Kradzież tożsamości: co robić, gdy zostaniemy zaatakowani

Jak się zachować, gdy zobaczymy materiał deepfake wykorzystujący nasz wizerunek? Gdzie szukać pomocy? Oto krótki poradnik opracowany przez Małgorzatę Węgrzynek, prawniczkę w Naczelnej Izbie Lekarskiej.

Poinformuj Naczelną Izbę Lekarską

To może (ale nie musi) być pierwszy krok w walce z naruszeniami wizerunku lekarzy. Treści w mediach społecznościowych dyskredytujące zarówno konkretnego lekarza, jak i całe środowisko można zgłosić do działającego w NIL specjalnego Zespołu ds. Naruszeń w Ochronie Zdrowia. Wystarczy wysłać e-mail z opisem sytuacji na adres naruszenia@nil.org.pl.

Złóż skargę do Urzędu Ochrony Danych Osobowych

W przypadku naruszenia przepisów o ochronie danych osobowych osoba, której dane dotyczą, może złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych. Po przeprowadzeniu postępowania w sprawie prezes Urzędu – jeżeli doszło do naruszenia – w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem.

Każda skarga złożona do prezesa Urzędu musi zawierać: imię i nazwisko oraz adres zamieszkania osoby, której naruszenie dotyczy; wskazanie podmiotu, na który składamy skargę (nazwę/imię i nazwisko oraz adres siedziby/zamieszkania); dokładny opis naruszenia; żądanie – jakich działań oczekujemy od prezesa UODO (np. usunięcia danych, wypełnienia obowiązku informacyjnego, sprostowania danych, ograniczenia przetwarzania danych itd.) i wreszcie własnoręczny podpis.

W tym przypadku głównym problemem może się okazać ustalenie podmiotu rozpowszechniającego fałszywy przekaz. Co prawda, istnieją mechanizmy techniczne i prawne, które służą identyfikacji podmiotów, ale w wielu przypadkach okazują się one nieskuteczne. Skargę można złożyć także drogą elektroniczną: https://epuap.gov.pl/wps/portal/strefa-klienta/katalog-spraw/sprawy-ogolne/ogolne-sprawy-urzedowe-2/pismo-ogolne-do-podmiotu-publicznego-nowe.

Zgłoś naruszenie administratorowi serwisu

Ponieważ ustalenie podmiotu rozpowszechniającego fałszywy przekaz może być problematyczne, ustawodawca przewidział rozwiązania dotyczące możliwości obciążenia odpowiedzialnością cywilną w takich przypadkach podmiotów, które udostępniają konkretne treści w internecie. Odpowiedzialność osób, które, nie będąc autorami, spowodowały umieszczenie danego materiału w internecie, będzie tożsama z odpowiedzialnością autorów.

Jeśli trafimy na reklamę, która jest nieodpowiednia albo narusza zasady, możemy ją zgłosić i żądać usunięcia lub zablokowania. W przypadku ataku polegającego na rozpowszechnianiu fałszywego materiału wideo oraz audio za pośrednictwem mediów społecznościowych zgłoszenie może zostać złożone bezpośrednio do administrowanych stron.

Zasłanianie się niewiedzą przez usługodawcę w wymienionych sytuacjach zostaje wyłączone w momencie otrzymania przez niego urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności. Od momentu otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości serwis ponosi odpowiedzialność za przechowywane dane, chyba że niezwłocznie uniemożliwi do nich dostęp (art. 14 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, Dz.U.2020.344).

Zgłoś incydent do CERT

CERT (Computer Emergency Response Team, czyli Zespół Reagowania na Incydenty Komputerowe) zajmuje się reagowaniem na zdarzenia naruszające bezpieczeństwo informacji. Materiały zawierające zmanipulowane treści lub prowadzące działania niezgodne z prawem (np. podszywające się pod serwisy banków) można zgłaszać na prowadzonej przez CERT Polska stronie www.incydent.cert.pl.

Informacje o próbach wykorzystania deepfake’ów można natomiast wysyłać na adres deepfake@nask.pl, gdzie zajmą się nimi eksperci z Pionu Sztucznej Inteligencji NASK we współpracy z CSIRT NASK, Pionem Ochrony Informacyjnej Cyberprzestrzeni w NASK oraz CSIRT KNF. Co ważne, CERT Polska nie posiada uprawnień organów ścigania.

Powiadom organy ścigania

W przypadku kradzieży tożsamości należy jak najszybciej poinformować odpowiednie służby i dostarczyć im niezbędne informacje oraz dowody (np. nagrania, zrzuty ekranu, tła). Centralne Biuro Zwalczania Cyberprzestępczości (CBZC) jest jednostką organizacyjną Policji odpowiedzialną m.in. za rozpoznawanie i zwalczanie przestępstw popełnionych przy użyciu systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej oraz zapobieganie tym przestępstwom.

Możemy zawiadomić o popełnienia przestępstwa w oparciu o art. 190a § 2 Kodeksu karnego (k.k.). Mówi on o podszywaniu się pod inną osobę w internecie i kradzieży tożsamości. W przepisie określono odrębny czyn zabroniony polegający na przywłaszczeniu tożsamości.

Zachowanie sprawcy polega na podszyciu się pod inną osobę, co należy rozumieć dosłownie jako podanie się fałszywie za kogoś innego i bezprawne przywłaszczenie sobie czyichś danych. Ściganie przestępstwa następuje na wniosek pokrzywdzonego. Oznacza to, iż pokrzywdzony winien osobiście dokonać zgłoszenia o popełnionym przestępstwie. Bez tego ani policja, ani prokuratura nie będzie w stanie podjąć działania.

Sprawca może być pociągnięty do odpowiedzialności za znieważenie, czyli za przestępstwo określone w art. 216 k.k. – w przypadku wykorzystania środków masowego komunikowania zagrożone karą pozbawienia wolności do roku, jak również za przestępstwo z art. 212 k.k. (zniesławienie). Ściganie obu przestępstw odbywa się z oskarżenia prywatnego. A to oznacza, że to sam pokrzywdzony jest zobowiązany do wnoszenia i popierania aktu oskarżenia przed sądem.

Poszukaj pomocy prawnej

W sytuacji, gdy kradzież wizerunku ma charakter poważny lub prowadzi do szkody materialnej, warto skonsultować się z prawnikiem lub specjalistą ds. ochrony danych osobowych w celu podjęcia dalszych kroków.

Małgorzata Węgrzynek