Czym jest ghosting scam, jak oszuści wykorzystują dane zamieszczane w sieci po śmierci internauty i jak zadbać o bezpieczeństwo kont należących kiedyś do naszych bliskich? Zapoznaj się z analizą ekspertów NASK.
Ghosting scam – co to takiego?
Podszywanie się pod zmarłą osobę to rodzaj oszustwa nazywany „ghosting scam”. Jak ostrzega na swojej stronie Departament Stanu Nowy Jork, sprawcy poszukują informacji na temat zmarłych w nekrologach, domach pogrzebowych, szpitalach czy też na stronach internetowych, a następnie wykorzystują je do otwierania kont, zaciągania pożyczek lub uzyskiwania świadczeń z ubezpieczenia[1]. Washington National podaje, iż każdego roku aż 2,5 miliona zmarłych Amerykanów ,,pada ofiarą” kradzieży tożsamości[2].
Coraz częściej obszarem działania oszustów stają się platformy mediów społecznościowych. Chociaż na pierwszy rzut oka przejęcie profilu zmarłej osoby nie stwarza tak poważnego zagrożenia jak wzięcie kredytu na jej dane, to jednak skutki takich działań mogą być również wysoce szkodliwe. Po pierwsze, w tej chwili niejednokrotnie zdarza się, iż z czyimś kontem w mediach społecznościowych wiąże się konkretna wartość majątkowa taka jak zarządzana przez niego strona z dużym gronem odbiorców, działalność e-commerce lub też marka osobista (chociażby w przypadku influencerów). Po drugie, konto zmarłej osoby często stanowi ogromną wartość emocjonalną i sentymentalną dla rodziny i przyjaciół zmarłego – staje się istotną pamiątką po zmarłym i miejscem kultywowania jego pamięci.
O tym ostatnim doskonale wiedzą oszuści, którzy specjalizują się w ,,porywaniu” kont w mediach społecznościowych zmarłych osób. Tego rodzaju sprawca włamuje się na konto użytkownika, o którego śmierci dowiedział się czy to w świecie rzeczywistym, czy dzięki informacjom w sieci, a następnie zaczyna go aktywnie używać – wrzuca treści, wysyła zaproszenia do znajomych, pisze do rodziny i znajomych. Dodatkowo, zmienia on dane profilu takie jak data urodzenia czy miejsce zamieszkania, aby utrudnić rodzinie udowodnienie, iż konto należy do zmarłego.
Wszystkie te działania mają konkretny cel – wzbudzić niepokój u bliskich zmarłego (który nagle niejako odzywa się zza grobu) lub też spowodować dyskomfort poprzez naruszanie pamięci o zmarłym, zwłaszcza o ile oszust intencjonalnie publikuje na profilu zmarłego treści kontrowersyjne lub w inny sposób nieprzyjemne dla jego bliskich. Gdy zostanie to osiągnięte, sprawca występuje z żądaniami – zwykle finansowymi – które mają zostać spełnione, aby zwrócił konto zmarłego rodzinie.
Jak my – żyjący – możemy chronić tożsamość naszych najbliższych?
Uporządkowanie kont osoby zmarłej na platformach internetowych
Choć coraz więcej platform internetowych daje możliwości zadbania o to, co stanie się z naszym kontem po śmierci, przez cały czas wielu użytkowników nie korzysta z tej opcji. Tymczasem zabezpieczenie na wypadek śmierci naszej ,,cyfrowej tożsamości”, składającej się z kont na platformach internetowych oraz zawartych tam danych, jest niezwykle ważne.
Nawet jednak o ile zmarły sam nie zadecydował o losie swoich profili w Internecie, po jego śmierci przez cały czas mogą to uczynić jego bliscy. Ponieważ prawo nie reguluje obowiązków serwisów internetowych w tym zakresie, możliwości te będą różnić się w zależności od platformy, na której konto miał zmarły. Niektóre serwisy w żaden sposób nie uwzględniają w swoich regulaminach sposobów postępowania z kontami nieżyjących użytkowników. w tej chwili jednak wiele z nich, w tym zwłaszcza duże platformy społecznościowe, dają właścicielom kont i ich bliskim różne możliwości działań na wypadek ich śmierci.
Oto przykłady:
Użytkownik Facebooka jeszcze za życia może wybrać, czy chce, aby jego konto po jego śmierci zostało przekształcone w konto ze statusem ,,In memoriam”, czy też usunięte. Może też wybrać opiekuna konta. o ile użytkownik nie wybierze żadnej z tych opcji, decyzję w tej kwestii będą mogli podjąć jego bliscy.
