Nelegálne databázy s osobnými údajmi miliónov Slovákov sa dnes dá kúpiť len za pár desiatok eur. Predaj neprebieha len na darkwebe, ale aj na bežne prístupných a populárnych webových stránkach, kde si ich zakúpili prinajmenšom desiatky ľudí. Typicky napríklad marketingových agentúr alebo pofidérnych obchodníkov.

Zisťovali sme, čo tvorcom a distribútorom databáz hrozí a či sa protizákonného konania dopúšťajú aj kupujúci. Taktiež sme zisťovali, ako presne by mali Slováci, ktorí sa v takejto databáze nájdu, postupovať a či im náleží odškodné.

Odpovedajú odborníci na kybernetickú bezpečnosť zo spoločnosti SAFELab, od ktorých sme chceli vedieť aj to, ako sa pred tvorcami takýchto databáz chrániť a udržiavať svoje osobné údaje mimo dosahu škodlivých aktérov.

Ide o nelegálny a špinavý biznis

Osobné údaje 4 000 000 Slovákov za 39 €, databáza slovenských škôl len za 40 €, databáza viac než 440 000 slovenských firiem za 250 €. Tento typ inzerátov nájdeš na viacerých inzertných portáloch.

Tvorba, distribúcia, predaj alebo použitie takejto databázy sú však v drvivej väčšine prípadov nelegálne. Jakub Berthoty z právneho butiku Dagital Legal pre FonTech.sk povedal, že „na nahrávanie, predaj a celkovo spracúvanie databáz potrebuje mať každý článok v reťazci (teda predávajúci aj kupujúci) právny základ podľa čl. 6 GDPR, ktorý je súhlas, plnenie zmluvy alebo oprávnený záujem.“

„Tie nemajú, takže áno, je to nelegálne podľa môjho názoru. Aj predávať a zrejme aj kupovať a ďalej využívať. Určite by som to našim klientom neodporúčal robiť,“ pokračoval Berthoty.

Predajcovia sa často snažia ochrániť vetou, že kontakty pochádzajú z verejne dostupných zdrojov. „Neexistuje právny základ ‚z verejne dostupných zdrojov‘, to je úplne irelevantné,“ upozornil Berthoty, podľa ktorého ide o veľmi slabú výhovorku. „Je jedno či máte dáta z verejných alebo iných zdrojov, potrebujete mať právny základ podľa čl. 6 GDPR.“

Advokát a odborník na ochranu osobných údajov zároveň povedal, že nevie, či sa na Slovensku trestne stíhalo za takéto konanie, „ale máme na to trestný čin.“

Čo robiť, ak sa v databáze nájdem?

Nie všetky databázy sú platené. Mnohé sú dostupné zadarmo a prístup k nim má každý. Čo teda môžeš robiť, ak sa v takejto databáze nájdeš? Podľa advokáta môžu Slováci „podať podnet alebo návrh na začatie konania voči osobe, ktorá dané dáta nezákonne šíri.“

„Podal by som aj trestné oznámenie, prinútil OČTK konať,“ odporúča Berthoty. To môže výrazne urýchliť celý proces. Ak ale chceš odškodné, musíš zájsť ešte ďalej. „Správne konanie sa môže skončiť len udelením pokuty pre osobu, ktorá nezákonne spracúva osobné údaje.“

„Ak chcú dotknuté osoby odškodné, musia sa obrátiť na súdy, prípadne musia uplatniť nárok v trestnom konaní,“ pokračoval odborník na ochranu osobných údajov. Podľa neho však môže človek pri dožadovaní sa odstupného naraziť na viaceré problémy.

Jaspravim.sk/Screenshot/Pixabay (Úprava redakcie)

Upozorňuje, že je ťažké určiť, kto skutočne dáta na predaj ponúka a zároveň odkiaľ ich má. Tvrdenia, ktoré predajcovia uvádzajú v inzerátoch môžu, no nemusia byť pravdivé. Taktiež platí, že ak je v inzeráte uvedené, že dáta pochádzajú od operátorov, nemusí to automaticky znamenať, že osobné údaje museli nezákonne uniknúť operátorom.

