10.04.2018 | 06:56

Anna Wasilewska-Śpioch

RODO tuż za progiem, a polskie urzędy, banki i uczelnie nadal nie nauczyły się używać BCC

Niby każdy wie, że wysyłając maila do kilku odbiorców, może użyć pola UDW, czyli „ukryte do wiadomości” (po ang. BCC – blind carbon copy), ale zdarzają się pomyłki. Gorzej, jeśli zdarzają się przedstawicielom poważnych instytucji.

Pod koniec stycznia pisaliśmy o pewnej polskiej uczelni, która prowadząc badania nad jakością nasienia, ujawniła adresy e-mail kilkudziesięciu ochotników, których wyniki odbiegały od normy. Zgłoszenia dotyczące użycia pola „do” lub „do wiadomości” (DW) zamiast „ukryte do wiadomości” (UDW) otrzymujemy od naszych Czytelników dość regularnie. Dziś pokażemy kilka wartych uwagi przypadków z ostatnich miesięcy.

Przypadek 1. Komisja Nadzoru Finansowego

Być może słyszeliście, że system płatności Homepay trafił ostatnio na listę ostrzeżeń Komisji Nadzoru Finansowego. Zanim do tego doszło, do KNF-u spływały skargi od poszkodowanych. Urząd podziękował tym, którzy wysłali mu zawiadomienie o nieprawidłowościach, poinformował o podjętych działaniach… Niestety zapomniał o skorzystaniu z UDW (inaczej BCC), ujawniając adresy e-mail 25 osób.

Przypadek 2. Ministerstwo Spraw Zagranicznych

„Jak widać na poniższym przykładzie, MSZ jest jeszcze w lesie, jeśli chodzi o przygotowanie do RODO” – napisał jeden z naszych Czytelników, forwardując wiadomość, którą przedstawicielka ministerstwa rozesłała do 357 uczestników zeszłorocznej edycji konkursu na aplikację dyplomatyczno-konsularną. Zaprosiła ich do udziału w kolejnej rekrutacji, umieszczając wszystkie adresy e-mail w polu „do”.

Przypadek 3. Alior Bank

Oprócz wysłania wiadomości w błędny sposób, można także podwoić skalę wpadki, próbując ją odwołać. Tak właśnie zachowała się pracownica Alior Banku. Najpierw wysłała informację o kredycie gotówkowym do 20 osób, którym zdarzyło się wcześniej zaciągnąć pożyczkę.

Gdy zorientowała się, że zapomniała o użyciu BCC, poinformowała odbiorców, że poprzedni e-mail odwołuje, nadal korzystając wyłącznie z pola „do” (to domyślne działanie klienta pocztowego, z którego korzystała).

Przypadek 4. Politechnika Poznańska

Podobne wpadki zdarzają się też na polskich uczelniach. Kilka dni temu jeden z Czytelników podzielił się z nami e-mailem, który do studentów wysłały Koło Naukowe Mechaników i Koło Naukowe Silników Spalinowych działające na Wydziale Maszyn Roboczych i Transportu Politechniki Poznańskiej. W tym przypadku również zapomniano o BCC.

Zastanówmy się teraz, jak można wykorzystać pozyskane w ten sposób adresy e-mail. Ktoś powie, że do rozsyłania spamu – i będzie miał rację. Równie prawdopodobny wydaje się spear phishing, czyli ataki spersonalizowane, zwłaszcza na klientów banków. Kolejna możliwość to wyłudzanie dodatkowych danych w oparciu o już posiadane. Przykładowo uczestnicy konkursu na aplikację dyplomatyczno-konsularną posługują się zwykle adresami e-mail zawierającymi imię i nazwisko danej osoby, co w połączeniu z informacją o rekrutacji daje atakującym spore pole do popisu.

Pora, by przedstawiciele polskiej administracji i banków zaczęli sobie zdawać sprawę z konsekwencji opisanych wyżej, z pozoru niewinnych pomyłek. Pozostaje jeszcze jedna kwestia.

Czy adres e-mail należy do danych osobowych?

Na stronie GIODO (Generalnego Inspektora Ochrony Danych Osobowych) można przeczytać, że „zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. (…) jeżeli elementy treści adresu poczty elektronicznej pozwalają bez nadmiernych kosztów, czasu lub działań na ustalenie na ich podstawie tożsamości danej osoby, można uznać go za daną osobową”.