Aby nadać kontu status ,,In memoriam”, członkowie rodziny lub bliski znajomy powinien złożyć dedykowany do tego wniosek na portalu Facebook, do którego należy dołączyć dokument potwierdzający zgon (skan lub zdjęcie nekrologu zmarłej osoby, aktu zgonu, karty upamiętniającej lub innej dokumentacji potwierdzającej śmierć użytkownika).
Konto ze statusem „In memoriam”:
- jest zabezpieczone przed zalogowaniem się do niego jakiejkolwiek osoby;
- będzie przez cały czas widoczne na Facebooku, ale jedyną osobą, która będzie mogła nim zarządzać, jest opiekun konta wybrany przez właściciela konta;
- opiekun konta może przyjąć zaproszenie do grona znajomych w imieniu konta ze statusem „In memoriam”, przypiąć post na cześć tej osoby do jej profilu po nadaniu mu statusu „In memoriam” i zmienić zdjęcie profilowe oraz zdjęcie w tle; jeżeli na koncie ze statusem „In memoriam” znajduje się miejsce na upamiętnienie, opiekun konta może zdecydować, kto może oglądać posty na cześć tej osoby albo je publikować; nie będzie mógł natomiast zalogować się na to konto.
Co do zasady, bliscy zmarłego użytkownika nie otrzymają dostępu do danych znajdujących się na jego koncie. W rzadkich przypadkach Facebook rozpatruje wnioski o dostęp do dodatkowych informacji o koncie lub jego zawartości, wtedy jednak konieczne będzie przedstawienie dodatkowo nakazu sądowego.
Z kolei aby usunąć konto zmarłego użytkownika, jego bliscy powinni przesłać przy wykorzystaniu dedykowanego do tego wniosku dokument potwierdzający, iż są oni członkami najbliższej rodziny lub wykonawcami testamentu właściciela konta. Facebook akceptuje dokumenty takie jak pełnomocnictwo, akt urodzenia, ostatnią wolę i testament, zaświadczenie o powołaniu na zarządcę majątku spadkowego.
Oprócz tego, należy przesłać skan lub zdjęcia świadectwa zgonu, nekrologu, karty upamiętniającej zmarłego użytkownika.
W przypadku usunięcia konta:
- profil, zdjęcia, posty, filmy i wszystkie inne dodane przez użytkownika informacje zostaną trwale usunięte; nie będzie można odzyskać żadnych dodanych treści;
- usunięcie danych potrwa do 90 dni od momentu złożenia wniosku o usunięcie konta – Facebook będzie je więc przechowywał jeszcze 3 miesiące lub dłużej, o ile będą one potrzebne w związku z:
- żądaniem prawnym lub zobowiązaniem (także innych firm należących do Meta), lub koniecznością przestrzegania obowiązującego prawa;
- postępowaniem prowadzonym przez organ administracji publicznej;
- roszczeniem prawnym, skargą, postępowaniem sądowym lub administracyjnym;
- kopie niektórych materiałów (np. plików dziennika) mogą pozostać w bazach danych Facebooka, pozbawione wszelkich osobistych identyfikatorów.
Instagram przyjmuje takie same zasady wobec kont osób zmarłych jak Facebook. Nie można jedynie wyznaczyć opiekuna konta.
LinkedIn:
Upoważniona osoba może wnioskować o nadanie kontu zmarłego użytkownika statusu ,,In memoriam” lub o zamknięcie konta.
Dla potwierdzenia upoważnienia do dokonania takiego zgłoszenia LinkedIn wymaga od wnioskującego załączenia dokumentu prawnego, upoważniającego do działania w imieniu zmarłej osoby: wydanego przez sąd upoważnienia do zarządzania majątkiem lub innego nakazu sądowego upoważniającego wnioskodawcę do zarządzania majątkiem zmarłej osoby. Niezbędne jest także załączenie kopii aktu zgonu.
W przypadku ustawienia statusu ,,In memoriam” nie będzie możliwe nawiązanie interakcji z profilem (np. zaproszenie do kontaktu). Zachowane zostaną:
- publikacje, których autorem jest zmarła osoba;
- artykuły, których autorem jest zmarła osoba;
- rekomendacje (udzielone lub otrzymane);
- umiejętności i potwierdzenia (udzielone lub otrzymane);
- historia wiadomości;
- część Informacje;
- reakcje i komentarze;
- osiągnięcia;
- aktywność;
- doświadczenie;
- wykształcenie;
- licencje i certyfikaty;
- zainteresowania;
- kontakty.
Z kolei wniosek o zamknięcie konta spowoduje, iż profil zostanie usunięty wraz z zawartymi w nim danymi. Usunięcie wszystkich danych z systemów LinkedIn może potrwać do 21 dni.
