Biuletyn Informacji Publicznej RPO

• Media poinformowały o ujawnieniu szczegółowych danych osobowych wierzycieli zgłaszających swoją wierzytelność w Krajowym Rejestrze Zadłużonych
• Takie dane z prowadzonych elektronicznie akt postępowania upadłościowego są dostępne dla wszystkich jego uczestników. A jak piszą media, dostęp do akt w KRZ może uzyskać każdy 
• Wątpliwości Rzecznika Praw Obywatelskich budzi zarówno zakres udostępnianych danych w ramach dostępu do akt uczestników postępowania, jak i sposób ich zabezpieczenia w KRZ
• AKTUALIZACJA:  Sprawa jest przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych, który wystąpił do Ministra Sprawiedliwości o wyjaśnienia, aktualnie trwa analiza przesłanej odpowiedzi – odpisał prezes UODO Jan Nowak
• AKTUALIZACJA2:  MS podziela stanowisko RPO w zakresie, w jakim wskazuje się zagrożenia związane z dostępem do akt postępowania prowadzonego w trybie elektronicznym
• W związku ze zgłaszanymi potrzebami zwiększenia bezpieczeństwa dostępu do danych wierzycieli i ich ochrony, resort podjął działania, aby dostęp wierzyciela do akt zgłoszeń wierzytelności innych wierzycieli był ściśle powiązany z etapem postępowania

RPO Marcin Wiącek prosi ministra sprawiedliwości Zbigniewa Ziobrę o  informacje mające na celu wyjaśnienie sprawy. Prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka pyta zaś, czy wszczął postępowania w tej sprawie. 
    
Media podały o ujawnieniu szczegółowych danych osobowych wierzycieli zgłaszających w Krajowym Rejestrze Zadłużonych swoją wierzytelność. 

Jak wynika z informacji prasowych, uwidocznił się problem udostępnienia szczegółowych danych osobowych zawartych w aktach postępowania upadłościowego - prowadzonych w postaci elektronicznej - wszystkim uczestnikom tego postępowania. Chodzi o dostęp do obszernych informacji osobowych oraz majątkowych wierzycieli, takich jak: imię, nazwisko, nr. PESEL, nr dowodu osobistego, adres zamieszkania, informacje o nieruchomościach, podpis, kwota kredytu, treść umów. 

Rzecznik zwraca uwagę na skalę problemu. W tym postępowaniu upadłościowym - jak wynika z informacji prasowych – zgłoszono ponad 30 tys. wierzytelności. Stwarza to wysokie ryzyko naruszenia prawa do ochrony danych osobowych i prywatności uczestników postępowania.

Wątpliwości budzi zarazem zakres udostępnianych informacji w postaci elektronicznej w aktach postępowania. Zgodnie z art. 51 ust. 2 Konstytucji RP udostępniane przez władze publiczne informacje powinny być ograniczone do niezbędnych danych. Prywatność może podlegać ograniczeniom  na zasadach określonych w art. 31 ust. 3 Konstytucji RP i art. 51 ust. 2 Konstytucji RP. 

Dostęp do danych w postaci elektronicznej stwarza o wiele większe zagrożenie niż udostępnianie akt w sekretariacie sądu lub w biurze syndyka, które ma służyć realizacji prawa dostępu do akt postępowania. Proporcjonalność przyjętego rozwiązania w systemie informatycznym może więc budzić poważne wątpliwości.

Ponadto sprawa uwidoczniła problem łatwego dostępu do akt elektronicznych w postępowaniu upadłościowym, co może przyczynić się do wyłudzenia informacji o wierzycielach. Jak bowiem piszą media, dostęp do akt w KRZ może uzyskać każdy, a nie musi być wierzycielem. Nie ma żadnej weryfikacji, nie składa się podpisów, proces następuje automatycznie. Jedyną przeszkodą jest konieczność skorzystania z dostępu przez Profil Zaufany. 

