Prawdziwe (imię) o które nie należy nikogo pytać i którego nie wolno zdradzać. (...) Powiedzieć imię, to tyle co oddać swoją własność w cudze ręce.
Ursula Le Guin, „Prawo imion”
* * *
Ostatnimi czasy dwa zdarzenia przemknęły dość niezauważone przez opinię publiczną, ale za to dość głośne w branży IT. Pierwsze to kara dla internetowego sklepu Morele.net za brak ochrony danych klientów, drugie to kradzież laptopa pracownika SGGW. Gdy przyjrzymy się im bliżej, zobaczymy w jakim patologicznym stanie znajduje się nasze państwo.
W listopadzie 2018 pojawiły się pierwsze oznaki, że dane klientów Morele.net zostały wykradzione. Klienci sklepu dostawali SMSy, które miały na celu wyłudzenie pieniędzy. Tak złodziej monetyzował zdobyte informacje – złodziejska robota, do której potrzebna jest treściwa baza danych z numerami telefonów, choć niekoniecznie trzeba do tego od razu wycieku bazy użytkowników sklepu. Niecały rok później UODO nałożyło na sklep dość szokującą karę 2,8 miliona złotych. Czy to dużo? Złoty dwadzieścia na jednego poszkodowanego klienta. Można dyskutować czy kara była adekwatna, ale w całej sprawie jest jeszcze coś! Zajrzyjmy do komunikatu UODO, w którym opisuje zaniedbania firmy i sam wyciek: W większości były to takie dane jak: imię i nazwisko, numer telefonu, e-mail, adres doręczeń. Jednak w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształcenie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych. Czyli 35 tysięcy Polaków zostało zagrożonych utratą swoich pieniędzy, tym razem z majestacie prawa.
Tu dygresja: Mając tego typu informacje można otrzymać chwilówkę w firmach lichwiarskich, a nawet (co wydaje się niemożliwe, ale się zdarza) kredyt w banku. Ofiara nic nie wie o tym, że ktoś właśnie w jej imieniu podjął pieniądze. Finał jest bolesny: brak spłaty, zgłoszenie do e-sądu (nie mylić z sądem) i szybka windykacja. Ofiara dowiaduje się o sprawie dopiero, gdy pieniądze, pobrane przez komornika, znikają jej z konta.
Drugie zdarzenie o jakim piszę, miało miejsce 5 listopada 2019. Tym razem ukradziono (prywatnego!) laptopa jednego z pracowników szacownej uczelni SGGW z danymi bliżej nie określonej liczby kandydatów na te studia. Na komputerze znajdowały się między innymi: PESEL, imię i nazwisko, adres zamieszkania, seria i numer dowodu/paszportu, nr telefonu komórkowego imiona rodziców, drugie imię, nazwisko rodowe… W komunikacie uczelni skierowanym do ofiar możemy nawet przeczytać czym to grozi: Możliwymi konsekwencjami (…) jest nieuprawnione wykorzystanie danych osobowych m.in. w celu uzyskania przez osoby trzecie, (…) kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości (…).
I teraz pytanie: Czy państwo w jakiś sposób chroni swych obywateli przed takim ryzykiem? Odpowiedź brzmi: nie. Tracąc swój PESEL, numer dowodu, adres, imię i nazwisko jesteś jak jeden z bażantów z hodowli do których strzelał śp. J. Szyszko. Wystawiony na cel – nic nie możesz zrobić.
Najlepiej byłoby, żeby posiadanie tych danych przez złodzieja, nie mogło skutkować wyłudzeniem pieniędzy – tak jak to było jeszcze w XX wieku. Tak po prostu. Ale z powodów o których kiedyś pisałem, a chodzi o minimalizację kosztów ponoszonych przez firmy finansowe, chyba nie będzie to możliwe. Firmy te mają zbyt duże wpływy. Próba prawnego „odwrócenia” historii skończyłaby się pewnie burzą medialną „o zarzynaniu polskiego rynku finansowego”. Można próbować półśrodków – pomocna byłaby na przykład baza numerów PESEL czy dowodów osobistych, w której można by zastrzegać utracone dane. Albo system powiadamiania SMSowego „Na twój numer PESEL w pobrano pożyczkę/kredyt w…”. Ale nie ma niczego takiego. Pewnie powiecie „Przecież można zastrzec w banku zgubiony czy skradziony dowód, działa BIK wysyłający takie SMSy – o więc ci chodzi autorze?”. Chodzi o to, że żadne z tych rozwiązań nie jest instytucją państwową. Firma prywatna jest firmą prywatną i dba o interesy właściciela/akcjonariuszy. Dlatego ich rozwiązania nie są wcale kompletne czy użyteczne z punktu widzenia „człowieka z ulicy”. Liczą się jedynie koszty w stosunku do zysków/strat.
Państwo jest za słabe, by bronić obywatela, ale za to hojną ręką wspomaga prywatne firmy finansowe. Chodzi mi tu o banki, lichwiarzy i windykatorów. Zobaczmy jaka pomoc czeka na nich ze strony państwa:
- Zacznijmy od e-sądu, który był tak wychwalany przez ministra J. Gowina, gdy był on jeszcze w rządzie PO (ale zdania do dziś nie zmienił). Każdy windykator taśmowo śle wnioski do tego „sądu”, a ten z kolei taśmowo je załatwia. Oczywiście pozytywnie.
- Z dostępem do systemu PESEL jest niby więcej ambarasu, bo nie każdy może przeglądać tę bazę, ale mają do niej wgląd m.in. wszyscy komornicy, co jak pamiętamy poskutkowało (nielegalnym!) wyciekiem danych paru milionów osób na rzecz GetBack. Zauważmy, że wyciek odkryto tylko dlatego, że był olbrzymi. Jeśli zasysanie danych odbywa się na mniejszą skalę – pozostanie bezkarne.
- I wisienka na torcie: Od 1 lipca 2016 r. nowelizacja Prawa bankowego nakazała przystąpienie do Centralnej informacji o rachunkach bankowych wszystkim bankom i SKOKom w Polsce. To ostatnia bariera z jaką musiały się zderzać firmy finansowe, a jaką nasze państwo w swej łaskawości zniosło. Do zajęcia twoich pieniędzy potrzebny jest jedynie PESEL. Komornik zgłasza zapytanie: gdzie są pieniądze człowieka o danym PESELu i dostaje numer (lub numery) konta w banku czy SKOKu. Zauważmy, że uzyskanie tej informacji jest szokująco łatwe w porównaniu do trudności z powiadomieniem potencjalnego dłużnika o toczącym się postępowaniu. Wszak złodziej do umowy na lewy kredyt czy pożyczkę nie wpisze prawdziwego adresu ofiary, więc owe powiadomienie w naszym porządku prawnym w praktyce nie istnieje. Tu rozwiązania prawne mogą być w całkowicie nieskuteczne i ustawodawcy zupełnie to nie przeszkadza.
Dlaczego nasze państwo nie jest tak łaskawe dla obywateli, nie będących beneficjentami biznesu finansowego? Może warto zdać to pytanie, gdy za jakiś czas masowo organizowane będą spotkania przedwyborcze.
* * *
Można oczywiście się ustrzec przed ryzykiem: nie aplikować na studia, nie starać się o pracę, nie kupować na raty, nie brać kredytów, nie korzystać z usług hotelowych, nie używać telefonów komórkowych, nie podpisywać żadnych umów, a dowód osobisty i prawo jazdy schować głęboko, w sobie tylko znanym miejscu. Jak prawdziwe imię w opowiadaniu U. Le Guin.
