GIODO: Kradzieże tożsamości to typowe przestępstwo nowego millenium
Już za dwa miesiące w Parlamencie Europejskim odbędzie się głosowanie nad przyjęciem nowego rozporządzenia w sprawie ochrony danych osobowych. Jeżeli europarlamentarzyści poprą procedowany od 2012 roku dokument - a wszystko wskazuje na to, że tak się właśnie stanie - w lipcu tego roku zostanie opublikowany nowy akt prawny, który zacznie obowiązywać dwa lata później.
Co ma się zmienić z chwilą rozpoczęcia obowiązywania nowych regulacji – które, w przeciwieństwie do dyrektywy, nie będą wymagały implementacji do systemu prawnego poszczególnych krajów? Zadania obecnych administratorów bezpieczeństwa informacji (ABI) – funkcji określonej jeszcze przez przepisy ustawy z roku 1997, a zatem sprzed cyfrowej rewolucji – przejmie DPO (Data Protection Officer, czyli inspektor ochrony danych). Warto podkreślić, ze ta zmiana w istotny sposób doprecyzuje kompetencje osób stojących na straży bezpieczeństwa danych osobowych w firmach i urzędach. Dotychczas ABI byli uznawani wyłącznie za strażników bezpieczeństwa informatycznego. – To mylne pojęcie doprowadziło do tego, że jeszcze dziś wielu administratorów danych osobowych nie rozumie, ze kompetencje ABI obejmują wszystkie czynności związane z przetwarzaniem danych, a nie tylko z zabezpieczeniem systemów komputerowych – ocenia Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych. Nowe unijne rozporządzenie w istotny sposób zmieni również całą politykę w zakresie ochrony danych osobowych; zastępca GIODO przypomina, że od 2 połowy 2016 roku ciężar odpowiedzialności za przetwarzanie danych będzie spoczywać na administratorze danych osobowych (czyli właścicielu lub organie zarządzjącym), a w jego imieniu – na inspektorze ochrony danych. – Generalny inspektor będzie zajmował się tylko sterowaniem ogólną polityką i reagowaniem na incydenty – podkreślił Andrzej Lewiński. Ale to nie koniec zmian. Zgodnie z unijnym rozporządzeniem, każdy podmiot administrujący danymi osobowymi będzie obowiązany do zgłoszenia ich wycieku nie tylko do do organu nadzorczego.- Będzie trzeba również zgłosić ten fakt do osoby, której dane są przetwarzane, o ile ten wypływ może mieć negatywny skutek na jej prawa i obowiązki – podkreślił zastępca GIODO. Przykładem może być wyciek danych o klientach z systemu bankowego; w takiej sytuacji bank będzie musiał powiadomić wszystkich klientów, których dane zostały przechwycone, tak, aby mieli możliwość wystąpić o odszkodowanie. W obecnym stanie prawnym dochodzenie roszczeń z tego tytułu przed sądem jest bardzo utrudnione, opiera się bowiem na przepisach o naruszeniu dóbr osobistych – pod reżimem wchodzącego od 2018 roku prawa unijnego będzie można skarżyć administratora danych osobowych bezpośrednio z tytułu naruszenia ochrony tych danych.
