Trwa postępowanie upadłościowe Getin Noble Banku. Klienci, którzy chcą do niego dołączyć, w celu odzyskania swoich pieniędzy muszą zgłosić wierzytelność za pośrednictwem prowadzonego przez Ministerstwo Sprawiedliwości Krajowego Rejestru Zadłużonych.
Nie dziwi więc fakt, że w ostatnich dniach strona KRZ.ms.gov.pl przeżywa istne oblężenie. W piątek zainteresowanie serwisem było tak duże, że pojawił się nawet komunikat z ostrzeżeniem o problemach wydajnościowych.
Upadłość Getin Noble Banków. Luka w systemie KRZ?
Na stronach KRZ znajduje się tez krótka instrukcja informująca o tym, w jaki sposób można dołączyć do postępowania Getin Noble Banku. I w tym miejscu zaczynają dziać się dziwne oczy. Bo okazuje się, że aby zgłosić wierzytelność wystarczy wypełnić... jeden formularz.
Po jego wypełnieniu wierzyciele automatycznie otrzymują dostęp do szczegółowych akt sprawy, w tym do danych osobowych innych uczestników postępowania - chodzi tu o szczegółowe informacje na temat 30 tysięcy Polaków - w tym numery PESEL, numery dowody osobistych oraz adresy zamieszkania.
Już sam fakt, że w tak łatwy sposób można zdobyć wrażliwe dane, budzi pewne wątpliwości. To jednak wcale nie koniec niespodzianek. Okazuje się, że by uzyskać dostęp do akt sprawy, nie trzeba być wcale stroną postępowania - nikt bowiem tego nie weryfikuje. Takie dane mógł więc uzyskać dosłownie każdy.
Udowodnili to dziennikarze serwisu Niebezpiecznik, którzy w odpowiedzi na zgłoszenia czytelników postanowili sprawdzić, czy dostęp do akt sprawy Getin Noble Banku można uzyskać bez odpowiedniej weryfikacji i uprawnień. Owszem, można.
Problem z KRZ od kilku dni zgłaszają nam różni czytelnicy. Aby zweryfikować, czy ich panika i strach o swoje dane są uzasadnione, skorzystaliśmy z formularza KRZ do zgłaszania wierzytelności. Wypełniliśmy go bzdurnymi danymi, wysłaliśmy wniosek bez podpisu i bez opłaty. Takie pismo nie wywoła skutków prawnych, natomiast wywołało ono jeden skutek techniczny. Otrzymaliśmy dostęp do akt sprawy! Automatycznie. Ot tak!
- wyjaśnia Niebezpiecznik.
Aby zalogować się do systemu KRZ trzeba mieć co prawda Profil Zaufany, co do pewnego stopnia ogranicza możliwość pozyskania danych przez przypadkowe osoby. Sęk w tym, że nielegalne pozyskanie takiego profilu nie jest dla cyberprzestępców szczególnie wymagające.
Z informacji Niebezpiecznika wynika, że jeszcze w piątek liczba uczestników postępowania, których dane można było podejrzeć wynosiła 17 tys., z kolei we wtorek było to już ponad 30 tys. osób.
Dodajmy, że to jest coś więcej niż 30 tys. nazwisk, peseli i adresów. W niektórych metryczkach widzieliśmy numer telefonów. Według jednego z czytelników można się też dogrzebać numeru dokumentu tożsamości i informacji o nieruchomości której dotyczy kredyt.
- pisze Niebezpiecznik.
Dane 30 tys. Polaków dostępne dla każdego. Co na to UODO?
Sprawa została zgłoszona zarówno do Ministerstwa Sprawiedliwości oraz Urzędu Ochrony Danych Osobowych. Jeśli chodzi o UODO, to instytucja przesłała do redakcji Niebezpiecznika komunikat, w którym przyznaje, że zgłaszała "uwagi do projektowanych rozwiązań dotyczących informatyzacji funkcjonowania KRZ - zarówno do ustawy o Krajowym Rejestrze Zadłużonych, jak i aktów wykonawczych do jej przepisów.
Za każdym razem UODO przedstawiał swoje obawy co do konstrukcji prawnej przyjętej w ustawie z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych, zgodnie z którą zamieszczone w Krajowym Rejestrze Zadłużonych numery PESEL podlegają upublicznieniu, są zatem jawne i publicznie dostępne. Organ zwracał uwagę, że ta jawność i publiczna dostępność numerów PESEL w Krajowym Rejestrze Zadłużonych nie tylko nie daje się pogodzić z – statuowaną w art. 87 RODO – zasadą, by przetwarzanie 'krajowego numeru identyfikacyjnego' (jakim jest numer PESEL) odbywało się z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, lecz – przede wszystkim – rodzi poważne zagrożenia dla osób, których numer PESEL zostanie za pośrednictwem Krajowego Rejestru Zadłużonych upubliczniony.
- czytamy w komunikacie.
Resort sprawiedliwości: Dane w KRZ są bezpieczne
W środę Ministerstwo Sprawiedliwości opublikował komunikat "w związku z pytaniami mediów o rzekome nieprawidłowości w dostępie do danych wierzycieli upadłego Getin Noble Banku. Resort Zbigniew Ziobry podkreśla w nim, że dane gromadzone w KRZ są "w pełni bezpieczne i przetwarzane zgodnie z obowiązującym prawem".
Wgląd do akt postępowania upadłościowego, zgodnie z Kodeksem postępowania cywilnego i Prawem upadłościowym, mają wszyscy jego uczestnicy. Wynika to z zasady wewnętrznej jawności postępowania cywilnego, która gwarantuje uczestnikom postępowania równe prawa.
- czytamy w komunikacie MS.
Przepisy regulujące dostęp do akt postępowań upadłościowych obowiązują bez zmian od 2003 roku. A więc były takie same za poprzednich ministrów sprawiedliwości, jak też w poprzednim 'papierowym' systemie obsługi tych postępowań w sądach.
- dodaje resort.
Jednocześnie MS przestrzega, ze osoby, które uzyskały dostęp do systemu w sposób nieuprawniony, np. "poprzez fałszywe zgłoszenie wierzytelności" i wejdzie w bezprawne posiadanie danych, podlega odpowiedzialności karnej. "Takie przypadki, będą zgłaszane przez syndyka do prokuratury" - wyjaśnia MS.
Jak wyjaśnia "Dziennika Gazeta Prawna", prawo upadłościowe zezwala na dostęp do akt sprawy wszystkim uczestnikom postępowania, ale w sądzie lub przez syndyka. "Tu zaś kilkadziesiąt tysięcy osób (trzeba też bowiem doliczyć pełnomocników) może przeczytać i pobrać bardzo szczegółowe informacje nie ruszając się z domu i za pomocą jednego kliknięcia" - czytamy.
