Trwa postępowanie upadłościowe Getin Noble Banku i pojawiła się nagle kontrowersja dookoła jednej usługi Ministerstwa Sprawiedliwości - zgłaszania wierzytelności przez Krajowy Rejestr Zadłużenia. Wystarczy złożyć prosty wniosek przez KRZ, aby uzyskać dostęp do akt sprawy oraz poufnych danych ponad 30 tys. klientów, w tym adresy i numery PESEL.

Dziura w KRZ

Informacje od zaniepokojonych klientów sprawdził serwis Niebezpiecznik.pl. Na stronie KRZ pojawiła się informacja, że "W związku z ogłoszeniem upadłości Getin Noble Bank S.A. w Warszawie przekazujemy "Instrukcję zgłaszania wierzytelności bankowych w systemie KRZ" wraz z filmem instruktażowym". 

Jak się okazało, nie ma żadnej weryfikacji osób, które składają taki wniosek. Dziennikarze Niebezpiecznika wypełnili formularz bzdurnymi danymi i uzyskali automatycznie dostęp do akt postępowania upadłościowego. W ten sposób nagle mogli się zapoznać z nazwiskami i numerami PESEL klientów Getin Noble Banku, a do tego uzyskać ich adresy. W niektórych metryczkach pojawiał się numer telefonu.

"Nie przeglądaliśmy tych danych bardziej, niż było to konieczne do stwierdzenia zgłaszanego nam problemu, ale możemy potwierdzić, że gdy po raz pierwszy sprawdziliśmy, jak to działa, (w piątek 18 sierpnia) liczba uczestników postępowania przekraczała 17 tys. We wtorek 22 sierpnia liczba uczestników była już prawie dwukrotnie większa, więc teoretycznie można podejrzeć dane ponad 30 000 osób" –informuje serwis Niebezpiecznik.pl.

Niektórzy zaniepokojeni użytkownicy zgłaszali, że wśród danych można odnaleźć też czasem numery dowodów osobistych oraz informacje o nieruchomości, których dotyczy kredyt. 

Skąd wyciek danych?

Chodzi o prawo. Mimo tego, jak wygląda problem, sposób działania Krajowego Rejestru Zadłużenia ma być zdaniem resortu w pełni zgodny z prawem. Uczestnicy postępowania upadłościowego mogą mieć dostęp do takich danych, ale przez to jak zostało to zaimplementowane w systemie KRZ, dostaje je każdy chętny, kto poświęci chwilę na formularz. I ewentualnie prawie 15 minut na obejrzenie filmu instruktażowego.

Taka osoba nie musi być wierzycielem. Nie następuje żądna weryfikacja ani nie ma potrzeby składania podpisów, proces następuje automatycznie. Jedyną przeszkodą jest konieczność skorzystania z dostępu przez Profil Zaufany. Redakcja Niebezpiecznik.pl przypomina jednak, że ten można uzyskać nielegalnymi drogami.

Problem przekazano do Ministerstwa Sprawiedliwości oraz UODO i jak się okazało, jest on znany resortowi. Z oficjalnego pisma, jakie Urząd Ochrony Danych Osobowych wysłał w odpowiedzi, wynika, że system został tak zaprojektowany celowo, a jego działanie jest zgodne z prawem. 

Klientom tego banku doradza się opóźnienie zgłaszania wierzytelności do systemu. Niestety należy brać pod uwagę, że wierzytelność powinna być zgłoszona w 30 dni po ogłoszeniu upadłości. Zgłoszenie jej po tym terminie może wywołać niepożądane konsekwencje. 

Oficjalne zdanie resotu sprawiedliwości

Resort nie planuje uszczelniania KRZ. W oficjalnym piśmie napisał, że "W związku z pytaniami mediów o rzekome nieprawidłowości w dostępie do danych wierzycieli upadłego Getin Noble Banku, Ministerstwo Sprawiedliwości informuje, że informacje gromadzone w Krajowym Rejestrze Zadłużonych są w pełni bezpieczne i przetwarzane zgodnie z obowiązującym prawem."

Dalej tłumaczy, że system KRZ jest przeniesieniem do sieci procedur, które funkcjonują bez zmian w stosunku do ich papierowych wersji. Innymi słowy, jego działanie jest zgodne z przepisami i resort nie widzi w tym nieprawidłowości. Podkreśla tylko o odpowiedzialności karnej za nieprawomocne wejście w posiadanie takich danych.