Dane osobowe Polaków widnieją na rządowym portalu

W kontekście ochrony danych osobowych w administracji publicznej warto wspomnieć liczne ataki ransomware na urzędy pracy. Ofiarami cyberprzestępców padały m.in. PUP Police (sierpień 2024), PUP Bartoszyce (marzec 2025) czy PUP Żory (kwiecień 2025). Tym razem jednak widoczność danych nie jest spowodowana atakiem cyberprzestępców czy wyciekiem danych – informacje o Polkach i Polakach są widoczne z poziomu wyszukiwarki internetowej.

W artykule pominięto m.in. informacje dotyczące spółek (dokumenty z KRS czy CEIDG), które są dostępne publicznie.

Dane widoczne z poziomu przeglądarki

Znalezienie plików możliwe było dzięki zastosowaniu odpowiedniego zapytania w wyszukiwarce internetowej, tzw. google dorking lub google hacking. Nie wymagało uwierzytelniania czy przełamywania zabezpieczeń.

W marcu br. dotarliśmy do trzech dokumentów w formacie PDF. Dwa z nich były zbiorami referencji, zaś trzeci to certyfikat zawierający dane osobowe. W dokumentach znajdowały się informacje o ośmiu osobach, przy czym w siedmiu przypadkach można było znaleźć:

• imię i nazwisko;
•  adres zamieszkania;
•  numer PESEL;
•  numer telefonu;
•  adres e-mail.

Problem dotyczył przede wszystkim referencji, które osoby fizyczne wystawiały Śląskiemu Centrum Usług Wspólnych.

Odpowiedź PARP

Niezwłocznie po znalezieniu dokumentów zgłosiliśmy to Polskiej Agencji Rozwoju Przedsiębiorczości. Rządowa agencja przekazała nam:

„(…) wskazane dokumenty zostały umieszczone przez Dostawców Usług (firmy publikujące usługi rozwojowe w BUR) w Karcie Dostawcy Usługi w sekcji »Charakterystyka działalności firmy (wizytówka firmy)«. Jest to miejsce, w którym Dostawca Usług potwierdza, poprzez zamieszczenie referencji, certyfikatów z odbytych kursów, szkoleń, jakość oferowanych przez siebie usług”.

PARP wskazał również art. 6aa ust. 2 ustawy z dnia 9 listopada 2000 r. o utworzeniu Polskiej Agencji Rozwoju Przedsiębiorczości.

„W BUR gromadzi się i przetwarza m.in. dane dotyczące oceny usług świadczonych przez Dostawców Usług, przy czym dane te publikuje sam Dostawca i są to właśnie przede wszystkim rekomendacje zebrane od osób i podmiotów z którymi współpracował” – stwierdziła Agencja.

Rządowa agencja zwróciła uwagę na regulamin Bazy Usług Rozwojowych (BUR), który w §5 art. 10 stanowi: „Administrator BUR nie ponosi jakiejkolwiek odpowiedzialności za treści zamieszczane w BUR przez Użytkowników oraz poprawność podawanych przez nich danych”.

„(…) Administratorem danych zgromadzonych w referencjach są Dostawcy Usług, którym te referencje zostały wystawione. Należy też zwrócić uwagę, że fakt wystawienia referencji zawierających dane identyfikujące osobę fizyczną może być uznany za wyraźne działanie potwierdzające tej osoby, przyzwalające na przetwarzanie dotyczących jej danych osobowych. Niemniej jednak to Dostawcy Usług, przed ewentualnym upublicznieniem referencji powinny dokonać analizy, czy nie zawierają one danych prawnie chronionych i czy mają stosowną podstawę prawną do tego typu czynności przetwarzania” – przekazał nam PARP, dodając, że dostępność dokumentów z sieci nie jest wyciekiem danych.

