Co robić, jeśli przez przypadek ujawni się adresy e-mail 200 klientów, którzy zażądali usunięcia swoich danych? Można incydentu nie zgłaszać, trzeba tylko ogłosić, że wśród ujawnionych danych nie było danych osobowych.
Czasem jest tak, że ktoś wpada w poważne tarapaty. A potem tak bardzo próbuje się z nich sprytnie wydostać, że wpada w jeszcze większe. Mamy dość silne wrażenie, że właśnie z taką sytuacją mamy do czynienia w tej historii.
Houston, mamy problem
Kilka dni temu firma doradztwa finansowego Phinance popełniła dosyć sporą gafę. Sporą nawet na tle wszystkich dotychczasowych RODOwpadek. Najwyraźniej po wejściu RODO niektórzy jej klienci uznali, że skorzystają z okazji i poproszą o usunięcie swoich danych z firmowej bazy. Phinance dane usunęła, po czym poinformowała o tym 194 osoby naraz – wszystkich umieszczając w polu „Do wiadomości”. Wyglądało to tak:
Jak można problem rozwiązać
Wyobraźcie sobie jednak, że nie była to kulminacja tej afery. Kulminacja nastąpiła bowiem kilka godzin później, kiedy to Prezes Zarządu oraz Inspektor Ochrony Danych postanowili poinformować ofiary wycieku o podejściu firmy do tego incydentu.
Trzeba przyznać, że komunikat zaczyna się bardzo profesjonalnie – od wyjaśnień i przeprosin.
Potem dowiadujemy się, że powiadomione zostały najważniejsze w tej sprawie osoby w firmie oraz że dane (oprócz adresów e-mail) zostały faktycznie usunięte. A potem następuje długie wyjaśnienie, dlaczego firma postanowiła nie zgłaszać incydentu do Prezesa UODO. I tu zaczyna się robić naprawdę ciekawie.
Phinance twierdzi, że imię i nazwisko nie pozwalają określić tożsamości osoby fizycznej. To dość kuriozalne z dwóch powodów. Po pierwsze ujawnione w korespondencji zostały adresy e-mail, a nie imiona i nazwiska – czyli komentarz dotyczy najwyraźniej innego incydentu, a po drugie to zależy od konkretnego przypadku, a tu przypadków mamy 194.
Przyjrzeliśmy się zatem pobieżnie 194 przypadkom adresów e-mail ujawnionym w tym incydencie. Okazuje się, że mamy wśród nich na przykład:
- dwa adresy w formacie imię@nazwisko.tld, gdzie wejście na stronę nazwisko.tld pozwala jednoznacznie stwierdzić, że strona jest wizytówką zawodową konkretnej osoby fizycznej, której adres e-mail został ujawniony,
- adres w formacie imię[email protected], gdzie wejście na facebook.com/imię.nazwisko pozwala jednoznacznie poznać tożsamość posiadacza adresu,
- imię@domenastartupu.tld, na którego stronie widać, że tylko jeden z czterech pracowników nosi takie właśnie imię,
- kilka kolejnych adresów w dość unikatowych domenach, wskazujących jednoznacznie na tożsamość użytkownika,
- kilkadziesiąt adresów imię[email protected], w tym podwójne nazwiska kobiet, które pozwalają na łatwe zidentyfikowanie posiadaczek,
- także wpisanie w Google części adresów e-mail bez problemu pozwala na zidentyfikowanie ich posiadaczy.
Czy ujawnione przez przypadek adresy e-mail to ” informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”? Naszym zdaniem oczywiście że tak. Bez wątpienia ciekawe w tej sprawie może być stanowisko UODO. Na koniec jeszcze małe podsumowanie wideo.
Dziękujemy Czytelnikowi, który podzielił się z nami otrzymaną korespondencją.
Komentarze
Puenta z „Młodych Wilków” na końcu, celna!
No to fajnego mają tam IODO u siebie.
Art. 4 pkt 1 RODO
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak IMIĘ I NAZWISKO, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Imię i nazwisko się pojawia w definicji danych osobowych w RODO.
heh nie popadajmy w skrajnosci. I co sie takiego stalo? Osoby jakos ucierpialy? Ktos je zidentyfikowal? Niech ida do sadu, jak cos stracily.
Nie możesz zidentyfikować kogoś po imieniu i nazwisku, nawet jak powiążesz to z miejscowością, z nielicznymi wyjątkami.
Błagam – nie idźcie tą drogą, pisanie o braku bcc to domena Koniecznego. Jedyny pozytyw to brak akapitu o Waszych szkoleniach.
O to to… Tez uwazam te takie mega afery powinien 'obslugiwac’ niebezpiecznik… Odpowiedni ludzie na odpowiednich stanowiskach :)
Pragnę zauważyć, że sami podają rozwinięcie definicji DO: „w szczególności [..] identyfikator internetowy”. I tutaj niespodzianka: co to jest ten identyfikator? Ano, email.
Kurtyna.
A w ogóle to jest tak, że UODO powiadamia się zawsze, a osoby czasami. Więc jeśli powiadomili osoby, to nie ma bata, uznali to za naruszenie – czyli UODO też powinni powiadomić.
A te pozostałe 190 imion i nazwisk pozwalało zidentyfikować te osoby?
A ja mam takie głupie pytanie.
Skoro po mailu możemy łatwo wyszukać osobę w sieci to nie jest przypadkiem tak że te dane są dostępne publicznie i nie bardzo jest o co toczyć wojnę.
