Wycieki danych medycznych z ALAB mogły objąć informacje choćby o 50 tys. badań. NASK uruchomił możliwość sprawdzenia, czy nasze dane zostały skradzione, ponadto zachęca do skorzystania z nowej usługi zastrzeżenia PESEL. Wciąż nie daje to jednak pełnej ochrony – banki nie mają obowiązku (aż do czerwca 2024 r.) ani choćby możliwości sprawdzenia, czy ktoś zastrzegł swój PESEL. Eksperci wskazują jednak, iż mimo wszystko może to pomóc w uniknięciu skutków kradzieży naszej tożsamości.
– Zastrzeżenie PESEL w bazie na pewno będzie w ewentualnym postępowaniu sądowym podstawą do wykazania, iż podjęło się wszelkie możliwe kroki, by swoją tożsamość zabezpieczyć – tłumaczy adwokat Bartosz Grube. – Banki mają być podłączane do tego systemu stopniowo i choć faktycznie obowiązku weryfikacji zastrzeżenia numeru PESEL nie będzie jeszcze przez pół roku, to można liczyć, iż po ujawnieniu takiego wycieku banki to sprawdzą, o ile zyskają taką możliwość – dodaje. I wskazuje, iż warto skorzystać z komercyjnych usług informujących, iż ktoś wysyła zapytania dotyczące naszej zdolności kredytowej do Biura Informacji Kredytowej.
Raporty w tej sprawie wysyłane są w czasie rzeczywistym, co pozwala od razu podjąć odpowiednie działania, by unieważnić taką umowę – powołując się na oszustwo i wykorzystanie naszych danych.
Kwestie dowodowe
– jeżeli dostaniemy powiadomienie o takim zapytaniu, a nie jest ono skutkiem naszej aktywności, należy to zgłosić bezpośrednio do instytucji, w której ktoś się naszym PESEL-em posłużył, iż to nie my. Oczywiście zgłosić też na policję. Wtedy najprawdopodobniej nikt takiego właściciela PESEL już nie będzie ścigał – mówi Andrzej Kulik, rzecznik prasowy Krajowego Rejestru Długów. – Samo oświadczenie pozwanego, iż jego dane ktoś ukradł, to za mało. Potrzebne będzie postępowanie dowodowe. Oczywiście, jeżeli pozwany wskaże przed sądem, iż nie on zaciągał zobowiązanie, a jest to wyłudzenie i być może skutek kradzieży danych z ALAB, to prawdopodobnie sąd weźmie to pod uwagę – dodaje.
Adwokat Grube wskazuje, iż wciąż ciężar dowodu spoczywa na osobie, w imieniu której zaciągnięto kredyt. Pomocny może się okazać zrzut ekranu ze strony bezpiecznedane.gov.pl pozwalający wykazać, iż konkretnie nasze dane zostały wykradzione, jak również zaświadczenie z policji. Adwokat uważa też, iż nie ma sensu zgłaszać naruszenia na komisariacie od razu.
– Do przestępstwa z wykorzystaniem tożsamości dochodzi, gdy ktoś nasze dane wykorzystuje, a nie, gdy wchodzi w ich posiadanie – tłumaczy ekspert.
Cyberprzestępcy grożą, iż jeżeli firma nie zapłaci, to do końca roku ujawnią pozostałe skradzione dane.
Nie ulegać szantażowi
Czy osoby, których one dotyczą, będą mogły pozwać firmę o naruszenie ich dóbr osobistych poprzez nienależyte zabezpieczenie informacji (m.in. o ich stanie zdrowia)?
– Wszystko zależy od tego, czy odpowiednie procedury zabezpieczenia danych zostały wdrożone i były przestrzegane oraz czy były wystarczające ze względu na szczególny charakter danych i zakres ich przetwarzania – ocenia Katarzyna Orzeł, radca prawny z Brightspot.
Czy jednak firmie opłacałoby się zapłacić okup, by cyberprzestępcy nie publikowali pozostałych danych?
– Nie zmniejszy to winy ani zakresu odpowiedzialności ALAB, ale brak zapłaty nie będzie też działał na jego niekorzyść – tłumaczy mec. Katarzyna Orzeł. – Do naruszenia już doszło i przestępcy są w posiadaniu danych. choćby po zapłaceniu mogą więc „zmienić zdanie” i opublikować je np. za miesiąc. To nie jest zawarcie ugody – dodaje.