Chroń swoje dane osobowe, bo dużo możesz stracić
Anonimowość to fikcja, ochrona danych osobowych jest iluzoryczna, prywatność każdego z nas może stać się wiedzą publiczną. Zdradzamy o sobie wiele, bo musimy, czasem z braku rozsądku i ostrożności. A to wszystko może wywołać lawinę kłopotów.
Mogą wiedzieć o tobie wszystko. Już teraz szereg instytucji administracji państwowej i samorządowej, agencje rządowe, służby porządku publicznego mają o tobie wiedzę cząstkową. Zgodnie z prawem. Globalna sieć internetowa zbiera o tobie szczegóły informacji, przeglądarki internetowe notują każdy twój „klik” i ruch myszki. Jesteś profilowany, nawet o tym nie wiedząc: co czytasz, czym się interesujesz, ile czasu spędzasz przed komputerem, jakie strony przeglądasz i jak długo, co kupujesz, płacąc przelewem elektronicznym. Taka wiedza to towar, który może być sprzedany. Komu i po co? Tego możesz nigdy się nie dowiedzieć. Jak również tego, jakie instytucje się tobą interesują.
Instytucje wiedzą
Z wymuszonych interpelacją poselską danych ministerstwa finansów wynika, że w 2016 r. wywiad skarbowy ponad 2,8 tys. razy pytał operatorów sieci komórkowych o billingi abonentów, a 2,3 tys. razy o ich dane. Gdyby pytania służb skarbowych „sprofilować”, to wychodzi, że pytano najczęściej o dane internautów.
Po co? Tego ministerstwo nie zdradziło.
Fiskusowi wystarczy uzasadnienie, że celem pozyskania danych od operatorów telekomunikacyjnych, internetowych, pocztowych jest wykrycie przestępstwa karno-skarbowego lub zapobiegniecie takiemu przestępstwu. Jeśli dowie się przy okazji, kiedy i jak długo prawiłeś przez telefon nieprzyzwoitości Kryśce spod numeru 691…, to nawet nie będziesz o tym wiedział. Czy ktoś kontroluje proces uzyskiwania przez fiskus takich informacji? Teoretycznie taką kontrolę winny sprawować sądy okręgowe, ale ich kontrola ogranicza się do przyjmowania od służb skarbowych półrocznych sprawozdań z takich działań.
Fiskus, jeśli zechce, będzie wiedział wszystko o twoich finansach, a także operacjach bankowych, rozmowach telefonicznych i korespondencji. Narodowy Fundusz Zdrowia wie wszystko o twoim stanie zdrowia, dane przechowuje w swoich bazach. Twój ubezpieczyciel może zażądać kompletu wyników twoich badań medycznych, jeśli zechcesz wykupić polisę. Twój bank zechce poznać twój stan materialnego posiadania, gdzie jesteś zatrudniony, na jakich warunkach, o ile zechcesz wziąć kredyt. Sięgnie do Biura Informacji Kredytowej, żeby dowiedzieć się, czy jesteś dłużnikiem. Jeśli jesteś, dowie się, komu, ile jesteś winien. Kilkanaście rodzajów polskich służb specjalnych, niezależnie od siebie, ma prawo do wglądu do twoich danych wrażliwych. Baza PESEL dorzuci o tobie trochę informacji, w dokumentach twojego urzędu gminy też można trochę znaleźć, twój pracodawca wie, gdzie mieszkasz, z kim jesteś w związku małżeńskim, ile masz dzieci i w jakim wieku. Gdyby zebrać wszystkie rozproszone po różnych instytucjach dane na twój temat, to okazałoby się, że wiedzą o tobie więcej niż ty sam.
- Być może zasadne byłoby stworzenie jednej, centralnej bazy danych osobowych, z której uprawnionej jednostki i osoby takie dane by pobierały - podpowiada dr Stanisław Rysz, właściciel firmy eResJot.pl, zajmującej się doradztwem i ochroną danych osobowych. - Przy założeniu, że taka baza byłaby bezpieczna w sensie fizycznym i cybernetycznym, moglibyśmy mówić, że mamy zintegrowany i bezpieczny system ochrony danych osobowych w państwie.
Nawet selfie z wakacji to informacja
Część wiedzy o sobie udostępniamy (głównie instytucjom), bo musimy, takie jest prawo. Część udostępniamy, bo chcemy, choć nie musimy. Co jakiś czas najpopularniejsza na świecie przeglądarka internetowa prosi nas o zgodę na pozyskanie części naszych danych. Brak zgody - brak przeglądarki albo jej przydatnych funkcji. Większość „klika” na tak, nie czytając, na co się zgadza. Czyli nie ma pojęcia, jakie dane trafiają do światowego koncernu. I nie jest w stanie skontrolować, jak są wykorzystywane. Eksperci bezpieczeństwa alarmują, że zwykłe selfie z wakacji wrzucone na portal społecznościowy też jest źródłem informacji. Albo otwieramy komputer, pocztę i nagle jesteśmy zasypywani ofertami kupna telewizora. Przypadek? Na pewno nie, widocznie ostatnio przeglądaliśmy „telewizorowe” oferty sklepów internetowych. Czyli zostaliśmy sprofilowani przez przeglądarkę, a jeśli tak, to jakim prawem? Kto nadawcy udostępnił nasz adres poczty elektronicznej i - też - jakim prawem? Tymczasem użytkownicy cyberprzestrzeni zwykle bez oporu użyczają taki adres, z pozoru anonimowy. Nawet dla średnio sprawnego informatyka nie jest problemem powiązanie takiego adresu z nazwiskiem, adresem zamieszkania, miejscem pracy. Przecież te dane są w zasobach niejednej instytucji i firmy.