Osoby inne niż upoważnione mogą zgłosić LinkedInowi, iż dane konto należy do zmarłej osoby. W takim przypadku, serwis wymaga załączenia linku do nekrologu lub odpowiedniego artykułu w mediach, potwierdzającego śmierć danej osoby. Zgłoszenie zmarłego członka skutkuje ukryciem jego konta. Ukryte konto nie jest widoczne na LinkedIn i nie można go wyszukać, ale przez cały czas jest dostępne do upamiętnienia lub zamknięcia przez osoby upoważnione do działania w imieniu użytkownika konta.
Członek rodziny lub inna upoważniona osoba może poprosić o usunięcia konta zmarłej osoby. Musi w tym celu zweryfikować się dowodem osobistym oraz kopią aktu zgonu użytkownika.
Użytkownik, za pośrednictwem opcji ,,Menadżer kont”, może udostępnić niektóre dane z jego konta wybranym osobom lub powiadomić takie osoby, gdy przez określony czas będzie nieaktywny. W przypadku braku aktywności, wskazane przez użytkownika osoby automatycznie otrzymają od Google email z informacją na ten temat oraz listą udostępnionych danych wraz z linkiem, który pozwala je pobrać (np. dane z poczty, dane z Youtube).
W przypadku braku dokonania takich ustawień przez użytkownika, na prośbę osoby z jego najbliższej rodziny lub jego upoważnionego przedstawiciela Google może zamknąć konto. W określonych okolicznościach Google może też udostępnić treści zapisane na koncie osoby zmarłej. Wymagane jest do tego przesłanie dokumentu potwierdzającego tożsamość wnioskującego oraz aktu zgonu użytkownika. Niezbędne będzie także zdobycie orzeczenia sądowego wydanego w Stanach Zjednoczonych (Google przedstawi osobie wnioskującej tekst oświadczenia, które musi być ujęty w orzeczeniu sądu).
Google w swojej Polityce Prywatności nie podaje jak długo trwa proces usuwania danych po zamknięciu konta, znajduje się tam jedynie wzmianka, iż dokonuje się to ,,niezwłocznie”.
Ochrona pamięci o zmarłym – przeciwdziałanie naruszeniom dóbr osobistych
Bliscy zmarłego, którego tożsamość cyfrowa lub jej elementy zostały wykorzystane w celach, które wywołują w nich dyskomfort lub budzą ich sprzeciw, mają także możliwość skorzystania z ochrony prawnej. o ile ktoś np. użyje zdjęć zmarłego umieszczonych w mediach społecznościowych w kontekście, który bliscy uważają za obraźliwy dla siebie lub nieżyjącej osoby, to takie zachowanie może stanowić naruszenie dóbr osobistych w postaci pamięci lub kultu zmarłego, jego nazwiska lub wizerunku.
W literaturze prawniczej pamięć o zmarłym w kontekście dobra osobistego charakteryzuje się jako możliwość zapamiętania zmarłego jako dobrego, godnego człowieka. Dotyczy więc ono sfery uczuciowej, tego, jaki obraz nieżyjącej osoby chcieliby zachować w swojej pamięci jej bliscy. Dobro osobiste w postaci kultu zmarłego ma zaś charakter bardziej materialny, wiąże się z zapewnieniem godnego pogrzebu oraz miejsca pochówku, w którym bliscy będą mogli kultywować pamięć o zmarłym.
W tym kontekście można zastanowić się, czy konto na platformie społecznościowej można potraktować jako swojego rodzaju ,,wirtualny nagrobek”. Taka teza wydaje się uzasadniona, zważając na to, iż współcześnie wiele osób wykorzystuje właśnie te platformy do wyrażenia swojego szacunku wobec zmarłego lub wsparcia dla jego rodziny – umieszczają na koncie nieżyjącego użytkownika wirtualne znicze, zamieszczają kondolencje i wspomnienia. Dzieje się tak nie tylko bezpośrednio po śmierci użytkownika, ale, o ile jego konto nie zostanie usunięte, także później z okazji np. urodzin lub rocznicy śmierci.
Dlatego działania dotyczące takiego konta, takie jak chociażby umieszczanie na nim przez innych użytkowników treści, które bliscy zmarłego uważają za po prostu nieodpowiednie w tym kontekście (np. żarty ze śmierci, polityczne) mogą być rozważane w kontekście naruszenia ich prawa do kultu nieżyjącej osoby. Oczywiście to, czy faktycznie takie zachowania będą stanowiły naruszenie chronionych prawnie dóbr osobistych, zależy od indywidualnych okoliczności danej sprawy.
Jakie obowiązki mają administratorzy danych osobowych po śmierci Internauty?
To, jak długo dane osobowe są przez dany podmiot przetwarzane i przechowywane, zależy od wielu czynników, np. celu ich przetwarzania czy też rodzaju obowiązków prawnych ciążących na podmiocie.
