Pod koniec grudnia część klientów Virgin Mobile otrzymała komunikaty o kradzieży ich danych osobowych przez hakerów. W kolejnych wiadomościach firma telekomunikacyjna informowała, że wśród przejętych danych mógł być numer PESEL lub numer dowodu osobistego.

„Jeśli nie czujesz się bezpiecznie, możesz zastrzec numer dowodu osobistego/numer PESEL lub wyrobić nowy dokument tożsamości” – brzmiał fragment wiadomości.

Ofiarą wycieku padł też jeden z czytelników DGP. Nie było go w kraju, ale gdy tylko wrócił pod koniec stycznia, to zastrzegł dowód w Biurze Informacji Kredytowej. Następnie chciał go wymienić. Portal Gov.pl informuje, by w pierwszej kolejności poinformować organy ścigania i wziąć potwierdzenie, że się to zrobiło.

„Z takim potwierdzeniem możesz zgłosić fakt nieuprawnionego wykorzystania danych osobowych w urzędzie gminy albo przez internet. Po zgłoszeniu urzędnik unieważni dowód” – można przeczytać na rządowym portalu.

Czytelnik udał się więc do komisariatu.

– Za pierwszym podejściem dyżurny nie rozumiał, co ja chcę zgłosić, i twierdził, że policja nie jest właściwym organem. Zostałem poproszony, żeby przyjść kilka godzin później, kiedy wróci funkcjonariusz za to odpowiedzialny. Co ciekawe, na komisariacie wisiał duży plakat z kampanii „Dokumenty zastrzeżone” – relacjonuje czytelnik.

Ważne W nieco lepszej sytuacji są właściciele dowodów tożsamości wydanych po 4 marca 2019 r., czyli e-dowodów. Oni nie muszą od razu ich unieważniać – mogą zawiesić na pewien czas certyfikat ich ważności

Policjanci wypytywali go o podstawę prawną zgłoszenia. Nie potrafił jej podać, bo nie jest prawnikiem. Tłumaczył, że bez tego nie może unieważnić dowodu. W odpowiedzi usłyszał, że jak dane wyciekły przed miesiącem, to już dawno ktoś mógł ich użyć. Między zdaniami zrozumiał, że dużo prostszym sposobem byłoby zgłoszenie kradzieży dokumentu. W końcu musiał odejść z kwitkiem.

Ostatecznie mężczyźnie udało się wydobyć od operatora informację, jakie konkretnie dane wyciekły. Okazało się, że nie było wśród nich numeru dowodu osobistego (choć był PESEL). Firma poinformowała też, że w takiej sytuacji wymiana dowodu nie jest konieczna.

– Co najbardziej mnie uderzyło w tym wszystkim, to brak zaangażowania państwa w tak ważną kwestię jak bezpieczeństwo tożsamości. BIK czy Bezpieczny PESEL to inicjatywy banków czy firm pożyczkowych, za skorzystanie z których też częściowo trzeba płacić i nie gwarantują pełnego bezpieczeństwa. Moim zdaniem tu potrzebny jest państwowy system, najlepiej związany z ePUAP, w którym można by było zablokować możliwość wzięcia na siebie zobowiązania. Tak samo brakuje sprawnej procedury unieważnienia dowodu – uważa czytelnik.

Unieważniać czy nie?

W opisanej historii jak w soczewce skupia się kilka różnych problemów. Pierwszy to sposób informowania o wycieku. Powinien być jak najbardziej precyzyjny, żeby zainteresowani wiedzieli, jak powinni zareagować.

– Każdego dnia może się zdarzyć, że zostaniemy powiadomieni o naruszeniu danych osobowych. Ten wynikający z RODO obowiązek ma nam pomóc w zabezpieczeniu się i chociaż w minimalizacji negatywnych skutków wycieku. Należy pamiętać, że utrata danych nie zawsze jest od razu zauważana i takie powiadomienia mogą być wysyłane po dłuższym czasie od momentu wycieku. Tu największe znaczenie będzie miał profesjonalizm inspektora ochrony danych czy osoby koordynującej ochronę danych w podmiocie, w którym doszło do naruszenia. To on powinien podpowiedzieć, jakie jest zagrożenie i co powinniśmy zrobić. Zbyt ogólnikowe, szablonowe czy napisane w niezrozumiały sposób informacje wywołują albo panikę, albo poczucie bezradności – mówi Tomasz Borys, konsultant ochrony danych osobowych.

