Ochrona danych osobowych w dzisiejszych czasach nabiera nowego znaczenia. Zawieranie umów na prowadzenie rachunku bankowego, umów kredytu czy pożyczki to powszechne czynności prawne. Do załatwienia tego rodzaju spraw coraz częściej wykorzystuje się elektroniczne kanały komunikacji. Posługiwanie się nimi jest z oczywistych względów wygodne, dlatego usługodawcy coraz częściej dążą do ułatwiania klientom dostępu do usług online, np. do bankowości elektronicznej z poziomu smartfona. Zdarzają się jednak sytuacje, gdy dane identyfikujące osobę zostają wykorzystane bez jej wiedzy i zgody. Przestępcy mogą np. wyłudzić kredyt czy pożyczkę, sprzedać nieruchomość, której właścicielami nie są, albo wyrobić duplikat karty SIM – co w efekcie, dzięki dostępowi do środka uwierzytelniania (którym często jest smartfon), może prowadzić do przejęcia konta w usługach elektronicznych.
Kradzież tożsamości
Kradzież tożsamości polega na nieuprawnionym pozyskaniu i wykorzystaniu danych osobowych przez osoby trzecie. Może to obejmować informacje takie jak numer dowodu osobistego, PESEL, numer konta bankowego, hasła dostępowe czy inne dane, które pozwalają na podszywanie się pod konkretną osobę.
Kradzież tożsamości jest narzędziem do wyłudzenia środków finansowych poprzez zaciąganie zobowiązań finansowych na inną osobę (np. wzięcia kredytu lub pożyczki, sprzedaży nieruchomości bez wiedzy i zgody właściciela) lub poprzez SIM swapping (wyrobienie duplikatu karty SIM, która może być następnie użyta do nielegalnego autoryzowania transakcji). Zdarzenia takie mają miejsce w momencie nieuprawnionego pozyskania danych jednoznacznie identyfikujących osobę (w wyniku wycieku danych, zgubienia lub kradzieży dowodu osobistego, paszportu lub prawa jazdy albo zdobycia informacji dotyczących nieruchomości). Przestępcy wykorzystują do tego celu również podrobione lub przerobione dokumenty tożsamości.
Jednym z głównych identyfikatorów podmiotu danych jest numer PESEL. Dlatego też wyciek danych zawierających numer PESEL – pomimo, że jest to dana zwykła – jest pod szczególnym nadzorem Prezesa Urzędu Ochrony Danych Osobowych.
Znając numer PESEL można wyrobić kolekcjonerski dowód osobisty, który z kolei może posłużyć do wyrobienia duplikatu karty SIM, która jest wykorzystywana w smartfonach do potwierdzania tożsamości.
Zastrzeganie numeru PESEL
Zwiększając zaufanie do elektronicznych kanałów ułatwiających życie obywateli Sejm w dniu 7 lipca 2023 r. uchwalił ustawę o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości (Dz. U. z 2023 r., poz. 1394). Weszła ona w życie 26 lipca 2023 r. Nowe przepisy mają zwiększyć ochronę przed nadużyciami, które wynikają z kradzieży danych osobowych.
Warto zaakcentować, że ustawa zawiera regulacje, jakie zapobiegałyby tej kradzieży – ma przeciwdziałać jej negatywnym skutkom w obrocie cywilno-prawnym, chroniąc ofiarę takiego przestępstwa.
Ustawa przede wszystkim reguluje możliwość zastrzegania numeru PESEL co ma zapobiegać nieuprawnionemu dysponowaniu mieniem obywateli.
Numer PESEL będzie można zastrzec za pomocą środków komunikacji elektronicznej. Usługa będzie dostępna na stronie gov.pl i w aplikacji mobilnej mObywatel, po uwierzytelnieniu się przy użyciu profilu zaufanego, podpisu kwalifikowanego albo podpisu osobistego zawartego w dowodzie osobistym (e-dowód).
Aby aktywować tę usługę, nie trzeba będzie angażować urzędnika. Przewiduje się również możliwość zastrzeżenia numeru PESEL przez bank krajowy (osobiście lub online w systemie transakcyjnym banku) oraz operatora wyznaczonego (pocztowego bądź telekomunikacyjnego osobiście w placówce operatora).
Po skorzystaniu z jednego z powyższych sposobów zastrzeżenie zostanie zarejestrowane (lub cofnięte), a stosowna informacja pojawi się w rejestrze. Takie rozwiązanie ma zapewnie podmiotom weryfikującym niezwłoczny dostęp do informacji o zastrzeżeniu numeru PESEL.
Chwilą zastrzeżenia lub cofnięcia zastrzeżenia numeru PESEL będzie dzień, godzina, minuta i sekunda, które będą udostępnianie podmiotom weryfikującym jako chwila zdarzenia. Osoby, które nie mają dostępu do Internetu, będą mogły osobiście złożyć wniosek o zastrzeżenie lub cofnięcie zastrzeżenia numeru PESEL w siedzibie organu dowolnej gminy (nie będzie można przesłać wniosku pocztą), placówce banku lub placówce pocztowej (w placówce banku lub poczty będzie można zrealizować tylko zastrzeżenie, nie cofnięcie).
Podmioty finansowe zobowiązane do weryfikowania zastrzeżenia numeru PESEL
Od 1.06.2024 r. obowiązek weryfikowania, czy PESEL jest zastrzeżony, czy nie – przed podpisaniem umowy skutkującej zobowiązaniami finansowymi – będzie spoczywał na:
- notariuszach przy sporządzaniu dokumentów dotyczących sprzedaży nieruchomości;
- bankach przy zawieraniu umów o kredyt, pożyczkę, leasing, rachunek oszczędnościowy i oszczędnościowo-rozliczeniowy;
- SKOKACH przy zawieraniu umów o kredyt lub pożyczkę;
- dostawcach usług telekomunikacyjnych przy wydawaniu kopii lub wtórnika karty SIM
Co istotne, jeśli zobligowana instytucja nie sprawdzi, czy zastrzeżenie istniało, a numer PESEL był zastrzeżony, to nie może domagać się ani od konsumenta, ani od jego następców prawnych zaspokojenia roszczenia z tytułu zawarcia takiej umowy czy zbycia powstałej z niej wierzytelności.
Zespół CUI!
Opracowano na podstawie:
Magdalena Mazur-Bądel Kradzież tożsamości a nowe narzędzia prawne
IT w Administracji / październik 2023