Podľa Berthotyho mohli uniknúť napríklad aj SMS agregátorom, marketingovým call centrám alebo technologickým dodávateľom, ktorí ich mohli získať zákonným spôsobom. „Toto bude ťažké preveriť a v zásade, kým to nevieme, tak je ťažké niekoho žalovať.“

Zároveň advokát upozorňuje, „že správne aj trestné konanie je možné viesť proti neznámemu páchateľovi alebo osobe. Minimálne pre zozbieranie dôkazov do budúcnosti.“

Môžem si takúto databázu kúpiť?

Pri kupcoch databáz je to komplikovanejšie. Nedá sa jednoznačne určiť, či sa dopustili trestného činu alebo porušili zákon. Záleží aj od toho, kto a načo danú databázu kupuje. Inými slovami, aký je účel spracúvania a právny základ.

Jedno je však jasné. Takúto databázu nesmieš použiť v rozpore s GDPR a na jej komerčné využitie potrebuješ súhlas ľudí, ktorí sú v databáze evidovaní. „Ak by účelom bolo marketingové kontaktovanie, mám za to, že by išlo o nezákonné spracúvanie osobných údajov aj zo strany kupujúcich,“ povedal Berthoty.

Jaspravim.sk/Screenshot

V podstate to znamená, že kúpa databázy ako taká nie je nezákonná. S danou databázou však nemôžeš nijak ďalej narábať, využívať ju alebo ju distribuovať – v takom prípade by si sa dopúšťal protizákonného konania. Hrozila by pokuta až do výšky 20 miliónov eur.

Falošné databázy sú tiež nelegálne

Veľkým otáznikom boli zahalené predovšetkým falošné databázy, teda také, ktoré sú vyplnené náhodne generovanými telefónnymi číslami a menami. Podľa odborníkov na kybernetickú bezpečnosť zo spoločnosti SAFELab sa to prakticky nestáva.

„Aj na darknete a trhoviskách s ilegálnym obsahom existuje niečo ako reputácia a ak niekto predá databázu s falošnými údajmi, tak sa na to rýchlo príde a predajca je zablokovaný,“ povedal pre FonTech.sk Peter Daniška.

V prípade, že by niekto predsa len predával falošnú databázu, aj tak si vie narobiť právne problémy. „Okrem roviny spracúvania osobných údajov je tu rovina občiansko a obchodno-právna, kde samozrejme predaj falošnej databázy ma implikácie na zodpovednosť za škodu. Tá je tu však druhoradá pri cene par eur za databázu,“ priblížil Berthoty.

V databáze som našiel svoju firmu, čo teraz?

Ako sme spomenuli, takéto nelegálne databázy sa netýkajú len fyzických osôb. V redakcii sme napríklad našli na predaj jednu databázu, ktorá obsahovala údaje viac než 400 000 slovenských firiem a stála 250 €. Z toho vyplýva, že databázy s firmami sú asi 60-krát cennejšie.

Jaspravim.sk/Screenshot

Berthoty však upozorňuje na fakt, ktorý je ľahké prehliadnuť. „Stále môže ísť o osobné údaje, aj keď sa na prvý pohlaď týkajú právnickej osoby.“ Telefónne číslo môže patriť fyzickej osobe, jej osobné údaje môžu byť aj v pracovnej alebo kontaktnej emailovej adrese. Pri živnostníkoch je to potom jasné.

„Ak sa údaje týkajú živnostníka, ide automaticky o osobne údaje, pretože je jedno, či fyzická osoba je alebo nie je podnikateľ. Na to máme judikatúru ESLP aj GDPR, ktoré žiadne výnimky z definície osobných údajov pre živnostníkov neobsahujú,“ hovorí advokát, podľa ktorého je dôležitá aj ePrivacy smernica. Tá hovorí, že rovnaká ochrana osobných údajov má byť zabezpečená pre fyzické aj právnické osoby v primeranej miere.