Wątpliwości Rzecznika budzi zatem sposób zabezpieczenia danych osobowych i zapewnienia ich poufności w KRZ z punktu widzenia prawa do ochrony prywatności i danych osobowych.

Rzecznik prosi ministra o wyjaśnienia. Ponadto, mając na uwadze dotychczasową korespondencję ws. KRZ - w której MS podzieliło stanowisko Rzecznika dotyczące „konieczności wprowadzenia zmian prawnych zmierzających do wzmocnienia ochrony danych osobowych w Krajowym Rejestrze Zadłużonych oraz innych rejestrach" - pyta, czy rozważane są zmiany w funkcjonowaniu KRZ w odniesieniu do dostępu do akt postępowania.

Prezesa UODO Marcin Wiącek pyta zaś, czy w związku z podejrzeniem naruszenia przepisów o ochronie danych osobowych podjął działania w ramach kompetencji, a jeśli tak, to jakie. Prosi też o poinformowanie, czy wpłynęły doń skargi w tej kwestii i czy są prowadzone postępowania administracyjne.

Odpowiedź Marcina Warchoła, sekretarza stanu w MS

W odpowiedzi na pismo, znak: VII.520.13.2023.MK, dotyczące wyjaśnienia kwestii pojawiających się informacjach prasowych dotyczących ujawnienia szczegółowych danych osobowych wierzycieli zgłaszających w Krajowym Rejestrze Zadłużonych (dalej jako: KRZ) swoją wierzytelność oraz zakresu udostępnianych informacji w postaci elektronicznej, które znajdują się w aktach postępowania, niniejszym przedstawiam opis działań, które podjęło Ministerstwo Sprawiedliwości w celu zwiększenia bezpieczeństwa danych.

Na wstępie wyjaśnień wskazać należy, iż obecnie przyjęte rozwiązania techniczne systemu KRZ było i jest oparte na następujących zasadach bezpieczeństwa: aby założyć konto w systemie KRZ użytkownik powinien posiadać podpis kwalifikowany, profil zaufany lub e- dowód. Wykorzystanie jednego ze wskazanych podpisów umożliwia automatyczną weryfikację danych wskazanych podczas zakładania konta. Taki sposób weryfikacji blokuje możliwość założenia konta na fikcyjne dane. Osoby, które nie posiadają założonego konta nie mają możliwości złożenia wniosku do sprawy, a dzięki temu nie mają możliwości wglądu do sprawy. Dzięki zabezpieczeniom weryfikacji danych przy zakładaniu konta nie jest możliwe złożenie zgłoszenia wierzytelności przez osobę fikcyjną jako składającą pismo. Można po zalogowaniu się do konta użytkownika dokonać zgłoszenia w imieniu innej osoby, czy podmiotu, jednakże aby osoba, która chce uczestniczyć w postępowaniu jako wierzyciel i posiadać dostęp do akt sprawy, musi na formularzu zgłoszenia wierzytelności podać swoje dane, które są przypisane do modułu tożsamości konta użytkownika, a także wskazać ID konta. Wówczas system waliduje podane na formularzu dane i jeśli zachodzi niezgodność pomiędzy danymi wierzyciela wpisanymi na formularzu i danymi ID konta to system nie pozwoli na wysłanie takiego zgłoszenia wierzytelności. Podanie fikcyjnych danych jako wierzyciela (bez wskazania ID konta) nie spowoduje nadania automatycznego dostępu do akt sprawy. Zatem dostęp do danych z akt prowadzonych w systemie KRZ wymagał i wymaga przejścia określonej powyżej procedury.

