Nic w tym dziwnego, skoro dostęp do naszych danych, umożliwiających tego rodzaju przekręty, ma zbyt wiele postronnych osób. Przykłady? Choćby wypożyczalnie, np. łyżew. Zastawem za parę butów do jazdy na lodzie bywa dowód osobisty. Owszem, pracownicy wypożyczalni mogą być osobami uczciwymi, ale co w wypadku, gdy trafi się cwaniak, który skopiuje dane z dowodu? Jest wysoce prawdopodobne, że później spotkamy się z windykatorem, który rozliczy nas za kredyt wyłudzony na podstawie naszych danych osobowych.
W 2014 roku policja odnotowała ponad 14 tys. przypadków posługiwania się dokumentem innej osoby. Zarejestrowano także ponad 30 tys. przestępstw związanych z ich podrabianiem. Równie ciekawie wyglądają statystyki Biura Informacji Kredytowej. W pierwszym kwartale 2015 roku odnotowano 1877 prób wyłudzenia kredytów na łączną kwotę ponad 60 mln zł!
Czym są dane potrzebne do wyłudzenia? Jak je chronić? Wiedza o tym może uratować przed dużymi kłopotami. Raz puszczoną w ruch machinę komorniczą trudno bowiem zatrzymać.
Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2002 nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy).
Mówiąc prościej: dane osobowe to nie tylko te informacje, które pozwolą na określenie tożsamości konkretnej osoby, ale i te które, choć nie pozwalają na jej natychmiastową identyfikację, to wystarczą do jej ustalenia przy pewnym nakładzie zarówno kosztów, jak i czasu oraz działań.
Pojedyncze informacje o dużym stopniu ogólności nie są danymi osobowymi. Przykład? Nazwa ulicy, numer domu bądź też wysokość wynagrodzenia; jednak w zestawieniu z innymi faktami, które można odnieść do konkretnej osoby, taki danymi już będą. Zaliczamy do nich imię, nazwisko, adres danej osoby, jej numery identyfikacyjne oraz dane o cechach fizjologicznych, umysłowych, ekonomicznych, kulturowych i społecznych.
Jaka pojedyncza informacja stanowi daną osobową i powinniśmy jej strzec jak oka w głowie? To nasz numer ewidencyjny PESEL. Zgodnie z art. 15 ust. 2 ustawy z dn. 24 września 2010 o ewidencji ludności (Dz.U. z 2015 poz. 388) PESEL to 11-cyfrowy unikatowy symbol numeryczny, jednoznacznie identyfikujący konkretną osobę fizyczną. Sześć pierwszych cyfr oznacza datę urodzenia (w kolejności: rok, miesiąc, dzień), następne cztery to liczba porządkowa i płeć osoby. Ostatnia cyfra to cyfra kontrolna, która służy do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego. Tym samym PESEL stanowi informację, której przetwarzanie podlega już wszelkim rygorom przewidzianym w ustawie.
Dane dzielimy także na zwykłe i szczególnie chronione. Te pierwsze to np. imię, nazwisko, adres zamieszkania, data urodzenia, numer PESEL. Informacje szczególnie chronione dotyczą pochodzenia rasowego lub etnicznego, poglądów politycznych, religijnych, filozoficznych, wyznania, przynależności do partii lub związku, stanu zdrowia, kodu genetycznego, nałogów, życia seksualnego, ewentualnych skazań i orzeczeń o ukaraniu, mandatów i innych orzeczeń wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych - sądy czy jednostki samorządowe - ustawa nakłada o wiele bardziej rygorystyczne obowiązki niż na administratorów danych "zwykłych".
Ciekawostką jest fakt, że w świetle ustawy danymi osobowymi nie są informacje o osobach zmarłych. Często zdarza się, że firmy, urzędy i instytucje publiczne odmawiając udzielenia informacji o takich osobach, powołują się na powyższy przepis. To błąd, gdyż regulacja dotyczy wyłącznie osób żyjących.
