodych siatkarzy, które miało miejsce na stronie jednego z wojewódzkich Zwiąków Piłki Siatkowej.

W czerwcu nagłośniliśmy sprawę widoczności danych osobowych Polek i Polaków z poziomu rządowego portalu. Wówczas PARP przywołał jeden z punktów regulaminu Bazy Usług Rozwojowych, który miał zwalniać administratora z „jakiejkolwiek odpowiedzialności za treści zamieszczane w BUR przez Użytkowników”. Pliki przestały być widoczne z poziomu sieci krótko po opublikowaniu artykułu.

Co dalej?

Przypadkowe opublikowanie danych ponad 3,5 tys. osób pokazuje, że kwestia anonimizowania danych jest bardzo ważna. Jednocześnie należy przykładać ogromną wagę do każdego dokumentu, który ma być powszechnie dostępny.

Artykuł 32 RODO podkreśla rolę zarówno administratora oraz podmiotu przetwarzającego w ochronie danych osobowych.

Zdarzenie pokazuje również znaczenie lokalnych mediów, które jako pierwsze nagłośniły incydent. Przerażające jest jednak to, że pliki z danymi osobowymi miały rzekomo „krążyć między mieszkańcami”.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony).