GUGiK informuje o naruszeniu ochrony danych osobowych w Geoportalu

Główny Urząd Geodezji i Kartografii publicznie poinformował o naruszeniu ochrony danych osobowych poprzez publikację numerów ksiąg wieczystych w Geoportalu oraz usłudze WMS.

O incydencie tym wiadomo było już od początku kwietnia, o czym zresztą informowaliśmy wówczas na Geoforum.pl. Przypomnijmy, że w pierwszy kwietniowy weekend na Geoportalu na warstwie z danymi EGiB zaczęto z powrotem udostępniać numery ksiąg wieczystych. Możne je było uzyskać również poprzez sieciową usługę Krajowej Integracji Ewidencji Gruntów (KIEG). Jednak już w poniedziałek dane te były z powrotem niedostępne.

Sytuacja ta była o tyle zaskakująca, że w związku z decyzją Urzędu Ochrony Danych Osobowych GUGiK zaprzestał publikowania tych informacji jeszcze w 2020 r. UODO uznał bowiem, że w ten sposób Główny Urząd Geodezji i Kartografii udostępnia dane osobowe bez podstawy prawnej. Choć GUGiK odwołał się od tej decyzji, to jej słuszność potwierdził Wojewódzki Sąd Administracyjny w Warszawie. Orzeczenie WSA nie jest jednak jeszcze prawomocne, gdyż czeka na rozpatrzenie NSA.

„W weekend zmienialiśmy sposób zabezpieczeń dostępu i być może to spowodowało, że na chwilę coś się pokazało” – wyjaśniał wówczas zaistniałą sytuację ówczesny główny geodeta kraju Waldemar Izdebski.

Dlaczego GUGiK informuje o incydencie dopiero po ponad trzech miesiącach?

Opublikowanie zawiadomienia na stronie GUGiK jest realizacją decyzji prezesa UODO, która została wydana w ostatnią środę, 6 lipca. Komunikat ten rzuca nieco więcej światła na kwietniowy incydent. Dowiadujemy się z niego na przykład, że numery ksiąg wieczystych były dostępne od 1 kwietnia od godziny 14:57. Informację o tym GUGiK uzyskał 3 kwietnia o 15:16 i w reakcji na nią zamknął dostęp do numerów KW o 15:18.

Przyczyną tej sytuacji miała być „pomyłka we wpisaniu numeru IP do konfiguracji usługi integrującej dane ewidencji gruntów i budynków pochodzące z powiatowych usług sieciowych WMS (Web Map Service)”. W efekcie dane, które miały być dostępne jedynie dla użytkowników Zintegrowanego systemu informacji o nieruchomościach (ZSIN), stały się widoczne dla wszystkich użytkowników Geoportalu oraz KIEG.

O potencjalnie groźnych konsekwencjach i środkach zapobiegawczych

Jak czytamy dalej w komunikacie, w związku z tym incydentem zaistniało wysokie ryzyko nieuprawnionego dostępu do numerów ksiąg wieczystych, co z kolei umożliwiło każdemu użytkownikowi Geoportalu łatwy dostęp do danych osobowych takich jak: imię, nazwisko, imiona rodziców czy nr PESEL podmiotów ujawnionych w księgach wieczystych. „Konsekwencją nieuprawnionego wykorzystania ww. danych osobowych jest możliwość np.: – kradzieży tożsamości osoby, – oszustwa z wykorzystaniem danych osoby” – napisano w zawiadomieniu.

By taka sytuacja się nie powtórzyła, w GUGiK przeszkolono pracowników w zakresie przestrzegania procedur bezpieczeństwa i ochrony danych osobowych oraz wdrożono proces podniesienia technicznego poziomu zabezpieczeń usług integrujących. GGK zlecił ponadto przegląd procedur dotyczących bezpieczeństwa teleinformatycznego obowiązujących w GUGiK.

Chcesz być na bieżąco z wydarzeniami w geodezji i kartografii? Zapisz się na newsletter!

Jerzy Królikowski