02.07.2018 | 23:55

Adam Haertle

Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

Co robić, jeśli przez przypadek ujawni się adresy e-mail 200 klientów, którzy zażądali usunięcia swoich danych? Można incydentu nie zgłaszać, trzeba tylko ogłosić, że wśród ujawnionych danych nie było danych osobowych.

Czasem jest tak, że ktoś wpada w poważne tarapaty. A potem tak bardzo próbuje się z nich sprytnie wydostać, że wpada w jeszcze większe. Mamy dość silne wrażenie, że właśnie z taką sytuacją mamy do czynienia w tej historii.

Houston, mamy problem

Kilka dni temu firma doradztwa finansowego Phinance popełniła dosyć sporą gafę. Sporą nawet na tle wszystkich dotychczasowych RODOwpadek. Najwyraźniej po wejściu RODO niektórzy jej klienci uznali, że skorzystają z okazji i poproszą o usunięcie swoich danych z firmowej bazy. Phinance dane usunęła, po czym poinformowała o tym 194 osoby naraz – wszystkich umieszczając  w polu „Do wiadomości”. Wyglądało to tak:

Jak można problem rozwiązać

Wyobraźcie sobie jednak, że nie była to kulminacja tej afery. Kulminacja nastąpiła bowiem kilka godzin później, kiedy to Prezes Zarządu oraz Inspektor Ochrony Danych postanowili poinformować ofiary wycieku o podejściu firmy do tego incydentu.

Trzeba przyznać, że komunikat zaczyna się bardzo profesjonalnie – od wyjaśnień i przeprosin.

Przede wszystkim pragniemy najmocniej przeprosić za zaistniałą sytuację.

Potem dowiadujemy się, że powiadomione zostały najważniejsze w tej sprawie osoby w firmie oraz że dane (oprócz adresów e-mail) zostały faktycznie usunięte. A potem następuje długie wyjaśnienie, dlaczego firma postanowiła nie zgłaszać incydentu do Prezesa UODO. I tu zaczyna się robić naprawdę ciekawie.

Naruszeniem ochrony danych osobowy zgodnie z RODO jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Dane osobowe do dane informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, natomiast możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W konsekwencji Prezesa UODO należy poinformować o zdarzeniu naruszającym bezpieczeństwo danych które pozwalają określić tożsamości osoby, której te dane dotyczą. Pragniemy zauważyć, że imię i nazwisko nie są danymi pozwalającymi określić tożsamości osoby fizycznej. Zaistniałą sytuację Inspektor Ochrony Danych  Osobowych Phinance S.A. oraz Prezes Zarządu Phinance S.A. oceniają jako przypadek poważnego naruszenia bezpieczeństwa, który jednak nie stanowi naruszenia ochrony danych osobowych wymagający zgłoszenia do Prezesa UODO.

Phinance twierdzi, że imię i nazwisko nie pozwalają określić tożsamości osoby fizycznej. To dość kuriozalne z dwóch powodów. Po pierwsze ujawnione w korespondencji zostały adresy e-mail, a nie imiona i nazwiska – czyli komentarz dotyczy najwyraźniej innego incydentu, a po drugie to zależy od konkretnego przypadku, a tu przypadków mamy 194.

Przyjrzeliśmy się zatem pobieżnie 194 przypadkom adresów e-mail ujawnionym w tym incydencie. Okazuje się, że mamy wśród nich na przykład:

  • dwa adresy w formacie imię@nazwisko.tld, gdzie wejście na stronę nazwisko.tld pozwala jednoznacznie stwierdzić, że strona jest wizytówką zawodową konkretnej osoby fizycznej, której adres e-mail został ujawniony,
  • adres w formacie imię[email protected], gdzie wejście na facebook.com/imię.nazwisko pozwala jednoznacznie poznać tożsamość posiadacza adresu,
  • imię@domenastartupu.tld, na którego stronie widać, że tylko jeden z czterech pracowników nosi takie właśnie imię,
  • kilka kolejnych adresów w dość unikatowych domenach, wskazujących jednoznacznie na tożsamość użytkownika,
  • kilkadziesiąt adresów imię[email protected], w tym podwójne nazwiska kobiet, które pozwalają na łatwe zidentyfikowanie posiadaczek,
  • także wpisanie w Google części adresów e-mail bez problemu pozwala na zidentyfikowanie ich posiadaczy.

Czy ujawnione przez przypadek adresy e-mail to ” informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”? Naszym zdaniem oczywiście że tak. Bez wątpienia ciekawe w tej sprawie może być stanowisko UODO. Na koniec jeszcze małe podsumowanie wideo.