Utracić własną tożsamość można w niezwykle łatwy sposób. Najczęściej sami się do tego przyczyniamy, i to całkiem dobrowolnie. Np. nabierając się na fałszywe ogłoszenia dotyczące ofert pracy. Osoby odpowiadające na takie anonsy bywają informowane przez przyszłego "pracodawcę" o potrzebie wypełnienia szczegółowego formularza. Należy w nim podać personalia, nierzadko trzeba też przesłać skan dowodu. Gdy dochodzi do tego prośba dotycząca wykonania tzw. przelewu identyfikacyjnego w wysokości 1 grosza z własnego konta na wskazane konto, powinna się w głowie zapalić lampka ostrzegawcza: celem owego przelewu identyfikacyjnego jest aktywacja nowo założonego konta, na które oszuści mogą wyłudzać pożyczki.
Taka właśnie sytuacja spotkała niejakiego pana Marcina, którego historię opisała "Gazeta Wyborcza". Mężczyzna odpowiedział na anons o pracy. Wkrótce poproszono go o podanie następujących informacji: imię (imiona) i nazwisko, imiona rodziców oraz nazwisko panieńskie matki, data urodzenia, obywatelstwo, numer ewidencji (PESEL), numer identyfikacji podatkowej (NIP), adres zameldowania, oświadczam, że dane są zgodne z dowodem osobistym seria ..., numer ..., wydanym przez .... Proszę również podać datę ważności dokumentu.
To nie wszystko: mężczyzna miał także podać numer telefonu oraz wykonać przelew identyfikacyjny w wysokości złotówki z własnego konta na podany w mailu numer rachunku. W tytule przelewu kazano mu wpisać, że jest to potwierdzenie zawarcia umowy rachunku bankowego w jednym z banków. Mężczyzna, jak przyznał przed dziennikarzem, wahał się, czy to uczynić, ale ostatecznie się zgodził. Ciąg dalszy był łatwy do przewidzenia. Kontakt ze strony "pracodawcy" się urwał. Na wysyłane przez pana Marcina maile przychodziła informacja zwrotna, że dany adresat już nie istnieje.
Tym oto sposobem szukający pracy mężczyzna stał się tzw. "słupem", którego dane i założone przez internet konto służyły oszustom do wyłudzania pożyczek w firmach oferujących szybki i łatwy dostęp do gotówki bez zbędnych formalności.
W podobnej jak bohater reportażu "Gazety Wyborczej" sytuacji mogło znaleźć się wiele osób szukających pracy. Co wtedy zrobić? Krok pierwszy: wizyta w komendzie policji. Po złożeniu zeznania należy poprosić o kopię protokołu. Będzie ona niezbędna, by pokrzyżować plany oszustom. Krok drugi: wizyta w banku, do którego wykonało się przelew identyfikacyjny, by zamknąć otwarte przez internet konto.
Niestety, procedura może potrwać do 30 dni. Do tego czasu warto zmienić np. numer telefonu, który podało się do odbierania kodów jednorazowych, służących do potwierdzania przelewów lub hasło do obsługi konta. Bezwzględnie należy zastrzec w banku własny dowód osobisty. Większość instytucji finansowych jest włączona w system bazy danych dokumentów zastrzeżonych. Informacja o zastrzeżonym dowodzie natychmiast trafi do systemu i będzie dostępna dla innych banków.
To nie koniec, bo jedno założone na słupa i przechwycone przez przestępców konto może posłużyć do zakładania kolejnych. Dlatego w historii operacji z rachunku należy sprawdzić, do jakich banków były wysyłane przelewy identyfikacyjne. To pokrzyżuje plany przestępcom.
Krok trzeci: kontakt ze Związkiem Firm Pożyczkowych. Organizacja ta zrzesza kilkadziesiąt firm oferujących tzw. chwilówki. Powiadomienie Związku o tym, że padło się ofiarą oszustwa, spowoduje zastrzeżenie danych z dowodu i tym samym uniemożliwi zaciąganie kolejnych pożyczek.
