Organizacja wyborów powszechnych na Prezydenta Rzeczypospolitej Polskiej za pośrednictwem Poczty Polskiej niesie ze sobą wiele wyzwań, w tym natury bezpieczeństwa danych. Sporo kontrowersji wywołała kwestia e-maili, które urzędy gmin w naszym kraju otrzymały dziś w nocy. Pojawia się w nich prośba o udostępnienie Poczcie Polskiej danych wyborców i przesłanie ich w zwykłych plikach tekstowych bez żadnego hasła.
Wyjątkowa sytuacja
Bez względu na to, jak zapatrujemy się na kwestię wyborów prezydenckich 10 maja, Poczta Polska ze swojej strony zamierza zrobić wszystko, by odbyły się one bezpiecznie nie tylko pod względem profilaktyki związanej ze stanem epidemicznym w naszym kraju, ale także pod kątem zadbania o poufność danych osobowych uczestniczących w nich obywateli.
Przynajmniej tak twierdzi zarząd Poczty Polskiej, bo przy tej drugiej kwestii pojawił się dziś olbrzymi znak zapytania.
Wyjątkowe ryzyko
W późnych godzinach nocnych gminy w całym kraju dostały e-maile, których nadawcą jest Poczta Polska (co dziwne – nie wskazano w nich osoby odpowiedzialnej za rozesłanie wiadomości).
Imię: Poczta, Nazwisko: Polska. Tak podpisane maile trafiły po 2 w nocy do urzędów gmin. Chyba ktoś chce wyłudzić dane osobowe obywateli. pic.twitter.com/IIl0184nFQ
— Agnieszka Pomaska (@pomaska) April 23, 2020
Pojawia się w nich prośba o udostępnienie danych spisu wyborców, na podstawie Ustawy z dnia 16 kwietnia 2020 r. o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2.
Sęk w tym, że prośba obejmuje przekazanie danych w formie pliku TXT lub CSV, spakowanego w archiwum RAR lub ZIP i niezabezpieczonego żadnym hasłem.
Co prawda przesyłany dokument tekstowy ma być opatrzony podpisem elektronicznym, osobistym lub zaufanym i przekazany za pośrednictwem platformy ePUAP, ale na tym kończą się jakiekolwiek zabezpieczenia tych wrażliwych informacji. A należy przypomnieć, że mają one obejmować dane osobowe, włącznie z miejscem zamieszkania oraz numerem PESEL.
Sprawa wciąż nie jest jasna
Takie podejście do przekazywania wrażliwych danych wzbudza pytania natury bezpieczeństwa tego typu operacji. Serwis Niebezpiecznik postarał się o skorzystanie ze wskazanego w mailu adresu poczty elektronicznej i zadanie kilku pytań:
- Czy Poczta Polska rzeczywiście wystąpiła z takimi wnioskami do urzędów miast i gmin?
- Dlaczego Poczta Polska wymaga przesłania tych danych bez zabezpieczeń?
- Czy Poczta Polska nie uważa takiej akcji za szczególnie ryzykowną?
- Czy przeprowadzono analizę ryzyka takiej operacji?
Odpowiedź, z powołaniem się na zakres obowiązków Poczty Polskiej jako operatora głosowania wyborów prezydenckich, nie obejmowała odniesienia się do trzeciego i czwartego pytania. Rzeczniczka Poczty Polskiej Justyna Siwek, podkreśliła, że
„mailing zostanie powtórzony i opatrzony podpisem kwalifikowanym.”
Ponadto zapewniła, że
„zgodnie z ww. ustawą Poczta Polska uprawniona jest do przetwarzania danych obywateli wyłącznie w celu, w jakim otrzymała te dane, a więc organizacji wyborów prezydenckich”
oraz że
„Poczta Polska przykłada najwyższą wagę do ochrony danych osobowych.”
O słuszność wykorzystania Ustawy z 16 kwietnia o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2 w sprawie przeprowadzenia wyborów prezydenckich przez Pocztę Polską już toczą się spory. Niezależnie od ich wyniku, niepokojący jest fakt, że prośba o dane wyborców wpłynęła od spółki Skarbu Państwa w formie, której ewidentnie brakuje dokładności pod względem zabezpieczenia wrażliwych informacji.
Wiadomość rozesłana do gmin wspomina o dostarczeniu danych Poczcie Polskiej w ciągu dwóch dni roboczych. Wójtowie, Burmistrzowie i Prezydenci Miast już reagują na tę prośbę, w wielu wypadkach odmawiając podania danych podlegających ochronie prawnej. Sytuacja jest rozwojowa.
źródło: @pomaska dzięki Niebezpiecznik (tam też znajdziecie pełną odpowiedź Rzecznika PP)