Dziękujemy Czytelnikowi, który podzielił się z nami otrzymaną korespondencją.

Powrót

Komentarze

  • 2018.07.03 07:28 Duży Pies

    Puenta z „Młodych Wilków” na końcu, celna!

    Odpowiedz
  • 2018.07.03 07:53 All

    No to fajnego mają tam IODO u siebie.

    Odpowiedz
  • 2018.07.03 08:54 eM

    Art. 4 pkt 1 RODO
    „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak IMIĘ I NAZWISKO, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

    Imię i nazwisko się pojawia w definicji danych osobowych w RODO.

    Odpowiedz
    • 2018.07.03 09:24 kamilp

      heh nie popadajmy w skrajnosci. I co sie takiego stalo? Osoby jakos ucierpialy? Ktos je zidentyfikowal? Niech ida do sadu, jak cos stracily.

      Odpowiedz
    • 2018.07.03 09:53 John Sharkrat

      Nie możesz zidentyfikować kogoś po imieniu i nazwisku, nawet jak powiążesz to z miejscowością, z nielicznymi wyjątkami.

      Odpowiedz
  • 2018.07.03 09:45 Jacek

    Błagam – nie idźcie tą drogą, pisanie o braku bcc to domena Koniecznego. Jedyny pozytyw to brak akapitu o Waszych szkoleniach.

    Odpowiedz
    • 2018.07.05 10:16 Gfd

      O to to… Tez uwazam te takie mega afery powinien 'obslugiwac’ niebezpiecznik… Odpowiedni ludzie na odpowiednich stanowiskach :)

      Odpowiedz
  • 2018.07.03 10:43 Alf/red/

    Pragnę zauważyć, że sami podają rozwinięcie definicji DO: „w szczególności [..] identyfikator internetowy”. I tutaj niespodzianka: co to jest ten identyfikator? Ano, email.

    Kurtyna.

    A w ogóle to jest tak, że UODO powiadamia się zawsze, a osoby czasami. Więc jeśli powiadomili osoby, to nie ma bata, uznali to za naruszenie – czyli UODO też powinni powiadomić.

    Odpowiedz
  • 2018.07.03 11:00 Piotr

    A te pozostałe 190 imion i nazwisk pozwalało zidentyfikować te osoby?

    Odpowiedz
  • 2018.07.03 13:31 Krzysztof Kozłowski

    A ja mam takie głupie pytanie.
    Skoro po mailu możemy łatwo wyszukać osobę w sieci to nie jest przypadkiem tak że te dane są dostępne publicznie i nie bardzo jest o co toczyć wojnę.
    Jeśli Jan Kowalski wrzuca swojego maila na strony i fora i na fb to staje się osobą publiczną i o jakiej ochronie mówimy? Jak wyciekają dane które nie są publiczne to się sprawa komplikuje. Tylko jak określić czy [email protected] to ten czy inny ken skoro nie pochwalił się gdzieś że on to on i nie podał publicznie swojego adresu?
    Ktoś może oczywiscie to zrobić ale musi mieć dostęp do jakiejś specyficznej bazy danych wiążącej ten adres z tą osobą i jej adresem albo chociaż peselem. chociaż znowu po peselu wcale tak łatwo nie jest zgadnąć kim jest ta osoba. Czy to jeszcze będzie łatwe czy już skomplikowane nadmiernie?

    Odpowiedz
    • 2018.07.03 17:47 Zdzisław Dyrma

      To, że można po adresie email kogoś wyszukać wcale nie oznacza, że ów email został ujawniony publicznie. Tak np działa Zuckierbuk, możesz wyszukiwać kontakty po numerze telefonu czy adresie email osób, które się na to miej lub bardziej świadomie zgodziły ALE sam numer telefonu czy email nie jest dostępny publicznie.

      Idąc Twoim tokiem rozumowania jeśli udostępniłeś swoje zdjęcie profilowe i ktoś je wykorzysta w szmatławcu tracisz prawo do ochrony wizerunku bo jesteś „osobą publiczną”? No chyba nie.

      W całej tej sprawie nie chodzi o to JAK można te dane wykorzystać do identyfikacji, a chodzi tylko i aż o to, że w ogóle można!

      Oznacza to, że posiadanie np adresu email z takiego głupiego wycieku automatycznie pozwala na ujawnienie danej osoby. Gdyby to była klinika odwykowa każda z tych osób wygrała by jeszcze sowite odszkodowanie. Nawet taki gówniany mail od razu naraża wszystkie te osoby na targetowane ataki związane z branżą firmy, z której dane wyciekły.