Np. ZUS będzie przechowywał dane dotyczące korzystania ze świadczenia pieniężnego w postaci emerytury przez 25 lat od zakończenia sprawy (czyli daty śmierci danej osoby).
Każdy podmiot przetwarzający dane osobowe ma obowiązek udzielić informacji na temat okresu, na jaki są one przechowywane i po którym zostaną one usunięte. Często taka informacja zawarta jest w polityce prywatności udostępnionej przez dany podmiot.
Nie ma jednak prawnego obowiązku, aby administrator danych osobowych wskazał, co stanie się z danymi w przypadku śmierci osoby, której dotyczą.
Z jednej strony, po śmierci człowieka jego dane osobowe nie są już chronione przepisami RODO, z drugiej strony nie powinny być one już przetwarzane, o ile cel ich przetwarzania wygasł wraz ze śmiercią danej osoby.
W praktyce jednak często dane te są i przetwarzane, i przechowywane, ponieważ administrator danych osobowych nie zostaje powiadomiony o śmierci osoby, której dane dotyczą. Dlatego rodzina zmarłego, która chce mieć pewność, iż jego dane zostaną usunięte, powinna zadbać o poinformowanie administratora danych osobowych o śmierci danej osoby. W wielu przypadkach, aby uzyskać usunięcie danych, konieczne będzie także wnioskowanie o zamknięcie/usunięcie konta (zwłaszcza w przypadku platform internetowych).
Przeważnie dane osobowe zmarłego nie zostaną także usunięte natychmiast – zwykle administrator zastrzega sobie określony czas na wykonanie tego zadania (np. Facebook 90 dni), czasami też może on je przechowywać dłużej, gdy uzasadnia to ciążący na nim obowiązek prawny lub jego interes prawny (np. dane są mu niezbędne w związku z toczącym się postępowaniem sądowym).
Co na to prawo?
Po śmierci człowieka jego dane osobowe tracą status ,,danych osobowych”, ponieważ nie ma już osoby, do której by należały. Z tego powodu w prawie polskim, unijnym i międzynarodowym brak przepisów, które systemowo regulowałoby, co dzieje się z danymi osobowymi człowieka po jego śmierci. Na poziomie unijnym, RODO odnosi się jedynie do ochrony praw osób żyjących (wprost wskazane w motywie 27 do RODO).
Choć więc za życia dana osoba może żądać usunięcia swoich danych osobowych przez administratora danych osobowych (np. jednostkę administracji państwowej lub platformy społecznościowe), to po śmierci jej spadkobiercy nie będą mogli już tego uczynić. Po pierwsze, prawo do żądania usunięcia danych to nieprzenoszalne prawo osobiste, a więc wygasa ono ze śmiercią i nie może być ono dziedziczone. Po drugie, przepisy RODO nie dotyczą danych osób zmarłych, a więc nie można także mówić w ich kontekście o jakichkolwiek uprawnieniach zapewnionych przez to rozporządzenie.
Niektórzy prawnicy zastanawiają się, czy RODO nie ustanawia jednak jakiegoś zestawu praw majątkowych względem danych, które mogłyby być przedmiotem dziedziczenia – np. w odniesieniu do przenoszenia danych (art. 20 RODO). Treść wskazanych praw jest bowiem zbliżona do treści niektórych uznanych praw majątkowych, co mogłoby sugerować, iż powinny być traktowanie jako szczególny rodzaj takiego prawa. Nie jest to jednak na razie ugruntowany pogląd.
Dane osobowe osoby zmarłej nie są jednak zupełnie pozbawione ochrony prawnej. Niektóre bowiem sposoby wykorzystania danych osobowych zmarłego można by potencjalnie rozpatrywać w kontekście naruszenia dóbr osobistych na gruncie art. 23 i art. 24 Kodeksu cywilnego, o czym już wspomiano.
W niektórych krajach powyższe kwestie zostały już w pewien sposób uregulowane. Np. Niemiecki Federalny Trybunał Sprawiedliwości opowiedział się za tym, iż spadkobiercy mogą dziedziczyć konto na Facebooku zmarłego wraz z jego zawartością. Orzeczenie dotyczyło sprawy, w której spadkobierczyni domagała się dostępu do konta córki aby wyjaśnić przyczynę jej śmierci. Sąd uwzględnił roszczenie, wskazując, iż stosunek prawny między użytkownikiem a Facebookiem jest takim stosunkiem majątkowym, który na mocy BGB (niemiecki kodeks cywilny) podlega dziedziczeniu.
Sąd zastanawiał się nad ograniczeniami dziedziczenia (ochrona danych osobowych, tajemnicy telekomunikacyjnej, prawa wynikające wprost z konstytucji), ale doszedł do wniosku, iż nie stoją ona na przeszkodzie dziedziczeniu konta na Facebooku.