Kto zyskał a kto stracił na wycieku z systemu PESEL?

Od kilku dni jesteśmy bombardowani informacjami o gigantycznym wycieku danych z systemu PESEL[1]. O wycieku informowały portale zajmujące się bezpieczeństwem danych, wypowiadali się specjaliści od bezpieczeństwa, komunikat na swojej stronie zamieścił Generalny Inspektor Ochrony Danych Osobowych. Informowaliśmy o tym także my. Od początku uważaliśmy i uważamy, że jest to jedna z największych afer związanych z danymi osobowymi w Polsce w ostatnich latach.

Po kilku dniach zaczęły się ukazywać uspokajające komunikaty. I tak 29 sierpnia W śledztwie nie stwierdzono na razie wycieku danych (podkreślenie moje). Wcześniej zaczęły się kontrole Ministerstwa Cyfryzacji czy Ministerstwa Sprawiedliwości, które nadzoruje prace kancelarii komorniczych. Mieliśmy także komunikaty  Biura Informacji Kredytowej (BIK), Krajowego Rejestru Długów, a także oświadczenie Minister Cyfryzacji z dnia 30 sierpnia ws. ewentualnego wycieku danych z systemu PESEL:

„Nie ma zagrożenia, że dane Polaków zostaną wykorzystane w nieodpowiedni sposób” – uspokaja minister cyfryzacji Anna Streżyńska po informacjach o możliwym wycieku danych z systemu PESEL z kancelarii komorniczych.

Spróbujmy przyjrzeć się obiektywnie temu co się stało, wyciągnąć z tego wnioski (nauczyć się na błędach?) oraz przede wszystkim zastanowić się kto zyskał a kto stracił na tym „incydencie”.

Wyciek danych? O co w ogóle chodzi?

Zanim jednak przejdziemy do jakichkolwiek podsumowań i wniosków zastanówmy się co właściwie się stało? Otóż wszyscy dowiedzieliśmy się, że dostęp do danych, o których tyle się mówi, że są ważne i należy je chronić (zakres danych w bazie PESEL, do których dostęp miały kancelarie: data i miejsce urodzenia, adresy, imiona i nazwiska rodziców, małżonków, serie i numery dowodów osobistych oraz paszportów) mają wszystkie kancelarie komornicze (zresztą nie tylko one) i prawdopodobnie większość osób tam zatrudnionych. Jak jest w istocie wykażą kontrole Ministerstwa Sprawiedliwości, trzeba bowiem sprawdzić, po pierwsze, czy były odpowiednie procedury, po wtóre, czy ich przestrzegano.

Inną sprawą jest to, czy nie złamano zasady zakazu zbierania danych na zapas, jednej z podwalin sytemu ochrony danych, czyli zaciągano z bazy dane, które mogą przydać się w przyszłości, ale niekoniecznie są niezbędne już w tym momencie. Jak podpowiada mi intuicja i kilkunastoletnie doświadczenie w ochronie danych osobowych, nie wykluczyłbym takiego scenariusza w przypadku kancelarii komorniczych i tutaj także liczę na rzetelne sprawdzenie przez kontrolerów Ministerstwa Sprawiedliwości.

Powinniśmy także mieć świadomość, że pobieranie danych z bazy może być wsparte odpowiednim programem (generującym algorytm). Dostawcą jego jest zewnętrzny dla kancelarii podmiot, który przy serwisowaniu i implementacji oprogramowania może mieć dostęp do danych (mam nadzieję, że kontrolę wykażą czy tak rzeczywiście jest).

Co stało się dla nas jasne? Otóż to, że po raz kolejny zawiódł prawdopodobnie tzw. czynnik ludzki i że być może takich „incydentów” jest więcej, ale ich skala jest mniejsza, dlatego o nich się nie mówi.

W tym miejscu z punktu widzenia osób, które zajmują się ochroną danych nasuwa się pytanie, czy można chronić dane, jak to robić oraz najważniejsze z pytań, które wielokrotnie zadają nam klienci…

Po co w ogóle chronić dane osobowe? Jaki jest tego sens?

To pytanie od zawsze mnie nurtowało, tzn. jak przekonać nieprzekonanych, że dane to wartość, to towar o gigantycznej wartości, to „złoto XXI wieku”? Mam wrażenie, że „afera PESEL” przekonała już wszystkich niedowiarków. Dane osobowe można i trzeba chronić, pamiętając o stronie technicznej, ale także „ludzkiej”, czyli budowaniu świadomości. W tym miejscu pojawia się również pierwszy wygrany w tej aferze, którym są wszystkie podmioty zajmujące się profesjonalnie ochroną danych. Z pewnością wzrosła bowiem świadomość nt. konsekwencji związanych z wyciekiem danych i będziemy rzadziej odpowiadać na pytanie „po co chronić dane osobowe”?

Jestem ofiarą wycieku z systemu PESEL. Co może się stać?

Kolejnym ważnym pytaniem jest to co możemy zrobić na podstawie samych danych z bazy PESEL czy z dowodu osobistego? Jakie mogą być konsekwencje posiadania takich danych? Przeanalizowaliśmy w zespole sprawę bardzo dokładnie i uważamy, że trzeba rozróżnić dwa przypadki.

1.     Użycie samych danych bez podrabiania czy przerabiania dokumentów.

Mając dostęp do tego rodzaju danych w większości firm pożyczkowych czy instytucji bankowych nie zaciągniemy zobowiązania na inną osobę. Podmioty, które my obsługujemy mają bardzo szczelne procedury weryfikacji i dużą sieć placówek, w których finalnie ktoś (zatrudniony pracownik, nie sam system automatycznie) weryfikuje dane.