Jeśli Jan Kowalski wrzuca swojego maila na strony i fora i na fb to staje się osobą publiczną i o jakiej ochronie mówimy? Jak wyciekają dane które nie są publiczne to się sprawa komplikuje. Tylko jak określić czy [email protected] to ten czy inny ken skoro nie pochwalił się gdzieś że on to on i nie podał publicznie swojego adresu?
Ktoś może oczywiscie to zrobić ale musi mieć dostęp do jakiejś specyficznej bazy danych wiążącej ten adres z tą osobą i jej adresem albo chociaż peselem. chociaż znowu po peselu wcale tak łatwo nie jest zgadnąć kim jest ta osoba. Czy to jeszcze będzie łatwe czy już skomplikowane nadmiernie?
To, że można po adresie email kogoś wyszukać wcale nie oznacza, że ów email został ujawniony publicznie. Tak np działa Zuckierbuk, możesz wyszukiwać kontakty po numerze telefonu czy adresie email osób, które się na to miej lub bardziej świadomie zgodziły ALE sam numer telefonu czy email nie jest dostępny publicznie.
Idąc Twoim tokiem rozumowania jeśli udostępniłeś swoje zdjęcie profilowe i ktoś je wykorzysta w szmatławcu tracisz prawo do ochrony wizerunku bo jesteś „osobą publiczną”? No chyba nie.
W całej tej sprawie nie chodzi o to JAK można te dane wykorzystać do identyfikacji, a chodzi tylko i aż o to, że w ogóle można!
Oznacza to, że posiadanie np adresu email z takiego głupiego wycieku automatycznie pozwala na ujawnienie danej osoby. Gdyby to była klinika odwykowa każda z tych osób wygrała by jeszcze sowite odszkodowanie. Nawet taki gówniany mail od razu naraża wszystkie te osoby na targetowane ataki związane z branżą firmy, z której dane wyciekły.
Wszystko rozbija sie o szacowanie ryzyka ;-) To czy email jest dana osobowa wynika z kontekstu przetwarzania. Oczywiście mozemy zalozyc, ze email kkozlowski@[korpo].pl nie jest DO, ale w [korpo].pl z duzym prawdopododbienstwem jest tylko jedna osoba o takim identyfiaktorze jak kkozlowski. Dlatego nalezy zakladac, ze mamy do czynienia z DO.
W przypadku DO dostepnych publicznie lub prawie publicznie (przykladowo CEiDG)nie obchodzi nas, ze ktos inny udostepnia te dane – to my mamy wykazac, ze bedac w posiadaniu (przetwarzaniu) robimy to zgodnie z rozporzadzeniem.
PESEL – jest to numer identyfikacyjny wskazujacy (z prawdopododbienstwem niemal 100%) na konkretna osobę – wziete z definicji.
Co do tego czy środki przeznaczone na okreslenie czy zestaw danych wskazuje na konkretna osobe sa wspolmierne lub nie – odpowie Ci referent przeprowadzajacy kontrole ;-) i tutaj znow analiza ryzyka.
Albo specjalnie to zrobili.
Skoro nie checie żebyśmy korzystali z waszych danych to po złości je rozpowszechnimy.
Ciekawi mnie czy oni na pewno skasowali te dane. Da się to jakoś sprawdzić?
Skąd u Was przekonanie że email na gmail pozwala kogokolwiek zidentyfikować? Czy Jan Kowalski nie może mieć konta [email protected]?
Ponieważ konta mailowe nie są weryfikowane to nie ma podstaw by sądzić że imię[email protected] należy do kogokolwiek konkretnego. Nie ma też powodu by uznać że [email protected] to imię i nazwisko a nie dwa losowe ciągi znaków.
Prezes zarządu nie mnoże być IOD – konflikt interesów.
Tłumaczenie głupie i niezgodne z rodo, mail to dane osobowe ALE z niezgloszeniem incydentu do organu się zgadzam i tez bym tak zrobił, poniewaz (art33):
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych
Moim zdaniem wyciek samego maila do ograniczonej liczby osób można zakwalifikować ze że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych
Jeśli ktoś się nie zgadza chętnie poznam kontrargumenty:)
Czy naruszeniem Twoich dóbr byłoby wpisanie Cię na listę adresatów botnetu spamującego bez Twojej wiedzy i zgody?
Podaj mi konkretny przypadek, gdy trafienie twojego adresu e-mail na listy spamerskie spowoduje naruszenie twoich praw i wolności.
Praw i wolności powtarzam – czyli przykładowo: przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych,przetwarzania mogącego poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności lub wszelką inną znaczną szkodą gospodarczą, lub społeczną…
i co z tego, że wyciekły świadomie czy nie świadomie? ABI zrobił analizę ryzyka (clue RODO), z której wyniknęło, że skutek takiego wycieku będzie marginalny dla osób, których wyciek dotyczy, bo cóż takiego może się stać tym osobom z adresów email?
Dotkliwiej to uderza w tym przypadku w wizerunek firmy – ale podejmą lepsze środki techniczne lub organizacyjne, aby sytuacja się nie powtórzyła – znajdzie się budżet na takie rzeczy.
„Bez wątpienia ciekawe w tej sprawie może być stanowisko UODO”
@ napewno zostaną ukarani milionowymi karami…
Niedobrze mi się robi, jak niektórzy podchodzą do kwestii danych osobowych – nie chcecie ujawniać danych osobowych – zmieńcie adresy email. To powinno zostać zrobione w pierwszej kolejności.
Pytanie za 100pkt – czy ja nazywając się Jan.Nowak, a używając emaila [email protected] – jest daną osobową, czy nie? Mamy chronić fikcję literacką?