- WIADOMOŚCI
Ponad 250 numerów PESEL w BIP. Błędy w anonimizacji dokumentów z kontroli ZUS-u
Autor. CyberDefence24
Poprawna anonimizacja jest niezwykle ważna w przypadku dokumentów, które zawierają dane osobowe oraz są publikowane w Biuletynie Informacji Publicznej. Znaleźliśmy 20 protokołów kontroli ZUS-u, które zawierały dane osobowe ponad 250 pracowników podmiotów publicznych. Mowa m.in. o numerach PESEL.
Na początku kwietnia br. opisywaliśmy przypadek przypadkowego zamieszczenia protokołu kontroli Zakładu Ubezpieczeń Społecznych w Biuletynie Informacji Publicznej – podmiotu zajmującego się oświatą w jednej z gmin. Doszło do naruszenia ochrony danych 81 byłych i obecnych pracowników jednostki.
Postanowiliśmy poszukać podobnych dokumentów w ramach tzw. „Google hackingu”. Udało się nam znaleźć 20 przypadków – niezwłocznie skontaktowaliśmy się z jednostkami, które były poddawane kontroli ZUS-u.
Brak anonimizacji i błędy
Spośród 20 protokołów kontroli, widocznych 24 czerwca br. z poziomu Internetu (URL), 14 z nich nie miało wdrożonej żadnej anonimizacji danych osobowych. PESEL-e były widoczne od razu po otwarciu dokumentu.
Ciekawy aspekt dotyczy pięciu protokołów zanonimizowanych za pomocą zakreślenia danych markerem. Problem w tym, że… nie zapewniło to ukrycia danych.
Zazwyczaj skanery podświetlają dokument od spodu, zaś zamazywane znaki są nadal widoczne (np. przy zmianie kontrastu i jasności dokumentu w programie graficznym).
Autor. Oskar Klimczuk / CyberDefence24
W jednym przypadku dane zanonimizowano poprzez nałożenie „zaślepek” na dane. Otwierając go jako PDF, informacje faktycznie były zasłonięte, lecz wystarczyło przeciągnięcie czarnego prostokąta w inne miejsce, aby PESEL był widoczny. Taki sam efekt można było osiągnąć poprzez otwarcie pliku jako dokument Worda czy zmianę jasności („zaślepka” była nieco jaśniejsza od idealnej czerni).
Rodzaje jednostek
Protokoły ZUS z danymi osobowymi opublikowały następujące typu organizacji publicznych:
- urzędy gminy lub miasta (4);
- obiekty związane z kulturą i sztuką (4)
- szkoły (3);
- przedszkola (3);
- ośrodki pomocy społecznej (2);
- inne (4).
Z racji na doręczenie informacji i zapewnienia o podjęciu odpowiednich działań, nie wskazujemy konkretnych jednostek z nazwy.
Autor. Oskar Klimczuk / CyberDefence24
Łącznie w dokumentach znajdowały się dane 269 osób (licząc po numerach PESEL). Największy zbiór obejmował 43 pracowników, zaś najmniejszy – zaledwie 2.
Odpowiedzi jednostek
W ciągu 8 dni skontaktowały się z nami wszystkie jednostki (20), za co dziękujemy.
Rekomendujemy korzystanie z e-Doręczeń w przypadku wysyłki zapytań o dostęp do informacji publicznej – pozwoliły one na zapewnienie, że 95% jednostek otrzymało informację (dzięki statusowi doręczenia).
2 lipca br. widoczność dokumentów została usunięta (bądź zadeklarowano jej usunięcie) przez 90% podmiotów. Pozostałe dwie organizacje przekazały, że niezwłocznie usuną widoczność plików.
Otrzymaliśmy 17 zapewnień o zgłoszeniu incydentu do Prezesa UODO oraz 16 deklaracji o poinformowaniu osób o naruszeniu. To nie oznacza, że pozostałe jednostki tego nie zrobiły – niektóre przekazały, że poinformują nas później o podjętych działaniach lub z racji na charakter sprawy nie informują o dalszych poczynaniach.
Jedna jednostka przekazała nam, że opublikowany dokument został przygotowany przez ZUS. Inna organizacja wskazała, że błąd wynikał z braku należytej staranności jednego z jej pracowników.
Odwiedziny i czas widoczności
Znalezione protokoły kontroli ZUS były zamieszczane w BIP na przestrzeni kilkunastu ostatnich lat. Charakteryzowały się również różną liczbą odwiedzin. Poniżej zamieszczamy informacje przekazane nam przez kilka placówek, sortując liczby od największych do najmniejszych.
- Liczba lat od zamieszczenia pliku: 16, 10, 10, 8, 7, 6, 3, 2, 2, 2, 1;
- Liczba odwiedzin lub pobrań: 1039, 100, 22.
Widzimy, że zdecydowana większość podmiotów nie była w stanie określić liczby pobrań pliku. Jednocześnie znane wartości tego parametru są dość zróżnicowane (od nieco ponad 20 do ponad tysiąca).
Podobne sytuacje
Niestety przypadkowa publikacja danych osobowych przez podmioty publiczne nie jest niczym nowym. W marcu br. opisywaliśmy omyłkowe ujawnienie numerów PESEL przez 40 podmiotów publicznych w ramach dokumentów dotyczących m.in. realizacji zadania publicznego.
W grudniu 2025 roku opisywaliśmy zamieszczenie kilkuset numerów PESEL w dwóch skoroszytach Excela.
Błędy w anonimizacji dokumentów niestety nie są niczym nowym ani nadzwyczajnym. W 2017 roku na łamach Niebezpiecznika opisano przypadek „zaślepki” (bądź „zasłonki”), umożliwiającej wgląd do danych osobowych w dokumencie PDF na łamach Rządowego Centrum Legislacji.
Podsumowanie
Protokoły kontroli ZUS są publikowane w Biuletynach Informacji Publicznej w oparciu o art. 6 ust. 1 pkt 4 lit. a Ustawy o dostępie do informacji publicznej.
Incydenty jasno pokazują konieczność weryfikacji dokumentów pod kątem danych osobowych przed publikacją w BIP. Jednocześnie widzimy, że zamazanie ich za pomocą markera oraz poźniejsze zeskanowanie nie daje żadnej gwarancji poprawnej anonimizacji.
Niedawno na naszych łamach ważne stanowisko odnośnie metod dwuetapowego uwierzytelniania przekazał Andrzej Zieliński (UODO). Podkreślił, że obecnie kody z SMS jako drugi składnik logowania nie gwarantują należytego poziomu ochrony przed nieuprawnionym dostępem do konta.
Przełamywanie zabezpieczeń w celu uzyskania informacji, do której nie jest się uprawnionym, jest zagrożone karą do 2 lat pozbawienia wolności (art. 267 Kodeksu karnego). Taka sama kara grozi za przetwarzanie danych osobowych bez uprawnienia (art. 107 Ustawy o ochronie danych osobowych)
Chcesz coś przekazać? Polecamy anonimowy kontakt z nami – należy użyć formularza „Zgłoszenia anonimowe” u dołu strony.





Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].