Firmy zprostředkující osobní data Osobní údaje v ohrožení

2. 4. 2005

Sdílet

Vzhledem k existenci zlodějů osobních dat, kteří se zaměřují na velké databáze spotřebitelů, jsou vaše osobní údaje nejen na prodej, ale hrozí riziko, že s nimi kdokoli naloží, jak se mu zlíbí.

Znám vaše jméno. Vím, kde bydlíte, a znám místa, kde jste v minulosti bydleli. Vím kdy a kde jste se narodili. Vím, kolik kreditních karet vlastníte - a také vím, jak se vám daří splácet půjčky. A vím všechno o vašich pojistkách, o vaší profesní minulosti a také to, zda máte záznam v trestním rejstříku.

Nebo bych přinejmenším tohle všechno mohl zjistit, stejně jako celou řadu jiných citlivých osobních informací. Vše, co pro to musím udělat, je zaplatit částku přibližně 10 až 50 dolarů kterékoli z nepřeberného množství společností, jež se zabývají zprostředkováním osobních údajů on-line - firem jako Intelius a ZabaSearch nebo větších společností jako Acxiom a ChoicePoint - a do čtvrt hodiny budu o vás mít tolik informací, kolik si budu jenom přát.

Se jménem, adresou a rodným číslem si můžete vzít například půjčku, založit účet ke kreditní kartě, pronajmout byt či páchat trestnou činnost. To vše ale může udělat i ten, kdo vystupuje neoprávněně pod vaším jménem. Pokud dojde k tomu, že činy těchto lidí budou připisovány vám, můžete se dostat do finančních problémů nebo v krajním případě i za mříže. Skutečnost, že vaše osobní údaje jsou snadno dostupné prostřednictvím internetu, jenom umocňuje vaši zranitelnost. Firmy zprostředkující osobní údaje shromažďují neuvěřitelné množství údajů - nejen podrobnosti o úvěrech - z mnoha různých zdrojů, včetně soukromých společností a orgánů státní správy. Následně je prodávají podnikům, orgánům odpovědným za prosazování práva či komukoli jinému, kdo je schopen prokázat nárok, který budou tyto firmy považovat za oprávněný. Zákony, omezující rozsah informací, jež lze prodávat, a okruh osob, které je mohou získat, jsou nedokonalé a příliš úzce zaměřené, a tak si většinou každá ze zprostředkovatelských firem může sama určovat své vlastní normy.

Skutečnost je taková, že ne všechny instituce chrání vaše údaje tak dokonale, jak by mohly. Na začátku roku 2005 napříkad společnost ChoicePoint oznámila, že prodala informace celkem o 145 000 spotřebitelů z celého území Spojených států. Zájemci údajně vystupovali jako běžní zákazníci s legitimními obchodními nároky, ve skutečnosti byli ovšem členy nigerijské skupiny organizovaného zločinu. Společnost ChoicePoint uvedla, že byly zaznamenány pokusy o zneužití osobních údajů přibližně 750 spotřebitelů za účelem trestné činnosti. Společnost LexisNexis se vyjádřila v podobném smyslu, že v průběhu dvou let odhalila celkem 59 případů, kdy osoby bez náležitého oprávnění získaly přístup k osobním údajům celkem o 310 000 občanů Spojených států.

Znepokojivá situace se netýká jen firem zprostředkujících osobní údaje. V době vzniku tohoto článku podle informací uvedených na webové stránce Privacy Rights Clearinghouse (www.privacyrights.org) bylo zaznamenáno od února tohoto roku přibližně 80 případů porušení ochrany osobních údajů, jimiž bylo postiženo více než 50 milionů lidí. Jmenujme nejzávažnější incidenty: společnost CardSystems, zpracovatel kreditních karet, nevědomky předala osobní údaje 40 milionů lidí hackerovi, dceřinná společnost CitiGroup ztratila údaje o 3,9 milionů lidí - došlo k tomu tak, že zmizely záložní pásky, které nebyly chráněny šifrováním a jejichž přepravu zajišťovala společnost United Parcel Service.

Předmětem nejostřejší kritiky se firmy zprostředkující osobní údaje staly zejména v poslední době. "Problém narušení ochrany osobních údajů, který vznikl v případě společnosti ChoicePoint, je mnohem závažnější - protože pokud organizovaný zločin kupuje osobní údaje, můžete si být dokonale jisti tím, že je také využije," říká Garnet Steen, prezident společnosti RelyData (www.relydata.com), která nabízí služby v oblasti vymáhání zcizených osobních údajů. "Tuto situaci nelze srovnávat například s tím, že se do databáze státní univerzity dostal hacker, protože v takovém případě mohlo jít pouze o to, že se pár studentů výpočetní techniky chtělo pobavit."