Minister Sprawiedliwości podziela stanowisko Rzecznika Praw Obywatelskich w zakresie jakim wskazuje się zagrożenia związane z dostępem do akt postępowania prowadzonego w trybie elektronicznym. Jednak należy zwrócić uwagę, że przyjęty model dostępu do akt miał na celu jak najlepsze odwzorowanie zasad obowiązujących przy prowadzeniu akt w wersji papierowej, przy równoległej faktycznej poprawie dostępności do akt. Trzeba podkreślić, że dostęp ten, w przypadku akt papierowych, był ograniczony przez fakt konieczności wizyty w sekretariacie sądu. Nie było jednak ograniczenia co do zakresu danych z postępowania, które uczestnik mógł przejrzeć. Fakt istnienia w postępowaniu około 30 000 uczestników nie zmienia zasad obwiązujących w danym postępowaniu. To co zmienia się w przypadku postępowania prowadzonego w systemie teleinformatycznym, to fakt, że przez wprowadzenie akt elektronicznych praktycznie zostaje wyłączona trudność z fizycznym dostępem do akt większej liczby uczestników.

Niemniej jednak, w związku ze zgłaszanymi potrzebami zwiększenia bezpieczeństwa dostępu do danych wierzycieli i ich ochrony, a także danych gromadzonych w sprawach prowadzonych w systemie teleinformatycznym obsługującym postępowanie sądowe (Krajowy Rejestr Zadłużonych) Ministerstwo Sprawiedliwości podjęło działania w zakresie zmiany architektury systemu teleinformatycznego KRZ w taki sposób, że dostęp wierzyciela do akt zgłoszeń wierzytelności innych wierzycieli zostanie ściśle powiązany z etapem postępowania. Zgodnie z założeniami zmiany architektury systemu wierzyciel (pełnomocnik) - użytkownik zarejestrowany - po złożeniu zgłoszenia wierzytelności na dedykowanym ku temu formularzu (art. 236 ust. 1 p.u. co stanowi manifestację woli uczestnictwa w postępowaniu), otrzyma dostęp do:

1)    akt głównych bez ograniczeń;
2)    wyłącznie własnych teczek i zakładek zawierających własne zgłoszenia wierzytelności w ramach akt postępowania.

Następnie po przeprowadzeniu procedury usunięcia braków formalnych zgłoszenia wierzytelności lub stwierdzeniu, że zgłoszenie nie ma braków wierzyciel dodatkowo otrzyma dostęp do treści teczek i zakładek zawierających formularze zgłoszeń wierzytelności pozostałych wierzycieli. Jednakże dostęp ten nastąpi w zakresie ściśle objętym treścią art. 240 p.u. , co oznacza, iż dla uczestnika postępowania nie będą widoczne między innymi dane wpisane na formularzu przez wierzyciela w polu dedykowanym dla adresu e-mail, numeru telefonu oraz nie będą widoczne dane wpisane w pole „informacje dodatkowe”. Ponadto uczestnik nie będzie miał dostępu do przeglądania treści załączników, gdyż nie ma obowiązku ich załączania w art. 240 p.u., natomiast w treści formularza będą widoczne dane wpisane jako dowód stwierdzający istnienie wierzytelności.

Projektowana zmiana architektury systemu została przygotowana w oparciu o założenie, aby automatyczny dostęp nie utrudniał realizacji praw wierzyciela w trakcie postępowania, ale jednocześnie nie zwiększał prawdopodobieństwa korzystania z danych w sposób nieuprawniony. Przedstawione rozwiązanie uniemożliwi użytkownikowi dostęp do danych osobowych innych wierzycieli na początkowym etapie udziału w postępowaniu, co nie powinno negatywnie wpłynąć na sprawność jego prowadzenia i realizację praw wierzycieli. Tym samym, zmiany te, na poziomie technicznym, powinny poprawić bezpieczeństwo danych osobowych uczestników postępowania, bez konieczności wprowadzania zmian legislacyjnych.

Niezależnie od przedstawionych wyjaśnień wskazać należy, iż zagadnienie związane z zapewnieniem bezpieczeństwa ochrony danych osobowych zamieszczonych w aktach postępowań prowadzonych w systemie teleinformatycznym KRZ będzie przedmiotem dalszych analiz podejmowanych przez Ministerstwo Sprawiedliwości.

VII.520.13.2023