Niestety coraz częściej zdarza się, że poufne dane klientów rozmaitych firm wyciekają. Czasem sprawiamy sobie kłopot na własne życzenie, zezwalając na przekazywanie danych osobowych „partnerom” czy innym podmiotom trzecim. Niekiedy za wyciekiem stoją przestępcy. Przykładem może być chociażby sytuacja sklepu morele.net. Na co jednak możemy liczyć ze strony państwa, gdy przydarzy nam się wyciek danych osobowych?
Na nasze dane osobowe czyhają nie tylko telemarketerzy, ale również zwyczajni złodzieje
Dane osobowe stanowią bardzo łakomy kąsek dla dwóch kategorii osób. Przede wszystkim, są to rozmaitej maści sprzedawcy, którzy dzięki różnym sprytnym sposobom wyciągają je od nas dobrowolnie. Są jeszcze przestępcy, posuwający się chociażby do włamań do baz danych rozmaitych firm czy instytucji. O ile w pierwszym przypadku podmioty pozyskujące nasze dane muszą trzymać się jakichś podstawowych ram prawnych, o tyle ci drudzy już i tak mają na bakier z prawem. Nic dziwnego, że każdy wyciek danych osobowych przyprawia ofiary ataku o szybsze bicie serca.
Złodziej może w końcu posłużyć się skradzionymi danymi do zdobycia łatwych pieniędzy. Nie tylko wyczyści konto, ale również pozaciąga na nas pożyczek. W skrajnych przypadkach może wręcz dojść do kradzieży tożsamości i wykorzystania jej w przestępczej działalności. Wszystko to razem może oznaczać spore straty finansowe, ale także konieczność mozolnego odkręcania szkód poczynionych przez przestępców. Zaciągnięta w oparciu o kradzione dane osobowe umowa pożyczki jest nieważna z mocy prawa? Tak, ale naiwnością byłoby sądzić, że sprawy ułożą się same, bez potrzeby działania. Pisaliśmy wielokrotnie na łamach Bezprawnika, co można zrobić, gdy przytrafi nam się wyciek danych osobowych. Warto jednak zauważyć, że obywateli przed skutkami działań przestępców powinno nas chronić państwo. A jak to wygląda w praktyce?
Prawo pozwala ścigać złodziei danych osobowych, jednak reszta państwowej działalności za nim nie nadąża
Nie ulega wątpliwości, że włamania do baz danych w celu kradzieży danych osobowych stanowią przestępstwo. Sam nieuprawniony dostęp do cudzej bazy danych stanowi przestępstwo z art. 267 § 1 bądź § 2 kodeksu karnego, zagrożone karą nawet 2 lat pozbawienia wolności. Ściganie w tym przypadku następuje na wniosek pokrzywdzonego. Wykorzystanie danych osobowych zdobytych w ten sposób stanowi następne przestępstwo. Zgodnie z art. 190a § 2 kk, podszywanie się pod inną osobę wykorzystując jej dane osobowe w celu wyrządzenia jej szkody majkowej zagrożone jest karą do 3 lat więzienia. W tym przypadku ściganie następuje z oskarżenia publicznego. Jeśli w grę wchodzi także podrabianie dokumentów, zgodnie z art. 270 kk, sprawca ryzykuje nawet 5 lat odsiadki.
Jak widać, prawo karne dysponuje przepisami pozwalającymi na pociągnięcie do odpowiedzialności hakerów i złodziei danych osobowych. Gorzej wygląda kwestia, która tak naprawdę najbardziej interesuje potencjalne ofiary wycieku danych. Nie istnieją praktycznie żadne mechanizmy pozwalające na zastrzeżenie swoich danych osobowych – w taki sposób, by żaden przestępca nie mógł z nich skorzystać. Prawdę mówiąc, wymagałyby one powstania całego nowego rejestru takich spraw, być może w oparciu o ePUAP. Problem w tym, że sprawdzanie każdej osoby chcącej wziąć pożyczkę pod kątem tego, czy aby na pewno posługuje się prawdziwymi danymi, musiałoby być obligatoryjne dla sporej grupy podmiotów.
