UODO uważa, że przejęcie numeru PESEL oznacza wysokie ryzyko, dlatego zawsze trzeba powiadamiać zainteresowanych. Problem w tym, że ci niezbyt wiele mogą zrobić
Wojewódzki Sąd Administracyjny w Warszawie w opisanym przez DGP precedensowym wyroku uznał, że nie każdy wyciek numeru PESEL wiąże się z wysokim ryzykiem dla praw i wolności osób fizycznych (sygn. akt. II SA/Wa 3024/21). Tym samym uchylił decyzję Urzędu Ochrony Danych Osobowych nakładającą karę finansową na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia, które nie poinformowało klienta, że jego dane zostały omyłkowo przesłane e-mailem do złego adresata. UODO wniósł skargę kasacyjną na to rozstrzygnięcie i konsekwentnie przekonuje, że będący kompilacją różnych danych PESEL stanowi w połączeniu z imieniem i nazwiskiem zbiór informacji, który może pozwolić na kradzież tożsamości.
Zabrakło dowodów
Zdaniem sądu organ nie dowiódł, by przejęcie numeru PESEL stanowiło realne zagrożenie i pozwalało wziąć pożyczkę, oddać głos w ramach budżetu obywatelskiego czy też zawrzeć umowę cywilnoprawną. UODO przekonuje, że wskazane zagrożenia są nie tylko jak najbardziej realne, ale ma konkretne przykłady takich właśnie sytuacji. Celowo jednak ich nie nagłaśnia, by nie ujawnić mechanizmów i nie potęgować zagrożenia.
- Dla wyjaśnienia w sposób bardziej przekonywający praktycznych skutków, UODO musiałby przedstawić sposób działania sprawców. Mając na uwadze, że decyzje organu nadzorczego są publikowane na stronie internetowej, po czym szeroko komentowane m.in. w mediach, chcieliśmy tego uniknąć - mówi Adam Sanocki, rzecznik prasowy UODO.
- Ujawniony w wielu miejscach numer PESEL ułatwia kradzież tożsamości, jak również profilowanie osoby bez jej wiedzy i zgody. Sprzyja temu unikalność tego numeru PESEL i szereg dodatkowych informacji, jakie ta za sobą niesie, jak choćby wiek czy płeć osoby. Nie ma innej tak konkretnej danej, która by w tak jednoznaczny sposób identyfikowała osobę fizyczną - dodaje.
Po publikacji naszego artykułu zgłosili się do nas czytelnicy, których dane zostały wzięte właśnie z KRS i wykorzystane do oszustwa
Jednym z argumentów sądu było to, że w bazie Krajowego Rejestru Sądowego widnieją numery PESEL osób zasiadających we władzach spółek. Po publikacji naszego artykułu zgłosili się do nas czytelnicy, których dane zostały wzięte właśnie z KRS i wykorzystane do oszustwa. Na jednego z nich została wzięta pożyczka, na drugiego dwa telefony u jednego z operatorów. Jak mówi czytelnik, przez rok wyjaśniał sprawę z komornikiem.
Do tego typu oszustw często potrzebny jest jeszcze dokument. UODO zwraca jednak uwagę, że bardzo łatwo jest wyrobić jego podróbkę. Choć teoretycznie wyrabianie i posługiwanie się nią jest zabronione, to w praktyce można w internecie zamówić tzw. dowód kolekcjonerski, z własnym zdjęciem i dowolnymi danymi, dla laików niczym nieróżniący się od prawdziwego dokumentu.
Wytyczne EROD
Zdaniem UODO nie można porównywać danych zamieszczonych w KRS z tymi, które wyciekły lub w inny sposób zostały ujawnione.
- Przede wszystkim ujawnienie danych osobowych w rejestrze przedsiębiorców nie jest bezprawne i legitymuje się podstawą prawną. Oczywiście ujawnienie danych w ten sposób może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, niemniej jednak osoby te co do zasady powinny być świadome, że ich dane są publicznie dostępne. W związku z powyższym mają możliwość podjęcia działań, aby się przed tym stosownie zabezpieczyć - w przeciwieństwie do osoby, której dane osobowe zostały naruszone, i która nie została zawiadomiona o naruszeniu - przekonuje Adam Sanocki.
Dlatego też, jego zdaniem, w przypadku wycieku numeru PESEL administrator zawsze powinien powiadamiać zainteresowanych. Tylko wiedząc o naruszeniu, mogą oni podjąć kroki, które zmniejszą ryzyko szkód.
UODO odwołuje się również do wytycznych Europejskiej Rady Ochrony Danych (EROD 01/2021). W przykładzie nr 14 przedstawiono sytuację, w której na adres e-mail niewłaściwego odbiorcy została wysłana korespondencja zawierająca imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego.
- EROD wskazał, że naruszenie poufności takich danych jak numer ubezpieczenia społecznego, a także bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie. W związku z powyższym EROD jako działania niezbędne wskazuje zawiadomienie o naruszeniu osoby, której dane dotyczą - zwraca uwagę Adam Sanocki.
Pozostawieni sami sobie
Nie ma niestety systemowego wsparcia dla osób, których PESEL wyciekł. Państwo nie zapewnia tu żadnej pomocy, odsyłając jedynie do komercyjnych usług. Eksperci od lat proponują utworzenie państwowej bazy, która pozwalałaby zastrzec wykradzione dane i zminimalizować ryzyko ich wykorzystania, ale bezskutecznie. W efekcie poszkodowany często nawet nie wie, że jego dane posłużyły oszustom i dowiaduje się dopiero, gdy do jego drzwi puka komornik.
- Niestety nie ma instytucji, która oferowałaby kompleksowe wsparcie dla osób zagrożonych i z problemem kradzieży tożsamości ostatecznie pozostajemy sami - zwraca uwagę Tomasz Borys, ekspert zajmujący się ochroną danych osobowych.
W efekcie osoba poszkodowana musi za własne pieniądze i na własną rękę wykupywać komercyjne usługi, które na dodatek nie są kompleksowe.
Zastrzeżenie kredytowe w BIK pozwala uniknąć wzięcia kredytu w instytucjach finansowych, które przystąpiły do systemu. Wraz z usługą alertów BIK kosztuje 24 zł na rok. W pakiecie użytkownik otrzymuje powiadomienia o próbie uzyskania kredytu na swe dane.
Z kolei CRIF Poland oferuje usługę Bezpieczny PESEL. Jest ona darmowa i zabezpiecza przed wzięciem pożyczek (w tym również chwilówek) na podstawie naszych danych. Znów jednak nie daje to pełnej gwarancji, gdyż takie zastrzeżenie jest dostępne dla firm pożyczkowych, które przystąpiły do tego programu.
Z kolei Krajowy Rejestr Długów prowadzi serwis ChronPESEL.pl. Ceny dostępnych w nim pakietów wahają się od 189-380 zł rocznie, co ma zapewniać stały monitoring aktywności kredytowej numeru PESEL. Zarejestrowani użytkownicy otrzymują SMS oraz e-maile jeśli ktoś, np. firma pożyczkowa, leasingowa czy telekom, będzie sprawdzał jej PESEL w bazie KRD lub jeśli ktoś będzie chciał założyć firmę na jej dane.
/>