Ostatni krok to kontakt z bazami dłużników, czyli rejestrami, w których gromadzone są dane m.in. o posiadanych kredytach. To firmy takie jak m.in. Biuro Informacji Kredytowej czy Krajowy Rejestr Długów. Po rejestracji można tam przejrzeć własną historię kredytową i sprawdzić, ile pożyczek, na jakie kwoty i w jakich firmach czy bankach udało się oszustom wyłudzić.
Na blogu rodzinneporachunki.pl opisano m.in. miejsca, w których każdy z nas może zostać poproszony o udostępnienie danych osobowych, np. wypożyczalnie sprzętu sportowego. Podczas letniego czy zimowego wypoczynku wiele osób korzysta z kajaków, rowerów wodnych bądź łyżew albo nart. Często, by otrzymać sprzęt, należy coś zastawić. Co? Najczęściej pracownikowi wypożyczalni zostawia się dowód osobisty. Mają do niego także dostęp pracownicy recepcji w hotelach, pensjonatach i domach wypoczynkowych. Informacje z tego dokumentu są niezbędne do zameldowania.
Praktyką w tego typu miejscach jest zachęcanie przez pracowników recepcji do pozostawienia dokumentów celem zakończenia procesu rejestracji. Tym samym gość hotelu czy pensjonatu może od razu udać się do pokoju, a dowód odebrać, gdy odpocznie i się odświeży.
Na kogo jeszcze trzeba uważać? Do danych osobowych dostęp mają m.in. pracownicy banku, ubezpieczyciela bądź operatora komórkowego. Podpisując umowy na prowadzenie rachunku bankowego, abonament itp., klient musi wyrazić zgodę na przetwarzanie danych osobowych przez te instytucje. To umożliwia m.in. telefoniczny kontakt celem przedstawienia oferty nowych usług czy promocji pozwalających obniżyć ponoszone co miesiąc koszty. Aby zapoznać się ze szczegółami, należy podać swoje dane celem weryfikacji, ponieważ przedstawiciel danej instytucji chce mieć pewność, że kontaktuje się z adresatem oferty. Tym sposobem nawet anonimowy telemarketer widzi dane, które należy ukrywać.
Może mieć też do nich dostęp i kurier. Założenie rachunku bankowego przez internet, bez wizyty w oddziale, wymaga dostarczenia przez kuriera umowy. Należy ją przy nim podpisać, ponadto kurier musi zweryfikować zgodność kserokopii dowodu osobistego z oryginałem dokumentu.
Osoby, które wejdą w posiadanie nie swojego dokumentu tożsamości, mogą skopiować z niego wrażliwe dane, a więc zarówno imię, nazwisko, datę urodzenia, jak i PESEL, numer i serię dowodu oraz nazwę organu wydającego dokument. W erze powszechnej dostępności smartfonów nie jest problemem zrobienie zdjęcia dokumentu. To wystarczy, by narobić właścicielowi dokumentu kłopotu. Jakiego?
Zaciąganie na cudzy rachunek zobowiązań finansowych - kredytów, pożyczek, zakupów na raty, umów z operatorami komórkowymi na drogie telefony - to najpoważniejsze konsekwencje utraty kontroli nad własnym dowodem. Poszkodowani możemy być także poprzez innego rodzaju nieroztropność. Zamieszczanie na profilach społecznościowych ogólnie dostępnych zdjęć bądź informacji określających status materialny może odbić się czkawką.
Stracimy wizerunkowo, gdy wykorzystując nasze zdjęcie, ktoś założy fałszywy profil nie tylko na Naszej Klasie, Facebooku czy Twitterze, ale np. na portalach zamieszczających anonse erotyczne. Nasze zdjęcia mogą posłużyć do szantażu lub ośmieszenia. Trzeba też z ostrożnością podchodzić do wypełnienia wszelkich internetowych ankiet czy udziału w konkursach.