Mowa o pożyczkodawcach, bankach, sklepach – nie tylko internetowych, ale również o rozmaitych aplikacjach oferujących przewozy, czy zakup jedzenia na wynos. To z kolei powoduje konieczność stworzenia dla nich jakiegoś sposobu dostępu. Co więcej, cały system musiałby działać szybko i sprawnie. Słowem: stworzenie automatycznego mechanizmu umożliwiającego zablokowanie naszych potencjalnie skradzionych danych osobowych przed wykorzystaniem przez złodziei okazuje się być całkiem sporym wyzwaniem dla administracji państwa.
Utrudnienie zawierania umów w imię prewencji utrudni życie konsumentom, stworzenie kolejnego centralnego rejestru stanowi wyzwanie dla administracji
Obecnie by wziąć „chwilówkę” wystarczy najczęściej PESEL, numer dowodu osobistego, podstawowe dane osobowe w rodzaju imienia, nazwiska czy adresu zameldowania. To dane, które często znajdują się w bazach, którym przytrafiały się ataki. Oczywiście, istnieją rozmaite rejestry w teorii pozwalające nam zareagować, gdy przytrafi się nam wyciek danych osobowych. Problem w tym, że prowadzą je prywatne firmy – nawet, jeśli pod honorowym patronatem tego czy innego ministerstwa. Inne podmioty prywatne nie mają obowiązku korzystania z ich usług. O ile duże banki starają się minimalizować ryzyko kredytowe, o tyle firmy pożyczkowe i mniejsze podmioty już niekoniecznie są zainteresowane szerszym weryfikowaniem swoich klientów.
Być może dałoby radę zmniejszyć szkody działając od drugiej strony? W teorii można sobie wyobrazić zwiększenie wymogów stawianych rozmaitym podmiotom dotyczących weryfikacji klientów. Pytanie tylko, jak taka weryfikacja miałaby wyglądać? Konieczność fizycznego okazania dokumentu tożsamości eliminuje prowadzenia działalności przez internet. Samo okazanie jego zdjęcia oznacza jedynie istotne spowolnienie – w końcu przy każdej transakcji każde takie zdjęcie musiałoby zostać w jakiejś formie zweryfikowane. Co więcej, taki dokument może być skradziony. Dodatkowe dane potrzebne do zawarcia skutecznej umowy również mogą zostać skradzione, razem z innymi. Wydaje się, że gra w tym przypadku niekoniecznie jest warta świeczki. Wydaje się przy tym, że hipotetyczny „centralny rejestr danych zastrzeżonych” jest już lepszym rozwiązaniem.
Kierując się w internecie wygodą, ryzykujemy zmniejszenie bezpieczeństwa naszych danych – to nic złego, jeśli robimy to świadomie
Niestety, prawo nie zawsze nadąża za technologią – w przeciwieństwie do przestępców. Państwo z pewnością chciałoby nas chronić przed złodziejami danych osobowych. Niekoniecznie jest jednak w stanie skutecznie przeciwdziałać skutkom ich działań. Zapewnienie obywatelom odpowiedniej formy prewencji stanowi nieliche wyzwanie dla rządzących. Zwłaszcza w obliczu zbliżającej się kolejnej rewolucji technologicznej w postaci sieci 5G. Tymczasem, z punktu widzenia zwykłego użytkownika internetu, najlepsze będą stare, sprawdzone metody w postaci zachowania możliwie jak największej ostrożności w podawaniu danych osobowych. W przypadku klientów sklepu morele.net, szczególnie narażeni na wyciek danych osobowych byli korzystający z opcji zachowania danych do ewentualnych wniosków o raty w przyszłości. Trzeba zdawać sobie sprawę z tego, że wygoda ma swoją cenę – jest nią bezpieczeństwo. Tylko wtedy można świadomie wybrać, co jest dla nas priorytetem.