Na celownik śledczych trafiło pięć kancelarii komorniczych z Warszawy i Łodzi. Z ich serwerów masowo od 2015 r. pobierano dane z bazy PESEL, czyli wrażliwe informacje pozwalające namierzyć obywatela i sprawdzić jego meldunek. Pewne jest jedno: dane wyprowadzono w sposób nieuprawniony. Przez ponad rok wyciekły dane blisko 2 mln osób.

– Z bazy PESEL pobierane są co roku spore ilości danych, szczególnie przez policję. Tak więc te pobrania przez pewien czas były niezauważone – mówi nam jeden z urzędników związanych z systemem rejestrów państwowych.

– Jeden z architektów systemu pracujący w Centralnym Ośrodku Informatyki (instytucji podległej Ministerstwu Cyfryzacji – red.) przypadkiem zorientował się, że spora część zapytań przychodzi właśnie od komorników. A aż 40 procent od tej branży było generowanych przez zaledwie pięć kancelarii, a przecież tych w całym kraju są tysiące. Co więcej, działo się to nocami i od razu w dużych paczkach: jednorazowo pytano o tysiące numerów PESEL – opowiada urzędnik. Pracownik COI sprawę zgłosił szefom, a ci resortowi cyfryzacji odpowiedzialnemu za nadzór nad systemem PESEL.

Korzystanie przez komorników z danych zebranych w tej bazie nie jest niczym nadzwyczajnym ani tym bardziej złamaniem prawa. Komornicy, podobnie jak policja i prokuratura, mają uprawnienie do nieodpłatnego, automatycznego pobierania danych w związku ze swoimi czynnościami. Zresztą korzystają też masowo z bazy CEPiK, czyli informacji o zarejestrowanych w Polsce samochodach. To od nich pochodzi ponad 90 proc. zapytań do CEPiK, bo to w tej bazie poszukują informacji niezbędnych do ustalenia majątku dłużnika.

Tyle że takie pobieranie powinno być uzasadnione konkretnymi prowadzonymi postępowaniami egzekucyjnymi. Tymczasem w tych przypadkach liczby pobrań nie da się wyjaśnić windykacją długów: jeden z komorników pozyskał od marca 2015 r. dane 802 tys. osób i złożył blisko 1,8 mln zapytań. – Trudno sobie wyobrazić, do jakich celów potrzebne było aż tyle danych – mówi nam urzędnik.

Wątpliwości podziela resort cyfryzacji, który zgłosił sprawę do warszawskiej prokuratury.

– W sprawie masowego pobierania danych z PESEL zachodzi poważne podejrzenie, że dane nie były pobierane w celach uzasadnionych działalnością tych kancelarii – mówi nam Karol Manys, rzecznik ministerstwa.

Jak poinformowała Prokuratura Okręgowa w Warszawie, „analiza połączeń z systemem PESEL – w tym czas ich trwania, częstotliwość zapytań, realizacja w porze nocnej oraz schemat pracy stacji roboczych – wskazywała na zastosowanie złośliwego oprogramowania bądź skryptów służących do automatycznego generowania zapytań”. Postępowanie, jakie wszczęła, dotyczy podejrzenia popełnienia przestępstwa z art. 231 kodeksu karnego, a więc nadużycia uprawnień przez funkcjonariusza publicznego. Do tego dochodzą jeszcze ewentualne zarzuty z art. 267 k.k. – uzyskanie przez osoby nieuprawnione dostępu do danych osobowych.

Po co komornikom tak ogromne zasoby danych? Pojawiający się wątek włamania hakerskiego do systemów kancelarii komorniczych w ocenie ekspertów od cyberbezpieczeństwa jest raczej wątpliwy.

– To mało prawdopodobne. W podmiotach, które mogą korzystać z bazy PESEL, uprawnione do wysyłania zapytań są tylko specjalne stacje odseparowane od sieci i połączone dedykowanym łączem PESEL-net. Co więcej, sama baza PESEL obsługiwana jest przez Exatel, który operuje na specjalnych bezpiecznych łączach – mówi nam jeden z ekspertów od cyberbezpieczeństwa pracujący dla administracji.

Bardziej prawdopodobne są inne scenariusze.

– Komornicy idący na skróty budowali na zapas własne bazy potencjalnych dłużników. A to jest złamaniem prawa, bo na taką bazę musiałby wydać zgodę GIODO, który na pewno by jej nie wydał. Albo też dane pobierano w celach ich odsprzedania. Obie sytuacje byłyby bardzo niepokojące – dodaje urzędnik.ⒸⓅ

Na celownik śledczych trafiło pięć kancelarii komorniczych z Warszawy i Łodzi