Dane, które można wykorzystywać w niecnym celu, zawarte są nie tylko w dowodzie. Znajdują się w przeróżnych dokumentach, związanych choćby z pracą, szkołą, ubezpieczeniami, kredytami, podatkami. Przez całe życie pozbywamy się ich, często używając do tego niszczarki. Niestety, możliwe jest - choć to żmudne i długotrwałe - odtworzenie poszatkowanych umów. Również stara karta kredytowa czy debetowa może stanowić dla przestępcy łakomy kąsek. Okazuje się, że nawet przecięcie jej nożyczkami nie zniszczy zapisanych na pasku magnetycznym danych.
Gdzie przestępstwo, tam i kara. Przynajmniej w teorii. Jaką odpowiedzialność przewiduje kodeks za kradzież tożsamości? Opisano to na blogu daneosobowe.pl. Do 3 lat odsiadki grozi temu, kto, podszywając się pod inną osobę, wykorzysta jej wizerunek czy inne należące do niej dane osobowe po to, by wyrządzić jej szkodę majątkową lub osobistą. Art. 267 kk przewiduje więzienie także dla tych, którzy bez uprawnienia uzyskują dostęp do informacji dla nich nieprzeznaczonej.
Art. 270 kk celuje w fałszerzy dokumentów. Zgodnie z nim każdy, kto w celu użycia za autentyczny podrabia, przerabia lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności lub pozbawienia wolności od 3 miesięcy do nawet lat 5. Sama definicja "dokumentu" zawarta jest w art. 115 § 14 kk - to każdy przedmiot lub zapis na komputerowym nośniku informacji, z którym jest związane określone prawo, bądź też, ze względu na zawartą w nim treść, stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne.
Tym samym dokument można sfałszować również w systemie teleinformatycznym, np. zmieniając treść maila. Zgodnie z orzeczeniem Sądu Najwyższego dokument jest podrobiony, jeżeli nie pochodzi od osoby, w imieniu której został sporządzony. Jest to podstawa do karania za tworzenie maili łudząco podobnych do rozsyłanych np. przez banki.
2 lata może spędzić za kratkami ten, kto - zgodnie z art. 275 kk - posługuje się dokumentem stwierdzającym tożsamość innej osoby. W obowiązujących przepisach "dokument stwierdzający tożsamość" nie jest zdefiniowany. Wg art. 275 kk za taki można uznać każdy dokument, również elektroniczny, który poświadczy tożsamość danej osoby.
W starciu ze złodziejami tożsamości nikt nie jest pozostawiony sam sobie. Ruszyła niedawno ogólnopolska akcja edukacyjna "nieskradzione.pl". Jej inicjatorzy: Biuro Informacji Kredytowej i Komenda Główna Policji odpowiadają w ten sposób na rosnący problem wyłudzania i kradzieży danych. Na stronie internetowej akcji znajdują się zarówno porady dotyczące ochrony dokumentów, jak i przykłady tego, do czego może doprowadzić beztroska w udostępnianiu obcym danych z dowodu. Nie chodzi o to, żeby wywołać paranoję, lecz o to, by każdy miał świadomość, jakie zagrożenia czyhają w związku z beztroskim podejściem nie tylko do dowodu osobistego, ale i innych naszych danych.
Jacek Kos
--
Źródła:
http://www.giodo.gov.pl/319/id_art/973/j/pl/
https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_03.htm
http://www.giodo.gov.pl/319/id_art/973/j/pl/
https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_03.htm
http://wyborcza.biz/biznes/1,147879,17912926,Marcin_szukal_pracy__Przelal_1_zl__Jest__slupem__.html [dostęp: 1.03.2016].
http://rodzinneporachunki.pl/dowod-cenniejszy-niz-pieniadze/
http://www.dziennikzachodni.pl/artykul/3569829,twoj-podpis-bezcenny-czym-grozi-kradziez-danych-osobowych-nasze-sprawy,2,id,t,sa.html"
http://blog-daneosobowe.pl/kradziez-tozsamosci-w-internecie/
