Ponad 27 tys. osób, które przystąpiły do postępowania wobec Getin Noble Banku, ma przez internet dostęp do wszystkich danych pozostałych kredytobiorców. Nierzadko z pełną treścią umowy kredytowej.
W poniedziałek upłynął termin darmowego zgłaszania roszczeń wobec upadłego Getin Noble Banku. Kredytobiorcy, którzy chcieli to zrobić, musieli skorzystać z administrowanego przez resort sprawiedliwości Krajowego Rejestru Zadłużonych (KRZ). Wcześniej musieli założyć w nim konto. Poprzez nie mają dostęp do wszystkich informacji przekazanych przez każdą inną osobę, która zgłosiła roszczenia. Dla wielu kredytobiorców było to duże zaskoczenie.
– Oczywiście jest dla mnie zrozumiałe, że mogę poznać podstawowe dane pozostałych wierzycieli, takie jak ich imiona i nazwiska czy też nawet adres zamieszkania. Natomiast zupełnie nie wiem, czemu miałoby służyć ujawnianie tak szczegółowych informacji, jak dane współmałżonków, rodziców, kwota kredytu, informacje o nieruchomościach stanowiących zabezpieczenie, nr PESEL czy dowodu osobistego – mówi czytelnik, który zasygnalizował nam ten problem. Najwięcej szczegółowych informacji wynika z umów kredytowych. Nie ma obowiązku ich przesyłania do KRZ (wystarczy je wskazać w zgłoszeniu), ale wiele kredytobiorców i tak to robiło. Dołączało zresztą także wiele innych informacji (np. historię spłaty kredytu). Dziś każda z osób, które zgłosiły się do postępowania wobec Getin Noble Banku, ma do nich dostęp.
Pod względem prawnym wszystko jest w porządku. Uczestnicy postępowania upadłościowego zawsze mieli dostęp do tych informacji (patrz: grafika). Tyle że wcześniej jedynie w sekretariacie sądu lub biurze syndyka. Od grudnia 2021 r. mogą to robić za pośrednictwem KRZ.
– O ile wszystko jest zgodne z prawem i nic się tu w zasadzie nie zmieniło, o tyle skala postępowania upadłościowego Getin Nobel Banku uwidoczniła problem, o którym wcześniej nikt prawdopodobnie nie pomyślał. Tak olbrzymia rzesza uprawnionych mających pełen wgląd do wszystkich informacji zamieszczanych w KRZ bez wątpienia może powodować zagrożenia, których nie było przy pojedynczym udostępnianiu akt w sekretariacie sądu czy też biurze syndyka – komentuje dr Bartosz Sierakowski, radca prawny z kancelarii Zimmerman Sierakowski i Partnerzy.
Zabrakło analizy skutków
Z jakimi zagrożeniami może wiązać się dostęp do tak szczegółowych danych na tak powszechną skalę. Bez trudu można sobie wyobrazić wykorzystanie ich do phishingu, podczas którego internetowi oszuści tak preparują wysyłane wiadomości, by wyglądały na jak najbardziej wiarygodne. Osoba, która otrzymałaby e-mail nie tylko z podstawowymi danymi, lecz także z właściwym nr PESEL, nr umowy kredytowej czy wysokością zaciągniętego kredytu, dużo szybciej kliknie na stanowiący zagrożenie link.
Jest też inny problem. Każdy, kto założy konto w KRZ i zgłosi wierzytelność, automatycznie dostaje dostęp do wszystkich danych.
