Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

dodał 2 lipca 2018 o 23:55 w kategorii Prawo, Wpadki  z tagami:
Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

Co robić, jeśli przez przypadek ujawni się adresy e-mail 200 klientów, którzy zażądali usunięcia swoich danych? Można incydentu nie zgłaszać, trzeba tylko ogłosić, że wśród ujawnionych danych nie było danych osobowych.

Czasem jest tak, że ktoś wpada w poważne tarapaty. A potem tak bardzo próbuje się z nich sprytnie wydostać, że wpada w jeszcze większe. Mamy dość silne wrażenie, że właśnie z taką sytuacją mamy do czynienia w tej historii.

Houston, mamy problem

Kilka dni temu firma doradztwa finansowego Phinance popełniła dosyć sporą gafę. Sporą nawet na tle wszystkich dotychczasowych RODOwpadek. Najwyraźniej po wejściu RODO niektórzy jej klienci uznali, że skorzystają z okazji i poproszą o usunięcie swoich danych z firmowej bazy. Phinance dane usunęła, po czym poinformowała o tym 194 osoby naraz – wszystkich umieszczając  w polu „Do wiadomości”. Wyglądało to tak:

Jak można problem rozwiązać

Wyobraźcie sobie jednak, że nie była to kulminacja tej afery. Kulminacja nastąpiła bowiem kilka godzin później, kiedy to Prezes Zarządu oraz Inspektor Ochrony Danych postanowili poinformować ofiary wycieku o podejściu firmy do tego incydentu.

Trzeba przyznać, że komunikat zaczyna się bardzo profesjonalnie – od wyjaśnień i przeprosin.

Przede wszystkim pragniemy najmocniej przeprosić za zaistniałą sytuację.

Potem dowiadujemy się, że powiadomione zostały najważniejsze w tej sprawie osoby w firmie oraz że dane (oprócz adresów e-mail) zostały faktycznie usunięte. A potem następuje długie wyjaśnienie, dlaczego firma postanowiła nie zgłaszać incydentu do Prezesa UODO. I tu zaczyna się robić naprawdę ciekawie.

Naruszeniem ochrony danych osobowy zgodnie z RODO jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Dane osobowe do dane informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, natomiast możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W konsekwencji Prezesa UODO należy poinformować o zdarzeniu naruszającym bezpieczeństwo danych które pozwalają określić tożsamości osoby, której te dane dotyczą. Pragniemy zauważyć, że imię i nazwisko nie są danymi pozwalającymi określić tożsamości osoby fizycznej. Zaistniałą sytuację Inspektor Ochrony Danych  Osobowych Phinance S.A. oraz Prezes Zarządu Phinance S.A. oceniają jako przypadek poważnego naruszenia bezpieczeństwa, który jednak nie stanowi naruszenia ochrony danych osobowych wymagający zgłoszenia do Prezesa UODO.

Phinance twierdzi, że imię i nazwisko nie pozwalają określić tożsamości osoby fizycznej. To dość kuriozalne z dwóch powodów. Po pierwsze ujawnione w korespondencji zostały adresy e-mail, a nie imiona i nazwiska – czyli komentarz dotyczy najwyraźniej innego incydentu, a po drugie to zależy od konkretnego przypadku, a tu przypadków mamy 194.

Przyjrzeliśmy się zatem pobieżnie 194 przypadkom adresów e-mail ujawnionym w tym incydencie. Okazuje się, że mamy wśród nich na przykład:

  • dwa adresy w formacie imię@nazwisko.tld, gdzie wejście na stronę nazwisko.tld pozwala jednoznacznie stwierdzić, że strona jest wizytówką zawodową konkretnej osoby fizycznej, której adres e-mail został ujawniony,
  • adres w formacie imię.nazwisko@facebook.com, gdzie wejście na facebook.com/imię.nazwisko pozwala jednoznacznie poznać tożsamość posiadacza adresu,
  • imię@domenastartupu.tld, na którego stronie widać, że tylko jeden z czterech pracowników nosi takie właśnie imię,
  • kilka kolejnych adresów w dość unikatowych domenach, wskazujących jednoznacznie na tożsamość użytkownika,
  • kilkadziesiąt adresów imię.nazwisko@gmail.com, w tym podwójne nazwiska kobiet, które pozwalają na łatwe zidentyfikowanie posiadaczek,
  • także wpisanie w Google części adresów e-mail bez problemu pozwala na zidentyfikowanie ich posiadaczy.

Czy ujawnione przez przypadek adresy e-mail to ” informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”? Naszym zdaniem oczywiście że tak. Bez wątpienia ciekawe w tej sprawie może być stanowisko UODO. Na koniec jeszcze małe podsumowanie wideo.

Dziękujemy Czytelnikowi, który podzielił się z nami otrzymaną korespondencją.