Sprawy generalne Rzecznika Praw Obywatelskich

Wystąpienie do Ministra Sprawiedliwości i Prezesa Urzędu Ochrony Danych Osobowych w sprawie ujawnienia danych osobowych wierzycieli w Krajowym Rejestrze Zadłużonych.

W ostatnim czasie ukazały się materiały prasowe dotyczące ujawnienia szczegółowych danych osobowych wierzycieli zgłaszających w Krajowym Rejestrze Zadłużonych (dalej jako: KRZ) swoją wierzytelność. Jak wynika z informacji medialnych, w sprawie uwidocznił się problem udostępnienia szczegółowych danych osobowych zawartych w aktach postępowania upadłościowego, prowadzonych w postaci elektronicznej, wszystkim uczestnikom tego postępowania. Chodzi o dostęp do obszernych informacji osobowych oraz majątkowych wierzycieli, takich jak: imię, nazwisko, nr. PESEL, nr dowodu osobistego, adres zamieszkania, informacje o nieruchomościach, podpis, kwota kredytu, treść umów.

Rzecznik Praw Obywatelskich zwrócił przy tym uwagę na skalę problemu. W przedmiotowym postępowaniu upadłościowym - jak wynika z informacji prasowych - zostało bowiem zgłoszonych ponad 30 000 wierzytelności. Stwarza to wysokie ryzyko naruszenia prawa do ochrony danych osobowych i prywatności uczestników tego postępowania. Wątpliwości budzi przy tym zakres udostępnianych informacji w postaci elektronicznej, które znajdują się w aktach postępowania.

Zgodnie z art. 51 ust. 2 Konstytucji udostępniane przez władze publiczne informacje powinny być ograniczone do niezbędnych danych. Należy więc podkreślić, że prywatność może podlegać ograniczeniom, ale tylko na zasadach określonych w art. 31 ust. 3 Konstytucji i art. 51 ust. 2 Konstytucji. Rzecznik zauważa, że dostęp do danych w postaci elektronicznej stwarza o wiele większe zagrożenie niż udostępnianie akt w sekretariacie sądu lub w biurze syndyka, które ma służyć realizacji prawa dostępu do akt postępowania. Proporcjonalność przyjętego rozwiązania w systemie informatycznym może więc budzić poważne wątpliwości.

Ponadto sprawa uwidoczniła problem łatwego dostępu do akt elektronicznych w postępowaniu upadłościowym, co może przyczynić się do wyłudzenia informacji o wierzycielach. Jak wskazują media, dostęp do akt w KRZ może uzyskać każdy. Wątpliwości Rzecznika budzi zatem sposób zabezpieczenia danych osobowych i zapewnienia ich poufności w Krajowym Rejestrze Zadłużonych z punktu widzenia prawa do ochrony prywatności i danych osobowych.

Mając powyższe na uwadze, Rzecznik zwrócił się do Ministra z prośbą o przedstawienie wyjaśnień w niniejszej sprawie.

Do Prezesa OUDO RPO zwrócił się natomiast z zapytaniem, czy w związku z podejrzeniem naruszenia przepisów o ochronie danych osobowych w przedstawionej sprawie organ ds. ochrony danych osobowych podjął działania w ramach swoich kompetencji, a jeśli tak to jakie.

 

Wystąpienie dołączone do tego dokumentu:

Data odpowiedzi:

Opis odpowiedzi:

Sekretarz Stanu w Ministerstwie Sprawiedliwości w piśmie z 7 listopada 2023 r. podzielił stanowisko Rzecznika w zakresie, w jakim wskazuje się zagrożenia związane z dostępem do akt postępowania prowadzonego w trybie elektronicznym. Jednak należy zwrócić uwagę, że przyjęty model dostępu do akt miał na celu jak najlepsze odwzorowanie zasad obowiązujących przy prowadzeniu akt w wersji papierowej, przy równoległej faktycznej poprawie dostępności do akt. Trzeba podkreślić, że dostęp ten, w przypadku akt papierowych, był ograniczony przez fakt konieczności wizyty w sekretariacie sądu. Nie było przy tym ograniczenia co do zakresu danych z postępowania, które uczestnik mógł przejrzeć. Niemniej jednak, w związku ze zgłaszanymi potrzebami zwiększenia bezpieczeństwa dostępu do danych wierzycieli i ich ochrony, a także danych gromadzonych w sprawach prowadzonych w systemie teleinformatycznym obsługującym postępowanie sądowe (Krajowy Rejestr Zadłużonych) Ministerstwo Sprawiedliwości podjęło działania w zakresie zmiany architektury systemu teleinformatycznego KRZ w taki sposób, że dostęp wierzyciela do akt zgłoszeń wierzytelności innych wierzycieli zostanie ściśle powiązany z etapem postępowania. Niezależnie od powyższego, zagadnienie związane z zapewnieniem bezpieczeństwa ochrony danych osobowych zamieszczonych w aktach postępowań prowadzonych w systemie teleinformatycznym KRZ będzie przedmiotem dalszych analiz podejmowanych przez Ministerstwo Sprawiedliwości.