– Przykład KRZ pokazuje, że cyfryzacja postępowań nie powinna odbywać się na zasadzie prostego przeniesienia tradycyjnej procedury „papierowej” do sieci. Na etapie tworzenia przepisów o KRZ nie zastosowano podstawowej zasady z RODO, czyli „privacy by design”, nie pomyślano bowiem na etapie projektowania o skutkach w postaci umożliwienia szerokiego dostępu do danych ze strony osób postronnych, które niekoniecznie muszą być wierzycielami. Wcześniej nikogo nie bolał dostęp wierzyciela do informacji o innych wierzycielach w sytuacji, gdy trzeba było po te informacje pójść do sądu i pogrzebać w aktach. Wraz z uruchomieniem dostępu do danych w KRZ każdy, kto tylko uważa się za wierzyciela (choć o tym, czy nim jest, zadecyduje dopiero sędzia), może się zarejestrować w systemie i mieć dostęp do tysięcy danych innych wierzycieli i ich współmałżonków – zwraca uwagę dr hab. Arwid Mednis, WPiA UW, wspólnik w kancelarii Kobylańska Lewoszewski Mednis.
– Niestety, to kolejny przykład cyfryzacji bez głowy, czyli bez zrobienia na etapie projektowania przepisów i systemu elementarnej analizy skutków dla praw i wolności – dodaje.
Wyważanie praw
Zastrzeżenia dotyczące skali i łatwości pozyskania danych były już wcześniej powodem do interwencji Urzędu Ochrony Danych Osobowych. W 2020 r. nakazał on głównemu geodecie kraju zaprzestanie udostępniania na portalu GEOPORTAL2 danych osobowych w zakresie numerów ksiąg wieczystych, uznając, że naruszono zasady przetwarzania danych (decyzji towarzyszyła kara 100 tys. zł).
Do UODO nie wpłynęły na razie żadne formalne skargi związane z udostępnieniem danych osobowych kredytobiorców Getin Noble Banku. Przyznaje on jednak, że otrzymał nieformalne sygnały.
– UODO przygląda się problemowi niejako automatycznego przyznawania każdemu zgłaszającemu statusu strony postępowania, co skutkuje dostępem do akt. O ewentualnych dalszych działaniach poinformujemy, jeżeli zostaną podjęte – poinformował nas rzecznik prasowy UODO Adam Sanocki.
UODO zgłaszał swe zastrzeżenia na etapie projektowania KRZ. Jego uwagi skupiały się przede wszystkim na udostępnianiu nr PESEL. Organ zwracał uwagę, że publiczna dostępność nr PESEL w KRZ nie tylko nie daje się pogodzić z – wynikającą z art. 87 RODO – zasadą, by przetwarzanie „krajowego numeru identyfikacyjnego” odbywało się z zachowaniem odpowiednich zabezpieczeń praw i wolności osoby, której dane dotyczą, lecz – przede wszystkim – rodzi poważne zagrożenia dla osób, których nr PESEL zostanie upubliczniony.
Czy problem zbyt łatwego i powszechnego dostępu do bardzo szczegółowych danych wierzycieli można rozwiązać?
– Sprowadza się on do wyważenia dwóch konstytucyjnych praw: prawa do ochrony danych osobowych i prawa własności (związanego z dochodzeniem roszczeń w postępowaniu upadłościowym). Moim zdaniem dostęp do akt powinien być zapewniony, bo inaczej nie można mówić o realizacji praw w postępowaniu. Nie uważam natomiast, że ten dostęp powinien być w pełnym zakresie możliwy za pośrednictwem środków komunikacji elektronicznej. Jeżeli już, to w ten sposób do danych w ograniczonym zakresie – uważa dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Podobnego zdania jest dr Bartosz Sierakowski.
– Z jednej strony uczestnicy postępowania muszą mieć dostęp do informacji na temat innych wierzycieli, bo przecież uwzględnienie cudzego roszczenia może mieć wpływ na to, ile mi się uda odzyskać. Z drugiej jednak postępowanie w sprawie Getin Nobel Banku pokazuje, że skala udostępnionych danych jest zatrważająca. Być może pewnym rozwiązaniem byłoby udostępnianie tylko pewnych informacji, a zaczernianie innych. Na pewno jest to problem, nad którym warto się pochylić, czego do tej pory nikt chyba nie zrobił. To jednak wymaga zmian legislacyjnych – mówi radca prawny.©℗
/>