To nejsem já!

Zcizování osobních údajů nepředstavuje jediný problém společností, které prodávají osobní údaje. Obdobně jako v případě úřadů, poskytujících zprávy o úvěrové způsobilosti klientů, jsou všeobecným problémem nesprávné osobní údaje v datových souborech. "Lze předpokládat, že tyto soubory obsahují určité chyby," uvádí společnost LexisNexis ve svých zásadách ochrany osobních údajů.

Společnosti zprostředkující osobní údaje vám umožňují nahlédnout do některých - nikoli ovšem do všech - podrobných údajů, které o vás vedou. Například společnost ChoicePoint předloží veřejnou evidenci, kterou má k dispozici, a zákonem povolené údaje. Pokud se stala chyba a nějaká firma poskytuje vaše nesprávné osobní údaje, bude nejlépe pokusit se o nápravu přímo u zdroje. To je jistě moudrá rada, musíte být ovšem schopni určit zdroj této evidence a doufat, že se opravené údaje dostanou až ke zprostředkovatelské firmě. Společnost LexisNexis prozrazuje dokonce ještě více - případné příbuzné, jména sousedů a informace o registraci voličů - ovšem za sdělení těchto údajů (které společnost posílá poštou) si účtuje 8 dolarů a dodává je do 45 dnů.

Vzhledem k tomu, že jsem neměl čas čekat na LexisNexis, objednal jsem si zprostředkování základních údajů o sobě samotném od společnosti Intelius.com, která většinu údajů tohoto druhu poskytne komukoli za 50 dolarů. Zjistil jsem, že osoba žijící v Kalifornii, která má stejné jméno a příjmení jako já, byla pravomocně odsouzena ve věci drobné pohledávky. Horším zjištěním je ovšem fakt, že ve zprávě figuruje několik osob odsouzených za těžké zločiny, které mají stejné křestní jméno a příjmení jako já. Údaje nejsou chybné, ovšem dokazovat, že já a tito lidé nejsme totožní, by mohlo být obtížné, musím proto doufat, že ať si už objedná zprávu o osobních údajích kdokoli, bude schopen číst mezi řádky.

Zajímavou okolností je to, že společnost Intelius nabízí zákazníkům i službu sledování osobních údajů. V rámci této služby jsou sledovány v souvislosti s konkrétními jednotlivci úvěry, poplatky za služby, nové telefonní linky, žádosti o změnu adresy a další údaje, a to za poplatek 95 dolarů ročně.



Legislativní opatření

Společnost ChoicePoint uvádí, že ke zcizení osobních údajů většinou nedochází tehdy, když je člověk připojen k síti, nýbrž ve světě off-line komunikace - někdo vám zcizí poštovní zásilku nebo si zkopíruje číslo vaší kreditní karty ze stvrzenky. Zprávy o prolomení bezpečnostních opatření ve světě on-line komunikace ovšem přiměly některé lidi přehodnotit své představy o metodách zlodějů osobních údajů. "Většina lidí neví, jakým konkrétním způsobem byli zlodějem poškozeni," říká Garnet Steen ze společnosti RelyData. "Můžete si ovšem být jistí, že většina případů, u nichž se nikdy nedozvíte, jak k nim došlo, se odehrála přes internet."

Evropská unie před deseti lety uzákonila směrnici o ochraně osobních údajů s dalekosáhlými důsledky. Stanovuje, že osobní údaje se mohou shromažďovat pouze pro určitý konkrétní účel a nelze je uchovávat déle, než je nutné pro naplnění tohoto účelu. Dále požaduje, aby údaje byly přesné a aktuální, rovněž omezuje možnost předávat osobní údaje třetím osobám bez souhlasu osoby, které se tyto údaje týkají. Kromě toho ještě omezuje možnost předávat údaje společnostem v kterékoli zemi, která nedostatečně zajišťuje ochranu osobních údajů - včetně Spojených států.



"NA SVĚTĚ NEPŮSOBÍ pouhé DESÍTKY FIREM ZPROSTŘEDKUJÍCÍCH OSOBNÍ ÚDAJE, JSOU JICH TISÍCE."

Linda Foley, obhájkyně zájmů spotřebitelů z Centra

informačních zdrojů o zcizování osobních údajů (Identity Theft Resource Center)



Další informace dostupné na webových stránkách

Další informace o problému zcizování osobních údajů jsou uvedeny na webové stránce Zcizování osobních údajů (ID Theft) Federální obchodní komise (www.consumer.gov/idtheft).

Přehled zákonů upravujících zmrazování úvěrů lze získat od Svazu spotřebitelů na adrese find.pcworld.com/49624. A seznamte se také s chronologickým přehledem porušování ochrany osobních údajů na webové stránce find.pcworld.com/49625.

Autor článku