Uzyskaliśmy również informację, że do czasu uzyskania wyjaśnień od Dostawcy Usług w zakresie niezbędności przetwarzania danych umieszczonych przez nich w zakresie realizacji celu, którym jest potwierdzenie jakości świadczonych usług, dokumenty zostały zablokowane.

Postanowiliśmy sprawdzić, czy dokumenty są nadal dostępne.

Stan obecny

Wszystkie z dokumentów, które były dostępne z poziomu sieci w marcu, można nadal znaleźć z poziomu wyszukiwarki internetowej. Oprócz trzech opisanych wcześniej plików udało się nam znaleźć m.in. (w nawiasie - dane osobowe w dokumentach):

• świadectwo kwalifikacyjne (PESEL, data urodzenia, imię ojca);
• zaświadczenie o ukończeniu kursu (PESEL, data i miejsce urodzenia);
• certyfikat (4 numery PESEL);
• certyfikat (adres zamieszkania, PESEL, kategoria prawa jazdy);
• zaświadczenie (PESEL, data i miejsce urodzenia) – trzykrotnie;
• zaświadczenie (PESEL);
• certyfikat (PESEL) – czterokrotnie;
• akt notarialny (imiona rodziców, numer PESEL, numer dowodu, adres zamieszkania);
• zaświadczenie stwierdzające odbycie szkolenia w zakresie ochrony informacji niejawnych (numer PESEL, numer jednostki wojskowej);
• aneks do umowy (numery PESEL, numery dowodów, adresy zamieszkania).

Wspomniane dokumenty mogą służyć potwierdzaniu swojej wiarygodności przez przedsiębiorców, lecz ciężko znaleźć powód, dla którego nie ocenzurowano danych osobowych. W jednym dokumencie dokonano takiej próby, lecz otwarcie pliku jako dokument Worda odsłaniało informacje – co opisywaliśmy m.in. w artykule o znajdowaniu CV w sieci.

Pliki pochodziły z lat 2015-2024.

MSZ – reakcja godna poszanowania

Podobny przypadek wykryliśmy w przypadku petycji do Ministerstwa Spraw Zagranicznych, dostępnej w witrynie gov.pl. W pliku PDF znajdowały się podpisy kilkudziesięciu osób, którym towarzyszyło 37 numerów PESEL oraz jeden numer paszportu. Oprócz tego w pliku można znaleźć 32 adresy e-mail.

Informację o zdarzeniu niezwłocznie przekazaliśmy MSZ. Przekazano nam, że zawiadomienie o naruszeniu ochrony danych osobowych zostanie zrealizowane zgodnie z przepisami prawa.

„MSZ usunął przedmiotowy plik ze strony internetowej urzędu oraz zwrócił się do administratora serwisu gov.pl o jego niezwłoczne usunięcie z repozytorium plików, tak aby niemożliwe było jego odczytywanie poprzez wskazany przez Pana bezpośredni link do pliku. Ministerstwo zgłosiło do PUODO naruszenie ochrony danych osobowych. Podjęło także działania zmierzające do zawiadomienia osób, których dotyczyło naruszenie (opublikowano nr PESEL), w którym m.in. wskazano, co dana osoba może zrobić, aby zminimalizować ryzyko nieuprawnionego wykorzystania jej danych osobowych” – zapewniło nas ministerstwo.

Plik został faktycznie usunięty z witryny rządowej.

Dane muszą być widoczne?

Przy założeniu, że dane zostały opublikowane za zgodą osób, pozostaje pytanie o zasadność ich widoczności z poziomu Internetu. Mamy nadzieję, że temat zainteresuje prawników zajmujących się RODO, szczególnie pod kątem odpowiedzialności za to zdarzenie oraz zgodności regulaminu BUR z art. 6 i art. 6aa ustawy o PARP, które mówią m.in. o funkcji administratora danych.

Fakt, że dane osobowe są nadal widoczne z poziomu wyszukiwarki internetowej, bez żadnego uwierzytelniania, jest co najmniej zastanawiający.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].