Do sieci wyciekły imiona, nazwiska, adresy oraz odręczne podpisy gdańszczan. To dane około 90 osób, które głosowały na trzy projekty w Budżecie Obywatelskim. Skany list z nazwiskami głosujących były dostępne w sieci od 3 października do 9 stycznia.
Po doniesieniach medialnych miasto wydało komunikat opublikowany na miejskiej stronie gdansk.pl, w którym zaprzeczono wyciekowi, wskazując, że system działa poprawnie, a błąd leży po stronie używających go wnioskodawców projektów. Po kilku dniach, już na mniej poczytnej stronie Biuletynu Informacji Publicznej, zawiadomiono o naruszeniu ochrony danych osobowych.
„SKANDALICZNE ZACHOWANIE MIASTA”
To, że miasto najpierw dementuje doniesienia gdańszczan, by potem przyznać im rację, radny PiS Przemysław Majewski nazywa skandalem.
– Już następnego dnia po dementi pojawiły się w Biuletynie Informacji Publicznej informacje ze strony władz miasta, że doszło do naruszenia przepisów o ochronie danych osobowych. Dane gdańszczan przez ponad trzy miesiące widniały w sieci i każdy mógł się z nimi zapoznać. Jest to dziwne i skandaliczne, że urzędnicy podeszli do sprawy w ten sposób. Z jednej strony zaprzeczali, dementowali informacje, a już następnego dnia potwierdzili wszystkie obawy internautów – mówi.
????A JEDNAK! MIASTO GDAŃSK PRZYZNAJE SIĘ DO NARUSZENIA DANYCH OSOBOWYCH!
❗Pamiętacie Państwo jak Władze Miasta broniły się w sprawie wycieku danych osobowych z Budżetu Obywatelskiego?
❗Zaprzeczano, że był wyciek, a tak w ogóle to winne są osoby załączające pliki do systemu. 1/2 https://t.co/qn3iEJFenA pic.twitter.com/Z4OPIsnwVi— Przemysław Majewski (@MajewskiPrzemek) January 17, 2022
SYTUACJA WYNIKIEM DZIAŁAŃ UŻYTKOWNIKÓW
Patryk Rosiński z referatu prasowego gdańskiego magistratu tłumaczy, że bazy danych są bezpieczne, a sytuacja była wynikiem działania użytkowników.
– Dwóch wnioskodawców projektów Budżetu Obywatelskiego omyłkowo, jako załącznik do projektu, dodało skany list poparcia wniosków, jeden z nich dodał także skan całego formularza zgłoszeniowego. Dołączenie tych dokumentów nigdy nie było wymagane, są one przechowywane jedynie w formie papierowej, a dostęp do nich ma ograniczona liczba pracowników. Bezpośrednio po otrzymaniu informacji o powyższym dane zostały usunięte, a serwery wyłączone na czas ponownej analizy treści, które zamieścili w systemie elektronicznym użytkownicy zewnętrzni. Od przyszłej edycji Budżetu Obywatelskiego w Gdańsku wszystkie treści pochodzące od użytkowników zewnętrznych będą moderowane przez administrację. Każdy plik, który wnioskodawca będzie chciał dodać, przed opublikowaniem zostanie ponownie zweryfikowany – tłumaczy.
Jak poinformowano na stronie bip.gdansk.pl, podjęto decyzję o zgłoszeniu naruszenia prezesowi Urzędu Ochrony Danych Osobowych. Dodano, że liczba pobrań plików z danymi z serwera była niewielka.
KONIECZNY AUDYT SYSTEMU
Audytor bezpieczeństwa danych osobowych Sebastian Stecewicz tłumaczy, że będzie potrzebna ocena tego, czy na etapie projektowania systemu/aplikacji nie popełniono błędu, dając użytkownikom możliwość zamieszczania materiałów bez dodatkowej kontroli.
– RODO, czyli rozporządzenie o ochronie danych osobowych, wprowadza konieczność prowadzenia bezpieczeństwa danych już podczas fazy projektowania aplikacji. W tym wypadku, jeśli można było dołączyć do aplikacji webowej dane osobowe, które były widoczne dla innych, to tu można doszukiwać się problemu. Powinien zostać dokonany audyt pod kątem bezpieczeństwa danych osobowych aplikacji, która obsługuje Budżet Obywatelski i wskazania poaudytowe powinny zostać przetworzone raz jeszcze – tłumaczy.
MIASTO WYDAŁO KOMUNIKAT
Jakie mogą być negatywne skutki wycieku danych? O tym pisze miasto w komunikacie:
W naszej opinii prawdopodobieństwo wystąpienia dla w/w skutków jest jednak ograniczone ze względu na poniższe okoliczności:
– po otrzymaniu przez nas informacji o opublikowaniu list, niezwłocznie usunięto je ze stron na których były umieszczone, ponadto zablokowano dostęp do serwisu internetowego;
– listy nie były widoczne bezpośrednio w serwisie internetowym, trzeba było dokonać szeregu działań, aby je pobrać;
– na chwilę obecną stwierdzono ograniczaną ilość pobrań z listami z serwisu internetowego.
Podjęliśmy także decyzję o zgłoszeniu tego naruszenia bezpośrednio Prezesowi Urzędu Ochrony Danych Osobowych.
Niemniej, w celu uniknięcia ewentualnych negatywnych skutków naruszenia ochrony Państwa danych osobowych sugerujmy zachowanie szczególnej ostrożności przy podawaniu, czy potwierdzaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu – szczególnie w sytuacji, gdy inicjatywa nie leży po Państwa stronie.
Gdyby jednak mieli Państwo informacje uzasadniające podejrzenie przestępczego użycia ujawnionych danych osobowych należy ten fakt niezwłocznie zgłosić organom ścigania, z którymi podejmiemy odpowiednia współpracę.
W razie jakiekolwiek pytań lub potrzeby przekazania dodatkowych informacji w związku z zaistniałym zdarzeniem, prosimy o kontakt z Biurem ds. Rad Dzielnic i Współpracy z Mieszkańcami ul. Nowe Ogrody 8/12 80-803 Gdańsk tel.: (+48 58) 323 65 97 mail: brdiwm@gdansk.gda.pl, lub z inspektorem danych osobowych (Piotr Wojczys, iod@gdansk.gda.pl, nr tel. (+48 58) 323 81 25).
Posłuchaj materiału naszego reportera:
Piotr Puchalski/aKa