      Odpowiedz
    • 2018.07.04 09:44 manieq

      Wszystko rozbija sie o szacowanie ryzyka ;-) To czy email jest dana osobowa wynika z kontekstu przetwarzania. Oczywiście mozemy zalozyc, ze email kkozlowski@[korpo].pl nie jest DO, ale w [korpo].pl z duzym prawdopododbienstwem jest tylko jedna osoba o takim identyfiaktorze jak kkozlowski. Dlatego nalezy zakladac, ze mamy do czynienia z DO.
      W przypadku DO dostepnych publicznie lub prawie publicznie (przykladowo CEiDG)nie obchodzi nas, ze ktos inny udostepnia te dane – to my mamy wykazac, ze bedac w posiadaniu (przetwarzaniu) robimy to zgodnie z rozporzadzeniem.

      PESEL – jest to numer identyfikacyjny wskazujacy (z prawdopododbienstwem niemal 100%) na konkretna osobę – wziete z definicji.

      Co do tego czy środki przeznaczone na okreslenie czy zestaw danych wskazuje na konkretna osobe sa wspolmierne lub nie – odpowie Ci referent przeprowadzajacy kontrole ;-) i tutaj znow analiza ryzyka.

      Odpowiedz
  • 2018.07.04 10:42 Miki

    Albo specjalnie to zrobili.
    Skoro nie checie żebyśmy korzystali z waszych danych to po złości je rozpowszechnimy.
    Ciekawi mnie czy oni na pewno skasowali te dane. Da się to jakoś sprawdzić?

    Odpowiedz
  • 2018.07.04 15:09 Magda

    Skąd u Was przekonanie że email na gmail pozwala kogokolwiek zidentyfikować? Czy Jan Kowalski nie może mieć konta [email protected]?

    Ponieważ konta mailowe nie są weryfikowane to nie ma podstaw by sądzić że imię[email protected] należy do kogokolwiek konkretnego. Nie ma też powodu by uznać że [email protected] to imię i nazwisko a nie dwa losowe ciągi znaków.

    Odpowiedz
  • 2018.07.04 15:09 Jan

    Prezes zarządu nie mnoże być IOD – konflikt interesów.

    Odpowiedz
  • 2018.07.05 20:31 yoda

    Tłumaczenie głupie i niezgodne z rodo, mail to dane osobowe ALE z niezgloszeniem incydentu do organu się zgadzam i tez bym tak zrobił, poniewaz (art33):

    W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych

    Moim zdaniem wyciek samego maila do ograniczonej liczby osób można zakwalifikować ze że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych
    Jeśli ktoś się nie zgadza chętnie poznam kontrargumenty:)

    Odpowiedz
    • 2018.07.06 09:29 Kili

      Czy naruszeniem Twoich dóbr byłoby wpisanie Cię na listę adresatów botnetu spamującego bez Twojej wiedzy i zgody?

      Odpowiedz
      • 2018.07.06 14:34 Karolina

        Podaj mi konkretny przypadek, gdy trafienie twojego adresu e-mail na listy spamerskie spowoduje naruszenie twoich praw i wolności.
        Praw i wolności powtarzam – czyli przykładowo: przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych,przetwarzania mogącego poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności lub wszelką inną znaczną szkodą gospodarczą, lub społeczną…

        Odpowiedz
  • 2018.07.06 22:56 Prawda

    i co z tego, że wyciekły świadomie czy nie świadomie? ABI zrobił analizę ryzyka (clue RODO), z której wyniknęło, że skutek takiego wycieku będzie marginalny dla osób, których wyciek dotyczy, bo cóż takiego może się stać tym osobom z adresów email?

    Dotkliwiej to uderza w tym przypadku w wizerunek firmy – ale podejmą lepsze środki techniczne lub organizacyjne, aby sytuacja się nie powtórzyła – znajdzie się budżet na takie rzeczy.

    „Bez wątpienia ciekawe w tej sprawie może być stanowisko UODO”
    @ napewno zostaną ukarani milionowymi karami…

    Niedobrze mi się robi, jak niektórzy podchodzą do kwestii danych osobowych – nie chcecie ujawniać danych osobowych – zmieńcie adresy email. To powinno zostać zrobione w pierwszej kolejności.

    Pytanie za 100pkt – czy ja nazywając się Jan.Nowak, a używając emaila [email protected] – jest daną osobową, czy nie? Mamy chronić fikcję literacką?

    Odpowiedz

Zostaw odpowiedź do Piotr

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Imię i nazwisko to nie są dane osobowe – przynajmniej wg Phinance S.A.

Komentarze