[10.10.2016] Kradzież tożsamości to sprawa bardzo poważna. W Polsce dotąd ataków na duże bazy danych nie było, stąd sprawa intensywnego pobierania danych ze zbioru PESEL przez kancelarie komornicze wzbudziła wielkie emocje i powszechne zainteresowanie
Rejestr PESEL stworzono do gromadzenia podstawowych informacji służących do identyfikacji tożsamości i ustalenia statusu administracyjno-prawnego osoby zamieszkującej teren Polski (obywateli własnych i cudzoziemców). Jest on prowadzony na mocy ustawy o ewidencji ludności.
Z bazy PESEL możemy uzyskać wiele informacji ułatwiających ustalenie tożsamości. Są w niej zawarte dane takie jak: data urodzenia, miejsce urodzenia, numer PESEL (utraty którego tak się obawiamy), kraj miejsca zamieszkania, data wyjazdu poza granice Polski (ze wskazaniem kraju) na dłużej niż sześć miesięcy, a ponieważ w bazie PESEL przechowywane są też dane dotyczące cudzoziemców, jest tam data deklarowanego przez cudzoziemca terminu pobytu.
Magiczne cyferki
Co się kryje za 11 cyframi, z których składa się numer? Z założenia unikatowy numer PESEL ma jednoznacznie identyfikować osobę fizyczną, zawierając zakodowaną datę urodzenia (zapisaną w formacie RR-MM-DD) – kod pozwala na zapis w tym formacie dat od XIX do XXIII w., osoby urodzone w XXI w. w pozycji "miesiąc" mają liczbę zwiększoną o 20 (np. urodzeni 5 października 2001 r. – 013005), kolejne trzy cyfry to liczba porządkowa (001-999), dalej jest płeć (0, 2, 4, 6, 8 – kobieta i 1, 3, 5, 7, 9 – mężczyzna), a ostatnia cyfra jest cyfrą kontrolną pozwalającą na sprawdzenie poprawności numeru i wychwycenie przekłamań. Na marginesie, nie do końca się to udało, dlatego, że algorytm sprawdzający nie wykrywa zamiany sposobu zapisania daty urodzenia z RR-MM-DD na DD-MM-RR – suma kontrolna przy tych zapisach jest identyczna.
Warto też wiedzieć, że numery PESEL mogą mieć błędy, w związku z czym nie można bezkrytycznie założyć, że wynik sprawdzający sumy kontrolnej ostatecznie przesądza o tym, że dany numer istnieje lub nie. Poza tym numer PESEL można zmienić, na przykład przy zmianie płci albo po prostu w wyniku pomyłki urzędnika. Zdarzało się, że w ciągu jednego roku było nawet 2 tys. przypadków nadania tego samego numeru dwóm różnym osobom.
Kto ma dostęp
Dostanie się do danych w bazie PESEL nie jest łatwe i wymaga spełnienia wielu warunków. Jak nas poinformowało Ministerstwo Cyfryzacji, aby zapewnić ochronę zgromadzonych danych, stosowane są mechanizmy kontroli dostępu oraz rejestracji wszelkich operacji na danych. Ponieważ grono podmiotów uprawnionych do korzystania z bazy PESEL jest znaczne, bo liczone w tysiącach, ważne jest, że każdy użytkownik ma dostęp tylko do takiego zakresu funkcjonalności oraz puli danych, jakie są niezbędne do realizacji jego zadań ustawowych.
I tak dostęp do bazy PESEL ma kilkadziesiąt podmiotów, wśród których są m.in.: organy administracji publicznej, Służba Więzienna, Agencja Bezpieczeństwa Wewnętrznego, organy wyborcze i komornicy sądowi.
Obawy o wykorzystanie pobranych danych milionów Polaków w celach przestępczych wymagają jasnej i zdecydowanej reakcji administracji państwa, stąd sprawdzenie przez ABW, po co pobierano w porze nocnej duże pakiety danych jest oczywiste i powinno przynieść jednoznaczne wyjaśnienie przyczyn i mechanizmu zdarzeń, które wywołały ostatni alarm.
Problem na bank
Nie zmienia to stanu rzeczy, w którym sami możemy nieopatrznie sprowadzić sobie na głowę kłopoty. W jaki sposób? Bo numeru PESEL wymagają od klienta operatorzy telekomunikacyjni, banki, ubezpieczyciele, a nawet salony samochodowe, zanim wydadzą kluczyki do przeprowadzenia jazdy próbnej… Do niedawna bez ograniczeń skanowano i kserowano nasze dokumenty, w których ten numer był zapisany (np. dowód osobisty). Znane są przypadki udanych prób wyłudzania kredytu w banku tylko na podstawie podanego przez oszusta numeru PESEL.
O dziwo, konsekwencje tak wyłudzonego kredytu miał ponosić nie bank, ale osoba, do której jest przypisany numer! Pikanterii sprawie dodaje fakt, że banki nie są podmiotem uprawnionym do korzystania z bazy PESEL i nie mają do niej dostępu. Na zadane służbom prasowym kilkunastu największych banków pytanie, czy i jak bank wykorzystuje numer PESEL, nie doczekaliśmy się odpowiedzi, poza suchymi formułkami: "tajemnica handlowa", "nie chcemy ujawniać, jak przetwarzamy dane osobowe" itp. Czy przekona to klientów instytucji finansowych, że ich dane są należycie chronione?
Lech Piesik
Treści dostarcza Gazeta Bankowa