Getin Bank jest w trakcie upadłości, a adresy i PESELe ponad 30 tysięcy jego klientów może podejrzeć każdy. Znajdują się one w aktach postępowania upadłościowego.
O upadłości Getin Noble Banku pewnie słyszała większość z Was. Jak informuje Niebezpiecznik, z powodu trwającego postępowania upadłościowego na znaczeniu zyskała jedna usługa Ministerstwa Sprawiedliwości. Chodzi o zgłaszanie wierzytelności przez Krajowy Rejestr Zadłużonych (KRZ).
Jeśli ktoś udał się na stronę krz.ms.gov.pl w miniony piątek, 18 sierpnia 2023 roku, mógł zobaczyć czerwony pasek z ostrzeżeniem o problemach z wydajnością. Znalazł się tam również link do wideo z instrukcją, jak zgłaszać wierzytelności. Wynikało z niego, że po wypełnieniu i wysłaniu wniosku automatycznie dołączymy do postępowania i otrzymamy dostęp do akt sprawy.
I tu pojawiał się problem. W aktach tych znajdują się między innymi dane pozostałych osób uczestniczących w postępowaniu, w tym ich adresy i numery PESEL. A ponieważ zgłoszenia wierzytelności może dokonać każdy, dane te, dotyczące ponad 30 tysięcy klientów Getin Banku, są dostępne w zasadzie dla wszystkich. Można nawet pokusić się do stwierdzenia, że są dostępne publicznie (choć nie bezpośrednio).
Adres i PESEL to jednak nie jedyne dane, które można znaleźć w aktach sprawy upadłościowej Getin Banku.
Według jednego z czytelników można się też dogrzebać numeru dokumentu tożsamości i informacji o nieruchomości której dotyczy kredyt. A ponieważ podane adresy prawdopodobnie są powiązane z tym kredytem, to stosując techniki OSINT-u da się połączyć te dane z innymi informacjami o ludziach. Każde masowe udostępnienie danych o ludziach wykracza poza swój podstawowy zakres.
Co więcej, ponieważ to są dane ludzi będących w przeszłości klientami konkretnego banku, więc wchodzi w grę tajemnica bankowa …i ryzyko bardzo ukierunkowanych ataków phishingowych.
– informuje Niebezpiecznik
Niebezpiecznik skontaktował się w powyższej sprawie z Ministerstwem Sprawiedliwości oraz Urzędem Ochrony Danych Osobowych. To pierwsze stwierdziło, że problem jest znany i resort pracuje nad jego rozwiązaniem. Odpowiedź UODO jest obszerniejsza. Urząd poinformował, że przyjrzy się sprawie i napisał , że zgłaszał uwagi do projektowanych rozwiązań dotyczących informatyzacji funkcjonowania KRZ.
Za każdym razem UODO przedstawiał swoje obawy co do konstrukcji prawnej przyjętej w ustawie z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych, zgodnie z którą zamieszczone w Krajowym Rejestrze Zadłużonych numery PESEL podlegają upublicznieniu, są zatem jawne i publicznie dostępne. Organ zwracał uwagę, że ta jawność i publiczna dostępność numerów PESEL w Krajowym Rejestrze Zadłużonych nie tylko nie daje się pogodzić z – statuowaną w art. 87 RODO – zasadą, by przetwarzanie „krajowego numeru identyfikacyjnego” (jakim jest numer PESEL) odbywało się z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, lecz – przede wszystkim – rodzi poważne zagrożenia dla osób, których numer PESEL zostanie za pośrednictwem Krajowego Rejestru Zadłużonych upubliczniony.
– napisał Urząd Ochrony Danych Osobowych
Jeśli jesteś klientem Getin Banku i chcesz zgłosić wierzytelność do Krajowego Rejestru Zadłużonych, to nie mamy dla Ciebie dobrych wieści. Logiczne by było zaczekać z tym zgłoszeniem do czasu, aż Ministerstwo Sprawiedliwości uszczelni system. Z drugiej strony jednak, na co wskazuje Niebezpiecznik, nie wiadomo, czy wprowadzanie jakichkolwiek ograniczeń w dostępie do danych wierzycieli byłoby zgodne z prawem. Prawdopodobnie nie, więc należałoby zmienić przepisy.
Zobacz: Atak na pieniądze Polaków. Zagrożeni klienci dwóch banków
Zobacz: PESEL jak koń trojański. Rząd wprowadza zmiany
Źródło zdjęć: Robson90 / Shutterstock.com, Niebezpiecznik
Źródło tekstu: Niebezpiecznik