Nasz czytelnik informacje o tym, że numer i seria dowodu jednak nie wyciekły, zdobył dopiero wtedy, gdy zaczął dopytywać się o szczegóły. Gdyby wiedział to od samego początku, nie traciłby czasu na próby powiadamiania policji.

– Sam wyciek danych takich jak imię i nazwisko czy nawet PESEL nie jest przesłanką do wymiany dowodu. Ma ona sens wtedy, gdy wyciekają numer i seria dokumentu tożsamości – potwierdza Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych.

Problem jest jednak poważniejszy, skoro okazuje się, że nawet funkcjonariusze policji nie wiedzą, jak pomóc ofiarom kradzieży danych. Co ciekawe, 12 stycznia 2020 r. weszła w życie nowelizacja ustawy o dowodach (t.j. Dz.U. z 2019 r. poz. 653 ze zm.), która umożliwia wymianę dokumentu właśnie ze względu na podejrzenie nieuprawnionego wykorzystania danych osobowych. Zgodnie z art. 46 ust. 1 pkt 5a ustawy posiadacz musi jednak przedstawić potwierdzenie, że zawiadomił organy uprawnione do dochodzenia (np. policję) o takim podejrzeniu. Nową podstawę prawną do unieważnienia dowodu jest też „decyzja prezesa Urzędu Ochrony Danych Osobowych stwierdzającej naruszenie przepisów o ochronie danych w zakresie bezpieczeństwa danych osobowych posiadacza dowodu osobistego, w tym serii i numeru dowodu osobistego”. Dopiero z potwierdzeniem od policji czy prokuratury lub decyzją prezesa UODO można iść do urzędu gminy lub też unieważnić dowód przez internet.

W nieco lepszej sytuacji są właściciele dowodów tożsamości wydanych po 4 marca 2019 r., czyli tzw. e-dowodów. Oni nie muszą od razu ich unieważniać – mogą zawiesić na pewien czas certyfikat ich ważności.

Bez pełnej gwarancji

Koniec końców jesteśmy zdani na siebie samych, również wtedy, gdy unieważnienie dowodu nie jest niezbędne.

– Nie ma dzisiaj w Polsce systemowego rozwiązania dla osób dotkniętych wyciekiem danych. W szczególności nie ma procedur, które dotyczyłyby numeru PESEL. Nie ma rozwiązań na etapie postępowania komorniczego czy wcześniej sądowego, choć ofiara wycieku danych najczęściej nie wie, że postępowanie sądowe się toczy. Najczęściej więc o przestępstwie dowiadujemy się w chwili zajęcia komorniczego i w takim przypadku zostajemy sami, nie istnieje żaden system pomocy ofiarom. A przecież trzeba jakoś zwalczyć zajęcie rachunku bankowego, później kwestionować tytuł egzekucyjny, czasem odblokować telefon czy internet i w ogóle jakoś funkcjonować, mając chociażby zajęte konto bankowe i nie posiadając żadnej gotówki w domu – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.

Co zatem można zrobić? Zastrzec swe dane w banku lub złożyć tzw. zastrzeżenie kredytowe w BIK. Dzięki temu ostatniemu instytucje finansowe, które przystąpiły do systemu, nie udzielą kredytu na zastrzeżone dane. Zastrzeżenie wraz z usługą alertów BIK kosztuje 24 zł na rok. W pakiecie użytkownik otrzymuje powiadomienia o próbie uzyskania kredytu na swe dane.

Z kolei CRIF Poland oferuje usługę Bezpieczny PESEL. Jest ona darmowa i zabezpiecza przed wzięciem pożyczek (w tym również chwilówek) na podstawie naszych danych. Znów jednak nie daje to pełnej gwarancji, gdyż takie zastrzeżenie jest dostępne dla firm pożyczkowych, które przystąpiły do tego programu.

– Niestety nie ma instytucji, która oferowałaby kompleksowe wsparcie dla osób zagrożonych i z problemem kradzieży tożsamości ostatecznie pozostajemy sami – podsumowuje Tomasz Borys. ©℗

>>> Polecamy: Jak PiS przejmie Sąd Najwyższy. Bezprecedensowe spotęgowanie prawnego kryzysu?