Bez współudziału innych osób nie jest możliwe wyłudzenie. Oczywiście istnieją na rynku instytucje, które nie przykładają wagi do weryfikacji (albo nie przykładały), ale tego typu praktyki trudno jest wyłapać dopóki nie dojdzie do faktycznego naruszenia prawa.

2.     Użycie danych osobowych połączone z podrobieniem lub przerobieniem  dokumentów

Znacznie bardziej niebezpieczną grupę stanowią przypadki, które możemy generalnie ująć w kategorii „bezprawne posiadanie danych plus dodatkowe bezprawne działania”. Mam tu na myśli przerobienie dowodu tożsamości, np. wklejenie zdjęcia lub podrobienie dokumentu (wytworzenie dowodu tożsamości używając danych z bazy PESEL) i posłużenie się nim w celu dokonania przestępstwa.

Ciekawym przypadkiem są tzw. dowody kolekcjonerskie, które jako takie są legalne, chyba że służą popełnieniu przestępstwa. Mając taki dobrze podrobiony lub przerobiony dokument z prawdziwymi danymi możemy założyć konto, spółkę, zaciągnąć zobowiązanie, wziąć pożyczkę, potwierdzić tożsamość przelewem z konta założonego na inną osobę itd.  Dlatego tak ważne jest, by dowód tożsamości nie był przedmiotem zastawu, nie był zostawiony na dłuższy czas gdzieś poza naszą kontrolą czy nie był kserowany dla wygody innych podmiotów (np. ksero dowodu tożsamości rodzica osoby małoletniej chcącej wyrobić Kartę Kibica Legii).

W tej grupie ograniczenie stanowią tylko pomysłowość przestępców, czujność osób weryfikujących i jakość systemów informatycznych wyłapujących nadużycia.

Co  możemy zrobić?

Po pierwsze, możemy bezpłatnie sprawdzić czy do bazy PESEL wpływały jakieś wnioski o dostęp do danych. Trzeba złożyć odpowiedni wniosek do Ministerstwa Cyfryzacji. Stąd możesz pobrać wzór przygotowany przez Ministerstwo Cyfryzacji. Możesz go złożyć za pomocą platformy e-Puap lub przesłać wypełniony i podpisany  na adres: Ministerstwo Cyfryzacji, Departament Ewidencji Państwowych, ul. Królewska 27, 00-060 Warszawa, z dopiskiem SRP.

Po wtóre, możemy złożyć, tym razem odpłatny, tzw. Red Alert do BIK (informowanie drogą sms o ew. wniosku kredytowym złożonym z wykorzystaniem naszych danych). W ciągu roku, jak zapewnia nas BIK, będziemy mogli także skorzystać z  usługi „credit freez”, czyli będziemy mogli zadeklarować, że nie chcemy w ogóle korzystać z kredytów co całkowicie zablokuje możliwość wykorzystania naszych danych w nieuprawnionych celach.

Na obecnym etapie wzywanie do składania jako pokrzywdzony zawiadomienia o popełnieniu przestępstwa uważam za działanie niepotrzebne i nieadekwatne do sytuacji. Po pierwsze, nie mamy pewności czy nasze dane wyciekły (czy jesteśmy pokrzywdzonymi), a po wtóre, fala zawiadomień jaka może zalać prokuraturę. Ani nie rozwiąże to naszego problemu, ani nie zwiększy bezpieczeństwa.

Nie wydaje mi się też rozsądne natychmiastowe wymienianie dowodów osobistych. Poczekajmy na efekty działania organów ścigania, ale takiego rozwiązania w przypadku nabrania wątpliwości bym nie wykluczył. Zawsze możemy dowód osobisty zastrzec o czym pisaliśmy już wcześniej na portalu.

Kto zyskał a kto stracił?

 Jeśli doszło do wycieku danych z systemu PESEL straciły na pewno osoby pokrzywdzone, bo nawet jeśli danych nie użyto w celu popełnienia przestępstwa, to ich prywatność mocno ucierpiała, ktoś bowiem wie o nas bardzo dużo (zna na przykład nasz adres zamieszkania).

Wygranym na pewno jest BIK (chociaż ma kłopot z przeciążeniem serwerów), i podobne instytucje (KRD), informacja o ich działalności zyskała bezpłatną reklamę.

Przegrane są kancelarie komornicze, znowu postrzegane jako nie do końca działające legalnie czy etycznie, nawet jeśli  okaże się, że wszystkie wnioski o dostęp do danych były uzasadnione.

Wygraną z całą pewnością są firmy zajmujące się ochroną danych czy cyberbezpieczeństwem. Coraz więcej osób zaczęło dostrzegać sens działań nakierowanych na ochronę danych osobowych i mam nadzieję, zwiększyła się świadomość co do istnienia nowego ogólnego rozporządzenia o ochronie danych osobowych (GDPR). Liczę na to, że przegrani będą ci wszyscy, którzy użyli danych w sposób nielegalny.

Za korzyść na pewno należy uznać fakt, że przyśpieszono prace nad instytucją „credit freeze”.

Reasumując, mam nadzieję, że zysków będzie więcej niż strat, ale z pewnością będziemy śledzili rozwój sprawy i na bieżąco informowali.

Autor: Tomasz Osiej, radca prawny


[1] „Kancelarie komornicze wyłudzały dane z systemu PESEL? Chodzi o gigantyczne liczby” www.rmf24.pl, Czwartek, 25 sierpnia 2016 (16:55)

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.