W 2022 roku projekt „Kącik seniora” wygrał głosowanie w Grudziądzkim Budżecie Obywatelskim, uzyskując finansowanie w wysokości 97 tysięcy złotych. Jak ustaliła redakcja grudziadz365.pl, sukces ten opierał się na masowym wykorzystaniu bazy numerów PESEL ubezwłasnowolnionych i schorowanych pensjonariuszy Domu Pomocy Społecznej. Sprawa wycieku danych wrażliwych trafiła do Urzędu Ochrony Danych Osobowych. Ratusz potwierdza dziś przebieg zdarzeń, obnażając przy tym luki w systemie miejskiego głosowania oraz brak rzetelnego nadzoru nad placówką.

Zwycięski projekt z 2022 roku dla osiedla Tarpno („Kącik seniora”) zdobył 172 głosy mieszkańców. Z oficjalnych dokumentów, do których dotarła redakcja, wynika, że większość z nich została oddana z wykorzystaniem danych podopiecznych filii Domu Pomocy Społecznej przy ul. Nadgórnej. Sygnały o nieprawidłowościach w tej placówce doprowadziły do wszczęcia procedur przed centralnym organem państwowym.

Redakcja grudziadz365.pl zwróciła się z oficjalnymi zapytaniami do Urzędu Ochrony Danych Osobowych (UODO) w Warszawie oraz do Urzędu Miejskiego w Grudziądzu. Uzyskane odpowiedzi pokazują mechanizm wyprowadzenia bazy danych medycznych.

Lista z PESEL-ami w rękach innej mieszkanki

Z odpowiedzi przesłanej przez rzecznika Ratusza, Karola Piernickiego (opracowanej na podstawie informacji od dyrektora DPS, Piotra Liedtke), wynika, że Urząd Miejski dowiedział się o sprawie 21 października 2022 r. z anonimowego donosu. Wiceprezydent Róża Lewandowska przekazała sprawę do wyjaśnienia samemu dyrektorowi placówki.

W dniu 27 października 2022 r. dyrektor DPS zgłosił do UODO incydent naruszenia ochrony danych osobowych. Urząd Miejski wprost opisuje, w jaki sposób doszło do wyprowadzenia bazy wrażliwej z publicznej jednostki:

„W zgłoszeniu wskazane zostało, że podczas głosowania mieszkańców DPS na »Kącik seniora«, ówczesny kierownik zespołu terapeutyczno-opiekuńczego udostępnił listę z imionami i nazwiskami oraz peselami mieszkańców, którzy wyrazili chęć żeby zagłosować. Lista została udostępniona mieszkance, która zadeklarowała się, że pomoże mieszkańcom, którzy nie byli w stanie zagłosować samodzielnie (...) z uwagi na brak umiejętności obsługi komputera”.

Według Ratusza incydent wynikał wyłącznie z „chęci pomocy”. Urzędnicy poinformowali również, że ówczesny kierownik zespołu, który udostępnił bazę PESEL osobie trzeciej, miesiąc po incydencie – 24 listopada 2022 r. – rozwiązał umowę o pracę na własną prośbę.

UODO: Ryzyko kradzieży tożsamości

Stanowisko w sprawie zajął również Urząd Ochrony Danych Osobowych. Jak poinformował organ w odpowiedzi dla naszej redakcji, administrator danych (DPS) zrealizował obowiązek prawny poprzez zgłoszenie faktu naruszenia w ustawowym terminie 72 godzin, dlatego Prezes UODO nie nakładał kar finansowych i uznał procedurę za zamkniętą.

Urząd centralny zwrócił jednak uwagę na ciężar gatunkowy tego typu zdarzeń:

• Obowiązek powiadamiania: UODO zaznacza, że w przypadku wycieku takich danych jak numery PESEL czy numery dokumentów tożsamości, administrator ma bezwzględny obowiązek poinformowania samych poszkodowanych.
• Ryzyko: Konieczność ta wynika z wysokiego ryzyka dla praw obywateli, w tym m.in. możliwości kradzieży tożsamości, strat finansowych czy naruszenia tajemnic.
• Działania osłonowe: Szybkie zawiadomienie daje osobom, których dane naruszono, szansę na reakcję, np. zablokowanie numeru PESEL w systemach bankowych.

Zgodnie z poleceniem UODO, dyrekcja DPS musiała rozesłać do mieszkańców pisma informujące, że doszło do naruszenia ich danych osobowych poprzez przekazanie bazy jednej z mieszkanek placówki.

Luka w Budżecie Obywatelskim i iluzja nadzoru

Odpowiedzi nadesłane przez Urząd Miejski obnażają dwie fundamentalne wady systemowe w zarządzaniu miastem.

Po pierwsze: Dziurawy system GBO. Sytuacja z ul. Nadgórnej dowodzi, że procedura weryfikacyjna Grudziądzkiego Budżetu Obywatelskiego jest całkowicie bezbronna wobec zorganizowanego oddawania głosów przez jedną osobę na tym samym urządzeniu. Wystarczy posiadanie papierowej listy z nazwiskami i numerami PESEL osób nieświadomych lub wykluczonych cyfrowo (np. w podeszłym wieku), by wygenerować ponad 75% głosów poparcia i zagwarantować zdobycie 97 tysięcy złotych z publicznej kasy.

Po drugie: Brak zewnętrznych kontroli Ratusza. W obliczu otrzymania anonimu informującego o podejrzeniu masowego wykorzystania danych osobowych bezbronnych podopiecznych, Wydział Zdrowia i Spraw Społecznych Urzędu Miejskiego nie zarządził niezależnego audytu IT w placówce ani nie skierował zawiadomienia do Prokuratury. Sprawę przekazano do wewnętrznego wyjaśnienia dyrektorowi jednostki, w której doszło do naruszenia.

Mimo oficjalnego zgłoszenia incydentu do UODO i potwierdzenia przekazania 130 numerów PESEL osobie nieupoważnionej, Urząd Miejski przedstawił redakcji następujące podsumowanie prawno-faktyczne tego zdarzenia:

„Nie doszło do nieuprawnionego wykorzystania danych osobowych mieszkańców. Po upływie niespełna 4 lat nie zaistniały żadne negatywne konsekwencje udostępnienia danych mieszkańców osobie nieupoważnionej (...) Incydent nie miał znamion fałszerstwa”.