Wiceszef GIODO zwrócił uwagę na inna niedoskonałość obecnego stanu prawnego, utrudniającą ściganie złodziei tożsamości. – Art 190a par. 2 kodeksu karnego stanowi że kradzież tożsamości tylko wtedy jest przestępstwem, kiedy czyni szkody osobiste i majątkowe. Oczywiście, to nie jest dobry przepis – zaznaczył Andrzej Lewiński, wskazując na konieczność penalizacji tego rodzaju czynów bez względu na ich skutki. Jego zdaniem, zjawisko kradzieży tożsamości stało się „najbardziej typowym przestępstwem nowego millenium”; z uwagi na skutki dla poszkodowanych można je określić mianem „kataklizmu”. Przykładem szczególnie szkodliwych działań podejmowanych przez przestępców może być zaciąganie na cudze konto kredytów online, a w szczególności wystawianie weksli na osoby trzecie. – Dzisiejsza polityka wekslowa nie utrudnia kradzieży tożsamości, ponieważ sąd nie bada autentyczności podpisu. (…) Osobiście uważam, ze każdy weksel powinien być poświadczany notarialnie. Może ktoś powiedzieć, ze to utrudnia działanie, ale na pewno zabezpiecza – podkreślił Lewiński. Nawiązując do tej deklaracji, przedstawiciel naszej redakcji wskazał, że warto byłoby przemyśleć alternatywne formy zabezpieczenia weksli in blanco – jak choćby przyjęcie, ze weksel taki ważny jest wyłącznie z deklaracją wekslową, określającą precyzyjnie rodzaj transakcji lub innej czynności prawnej, której skutkiem było wystawienie weksla. W naszej opinii, zobowiązanie do notarialnego wystawienia każdego weksla mogłoby rażąco zwiększyć koszt kredytów – zwłaszcza w obecnym systemie prawnym, kiedy po wykreśleniu BTE przez Trybunał Konstytucyjny to właśnie weksel stał się jednym z popularnych zabezpieczeń kredytów niskokwotowych. Wiceszef GIODO stwierdził, iż propozycja z notarialnym uwierzytelnianiem weksli to tylko jedna z możliwych opcji – a jej zaletą jest stosunkowo prosta realizacja i wykorzystanie zawodu zaufania publicznego, jakim jest notariusz, do potwierdzenia autentyczności podpisu złożonego na wekslu. Równocześnie Andrzej Lewiński podkreślił, że – niezależnie od przyjętej metody – ostateczny cel musi być jeden: wyeliminowanie dotychczasowej niespójności prawa w dochodzeniu roszczeń z weksla. – Sąd nie bada ani autentyczności podpisu, ani miejsca zamieszkania; zawiadomienia idą na inny adres – i dopiero ktoś przypadkowo, chcąc skorzystać z konta, widzi, że ono jest puste albo zablokowane – podkreślił wiceszef GIODO. Jego zdaniem, we współczesnym świecie zbyt wiele uwagi przywiązuje się do swobody przedsiębiorcy w pozyskiwaniu klientów – nawet, jeśli odbywa się to z naruszeniem prywatności. Problemem jest również praktyka zbierania danych osobowych nie wówczas, kiedy jest to faktycznie potrzebne, tylko „dla wygody, na zapas” – wskazał Lewiński.
O tym, jak często utrata kontroli nad danymi osobowymi odbija się na portfelu poszczególnych Polaków niech świadczy fakt, iż znaczna część skarg do GIODO dotyczy właśnie wyłudzonych kredytów. – Na przykład: skorzystamy z aplikacji „dam pracę”, wysyłamy dokumenty – i po pół roku nagle otrzymujemy program spłaty nie swojego kredytu – zaznaczył Andrzej Lewiński. Ale do przechwycenia danych osobowych może dojść również w sytuacji, kiedy powierzamy nieupoważnionej osobie dowód osobisty – na przykład pożyczając kajak czy łyżwy.
Kolejne zapytanie, wystosowane do zastępcy GIODO przez naszą redakcję, dotyczyło braku skutecznych instrumentów skłaniających przedsiębiorców do weryfikacji przedstawionych przez klientów dokumentów w bazach danych zawierających informacje o tego typu zdarzeniach – takich jak system „Dokumenty Zastrzeżone”, utworzony z inicjatywy Związku Banków Polskich. Wskazaliśmy na koncepcję, w myśl której skorzystanie z określonych form dochodzenia roszczeń – jak choćby z elektronicznego postępowania upominawczego – dostępne byłoby jedynie dla tych usługodawców czy sprzedawców, którzy wykażą się niezbędną ostrożnością – i weryfikując klienta na podstawie przedstawionych przezeń dokumentów sprawdzą, czy nie zostały one zastrzeżone. Wiceszef GIODO zadeklarował poparcie dla wszelkich inicjatyw, których ostatecznym efektem będzie utrudnienie działania złodziejom tożsamości. – My będziemy sojusznikiem, będziemy organem wspierającym i inspirującym wszelkie działania które zwiększają bezpieczeństwo człowieka. Liczy się nie tylko wolność – bo ona może skończyć się tym, ze zostaniemy bez mieszkania, z nie swoim kredytem do spłaty – podkreślił Andrzej Lewiński, wskazując zarazem iż przełamanie pewnych konwenansów nie będzie łatwe. – Trudno przebić się przez pewną wizję wolności, deregulacji – tylko kto potem za to płaci? Płacą ludzie – czyli my wszyscy – wskazał wiceszef GIODO.
Karol Jerzy Mórawski