Płacisz kartą kredytową w sklepie? System rejestruje kiedy, ile i co kupiłeś, ile za to zapłaciłeś, analityk na tej podstawie potrafi cię sprofilować: lubisz czystą czy whisky, wolisz wieprzowinę czy łososia, kupujesz dwie bułki czy osiem bagietek. Dla profilera sprzedaży i marketingu wszystko to coś znaczy. Czip karty zawiera twoje dane, szczegóły transakcji trafiają do danych twojego banku (bo przelew) i pewnie gdzieś jeszcze, skoro transakcję rejestruje też informatyczna sieć sieci handlowej. Czy ta wiedza jest wykorzystywana? Jak ta wiedza jest wykorzystywana?
Po europejsku - bezpieczniej
Stanisław Rysz zwraca uwagę, że wytyczne unijne i nasze krajowe mocno rozmijają się, jeśli chodzi o ochronę naszych wrażliwych danych.
- My mamy ustawę o ochronie danych osobowych, w Europie mamy dyrektywę o ochronie osób, ze względu na ochronę danych osobowych - precyzuje. - To nie jest to samo, u nas chroni się przedmiot, czyli dane, dyrektywa unijna mówi o ochronie osoby, więc podmiotu.
Tymczasem zgodnie z prawem UE także Polska, i to już w maju 2018 r., będzie musiała zmienić swoje prawo dotyczące naszych danych wrażliwych. Nowe będzie dawać obywatelom więcej praw. Mają być informowani, kto i w jakim celu gromadzi ich dane, będą mieli prawo żądać, by ich dane zostały usunięte ze wskazanej bazy. Mają być też objęci ochroną przed profilowaniem, o ile się na takie nie godzą. Uprawnień dla „śledzonego” oraz obowiązków dla administratora danych jest zresztą więcej. Choć - zwraca uwagę Stanisław Rysz - prawo nie jest w stanie określić wszystkich sytuacji, w których przetwarza się dane.
- Proszę sobie wyobrazić sytuację, w której w wypadku samochodowym jest szereg osób poszkodowanych, okoliczni mieszkańcy rzucają się na pomoc, jedna z ofiar prosi przygodnego wolontariusza o zawiadomienie o wypadku rodziny, podaje imię, nazwisko, numer telefonu do członka rodziny, którego trzeba zawiadomić, więc podaje swoje dane wrażliwe - opisuje Rysz. - Czy ów przygodny wolontariusz ma prawo „przetworzyć” te informacje i zadzwonić z informacją? W podobnej sytuacji są pracownicy pogotowia, ratownicy, strażacy, którzy formalnie też nie mają takich uprawnień.
Wątpliwości jest więcej: czy numer IP komputera jest daną osobową? Podobnie z adresem mailowym. Fotografię twarzy można traktować jako dzieło sztuki, ale opatrzona numerem telefonu - może stanowić dane osobowe.
Ryzyko możesz ograniczyć
Na bezpieczeństwo w cyberprzestrzeni uczula się od dawna: phishing, ransomware, tzw. przekręt nigeryjski, oferowane „darmowe pożyczki”, kuszą gratisy, nieautoryzowane przez nikogo akcje promocyjne - chcesz skorzystać, wpisz imię, nazwisko, adres, wiek, zawód. Odbiorca twoje IP już ma i adres mailowy też. Komplet podstawowych danych personalnych to towar, agencje promocyjne kupują w darknecie cale pakiety takich danych. Upublicznione na portalu społecznościowym zdjęcie? Nigdy nie wiadomo kiedy, jak i przez kogo może zostać wykorzystane.
Poza cyberprzestrzenią też czyhają niebezpieczeństwa. Na nieostrożnych, nieświadomych, nazbyt ufnych.
- Pod żadnym pozorem nie wolno przesyłać skanów swoich dokumentów: paszportu, dowodu osobistego - ostrzega Stanisław Rysz. - Także pozostawiać takich dokumentów osobom nieuprawnionym, a wciąż zdarza się, że czynimy z nich zastaw pod wypożyczone narty czy kajak. W najlepszym razie możemy stać się nieświadomym niczego „słupem”, na który oszust weźmie kredyt. Bywa, że strata finansowa to tylko początek. Taka sytuacja skutkuje zepsutą historią kredytową, ofiara może trafić do BIK, o długu może zostać powiadomiony pracodawca ofiary, informacja o kłopotach może dotrzeć do znajomych, trudno wtedy każdemu z osobna tłumaczyć „historię choroby”. Chwila nieostrożności może wywołać lawinę kłopotów.
Nie ma wątpliwości, że pełne bezpieczeństwo danych osobowych w cyberprzestrzeni jest utopią, ale przy odrobinie rozsądku można mocno ograniczyć ryzyko, że nasze prywatne dane staną się naszym problemem.