„Použitie tejto databázy na marketing je prakticky nemožné urobiť zákonným spôsobom,“ uzavrel Berthoty.

Kde a ako takéto databázy vlastne vznikajú?

Experti na kybernetickú bezpečnosť prevádzkujúci službu SAFELab pre FonTech.sk priblížili, ako najčastejšie takéto databázy vznikajú. Podľa nich ide predovšetkým o 3 hlavné spôsoby.

Jaspravim.sk/Screenshot

Jedným z trojice je Data Breach  (únik dát) a dochádza k nemu ak sa hackerovi podarí nelegálne získať prístup do internej firemnej databázy, alebo firma či zamestnanci nezodpovedne nakladajú s osobnými údajmi zákazníkov – dáta skopírujú a odnesú mimo firmy alebo nahrajú na online úložisko. Prípadne sa nachádza chyba priamo na firemnej webstránke či e-shope pomocou ktorej bolo možné získať interné citlivé dáta.

Využívaný je aj automatizovaný crawling. Ide o aplikáciu alebo robota špeciálne vytvoreného hackerom na to, aby prechádzala a prehľadávala konkrétnu službu, web alebo sociálnu sieť, a zhromažďovala informácie o používateľoch. Dobrým príkladom sú inzertné portály, kde je možné jednoducho získať meno, telefónne číslo a obec inzerenta, veľakrát aj emailovú adresu. V tomto prípade by predávajúci mohol argumentovať, že údaje pochádzajú z verejne dostupných zdrojov. Ako sme ale vysvetlili, je to nezmysel.

Trojicu najpoužívanejších spôsobov uzatvárajú podvodné weby, e-shopy a súťaže. Na internete je ich veľké množstvo a denne pribúdajú nové podvodné webové stránky, ktoré majú len jeden účel – zhromažďovať osobné dáta, ktoré sú následne zneužité alebo predané.

Častokrát je to chyba používateľov

Internet je komplikované a niekedy chaotické miesto. Aj tak na ňom platia isté nepísané pravidlá, ktorými sa všetci musíme riadiť, ak si chceme ochrániť svoje súkromie. Slováci sa ale často dopúšťajú chýb, ktoré spôsobia únik ich dát. „Absolútne najčastejšia chyba je zbytočné zverejňovanie a zdieľanie osobných údajov,“ povedal Daniška.

Jaspravim.sk/Screenshot

Ak sa napríklad používateľ registruje na diskusnom fóre, obsahovej webovej stránke alebo novinovom portály, tak vypĺňa všetky požadované osobné údaje a to aj tie, ktoré daná webová stránka nepotrebuje. „Vždy keď sa používateľ registruje na webovej stránke, mal by vyplniť minimum údajov a len tie naozaj potrebné,“ upozornil Daniška, expert na kybernetickú bezpečnosť.

Kľúčová je prevencia

„Ak sa registrujem spravodajskom portáli, tak postačuje vyplniť len emailovú adresu a nič ďalšie nevypĺňam. Ak to webová stránka po mne požaduje, nie je nič jednoduchšie ako vyplniť vymyslené meno a adresu. Veľa Slovákov si však neuvedomuje aké riziko prináša krádež osobných údajov a bežne zdieľajú aj údaje ako rodné číslo alebo číslo občianskeho preukazu,“ pokračoval.

Dôležité je, aby si každý jeden používateľ internetu uvedomil hodnotu svojich osobných údajov. Pri registrácii alebo zadávaní objednávky na e-shope netreba vypĺňať zbytočne detailné údaje. Informácie ako rodné číslo alebo číslo občianskeho preukazu by po vás na internete nemal nikto požadovať. Jedinú výnimku tvoria štátne služby, no aj tu treba byť opatrný. Môžeš totiž naraziť na falošné webové stránky, ktoré sa ťa snažia podviesť.

„Ak platím dobierkou, nemusím vypĺňať číslo platobnej karty a pod. Dôležité je aj vedieť identifikovať podvodné e-shopy alebo súťaže, ktoré často zbierajú a kradnú osobné a platobné údaje.“

Osobné údaje sa kradnú s cieľom zarobiť

Cieľom je finančný zisk alebo ďalšie zneužitie dát. Hacker, ktorý získa databázu osobných údajov, ju môže jednoducho speňažiť predajom tretím osobám. Veľmi často sa stáva aj to, že získané osobné dáta sú priebežne zneužívané.

„Napríklad podvodná súťaž zbiera e-mailové adresy a osobné údaje, pričom po pár dňoch odošle každému zaregistrovanému používateľovi email s tým, že vyhral 1000 eur. Háčik je v tom, že používateľ musí zadať údaje z platobnej karty, pod zámienkou zaslania výhry priamo na kartu. Je to samozrejme blbosť a miesto výhry príde súťažiaci o svoje peniaze,“ priblížil častú praktiku Daniška.

Jaspravim.sk/Screenshot

Cena takýchto databáz sa pritom nedá generalizovať. Rovnako nie je pravda, že čím väčšia databáza tým drahšia. Podľa experta na kybernetickú bezpečnosť je omnoho dôležitejší obsah. „Môžem mať databázu, ktorá obsahuje informácie o predajcoch na inzertnom portály a obsahuje 100 000 záznamov s menom, emailovou adresou a telefónnym číslom. Na druhej strane môže existovať databáza, ktorá unikne z poisťovne a obsahuje „len“ 5 000 údajov o zákazníkoch s havarijným poistením. V tejto menšej databáze sa nachádza meno, fotografia občianskeho preukazu, telefón, adresa, ŠPZ aj údaje o poistke.“

Inými slovami, menšia databáza obsahuje presnejšie a detailnejšie údaje, u ktorých je v podstate garantovaná správnosť. „Asi nemusím objasňovať, že druhá databáza je podstatne hodnotnejšia aj keď je násobne menšia.“

Ako sa v praxi obchoduje s nelegálnymi databázami?

Aj keď sú niektoré databázy dostupné na „bežnom“ internete, drvivá väčšina sa ponúka a predáva za oponou darkweb, kde podľa Daniška „existujú ilegálne obchody a trhoviská.“ Nie je to však pravidlom. „Na bežnom internete existovalo nelegálne trhovisko RaidForums, ktoré bolo zrušené FBI koncom roka 2022.“

Podľa experta tam bolo možné zakúpiť si databázy podobne, ako fungujú online e-shopy. Išlo vo svojej podstate o akýsi Ebay (nielen) s osobnými údajmi, kde sa dalo úplne bežne platiť napríklad cez PayPal.

Databázy ale časom strácajú hodnotu. Nie je to spôsobené len poklesom aktuálnosti, ale aj zverejňovaním obsiahnutých informácií. „Keď je databáza rozšírená, tak sa stáva, že sa objaví na internete aj zadarmo. Prípadne ak sa hacker rozhodne dáta zverejniť bezplatne, čo sa občas tiež stáva,“ uzavrel Daniška.

Zhrnutie toho najdôležitejšieho

Hackeri osobné údaje zbierajú rôznymi sofistikovanými spôsobmi. Musíš si dávať veľký pozor na to, komu svoje údaje odovzdávaš, ale aj na to, aké údaje danej osobe či službe odovzdávaš. Ak si nemyslíš, že tieto údaje nevyhnutne potrebuje, jednoznačne ich neprezrádzaj.

Tvorba, distribúcia a predovšetkým použitie nelegálnych databáz (také, na ktoré nemáš súhlas evidovaných osôb alebo subjektov) je protizákonné. V niektorých prípadoch hrozia pokuty až do výšky 20 miliónov eur.

Ak sa v nejakej nelegálnej databáze nájdeš, môžeš začať stíhanie a skutočnosť by si mal nahlásiť Úradu na ochranu osobných údajov. Ak sa dožaduješ odškodného, budeš potrebovať dôkazy a informácie o osobe, ktorá databázu zneužila. Ak tieto veci máš, môžeš sa obrátiť na súd, prípadne sa odškodného dožadovať v trestnoprávnom konaní.