W praktyce możemy wyróżnić trzy rodzaje adresów e-mail. Adresy typu [email protected] z reguły nie nastręczają trudności przy próbie ustalenia, kto się nimi posługuje (chyba że firma zatrudnia kilku Janów Kowalskich naraz). W przypadku adresów typu [email protected] można kogoś zidentyfikować w powiązaniu z innymi informacjami, np. jako osobę, która wysłała skargę do KNF-u lub zaciągnęła w przeszłości pożyczkę w Alior Banku. Mając do czynienia z adresami typu [email protected], będziemy musieli włożyć sporo wysiłku w ustalenie tożsamości ich właścicieli (chyba że jakiś pseudonim nierozerwalnie wiąże się z konkretną osobą). Jak widać, wiele zależy od kontekstu.

Jednak konsekwencją tego, że adresy e-mail osób fizycznych mogą (choć nie zawsze muszą) być danymi osobowymi, jest to, że podmioty, które je przetwarzają, mają obowiązek należycie o nie dbać. Liczymy na to, że RODO – unijne rozporządzenie dotyczące ochrony danych osobowych, które niebawem wejdzie w życie – przyśpieszy naukę korzystania z BCC przy rozsyłaniu mailingów.

Okiem prawnika

Komentarza na ten temat udzielił nam Artur Bierć – radca prawny z ponad 15-letnim doświadczeniem zdobytym podczas świadczenia obsługi prawnej dla jednego z największych funduszy inwestycyjnych, pasjonat nowych technologii oraz tematyki bezpieczeństwa informacji, który może pochwalić się bogatym doświadczeniem w obszarze wdrażania wymagań prawnych w branży nieruchomości, finansowej, automotive oraz IT.

Komentarz eksperta

W świetle obecnie obowiązujących przepisów działanie pracownika wypełnia dyspozycję art. 51 ust. 1 ustawy o ochronie danych osobowych: „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Podmiotem przestępstwa może być bowiem zarówno administrator danych, jak i inna osoba, która przetwarza dane osobowe na podstawie upoważnienia od administratora danych. W tym przypadku będzie to pracownik.

Ze statystyk dostępnych na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wynika, że za 2017 rok na ponad 2950 skarg GIODO zdecydował się w 45 przypadkach na zawiadomienie prokuratury, która wszczynała w takich przypadkach postępowania przygotowawcze. Część z nich kończyła się warunkowym umorzeniem postępowania. Ponieważ nie ma pełnych statystyk, to wiadomo nam o 9 przypadkach, w których zapadły wyroki skazujące.

Niedługo wchodzi jednak ogólne rozporządzenie o ochronie danych osobowych – RODO (General Data Protection Regulation – GDPR). Rozporządzenie to stanowi całkowitą rewolucję zarówno w systemie ochrony, jak i karania. RODO wymaga, aby organizacje, poruszając się w wyznaczonych prawem granicach, same zdefiniowały posiadane zasoby informacyjne (kategorie danych osobowych), ryzyka związane z ich przetwarzaniem i odpowiednie zabezpieczenia. To przedsiębiorca poprzez odpowiednie procedury, zabezpieczenia i szkolenia pracowników będzie musiał zapewnić, że do takich incydentów nie będzie dochodziło.

A gdyby doszło, to RODO stanowi również zmiany w systemie karania. Po wejściu RODO niezbędna będzie zmiana obowiązującej obecnie ustawy o ochronie danych osobowych, aby uregulować obszary pominięte w regulacji europejskiej oraz te, co do których RODO pozostawia swobodę ich doprecyzowania. Zatem głównymi źródłami informacji na temat grożących sankcji za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych będzie zatem nie tylko RODO, ale również ustawa o ochronie danych osobowych, kodeks cywilny oraz kodeks karny.

Jednak odpowiedzialność karna ma być co do zasady wyjątkiem przewidzianym dla najcięższych naruszeń przepisów i stanowić jedynie uzupełnienie dla odpowiedzialności administracyjnej oraz cywilnej.

W przypadku stwierdzenia naruszeń RODO organ nadzorczy (według projektu ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych) może stosować środki naprawcze oraz administracyjne kary pieniężne. Środki naprawcze będą mogły być nakładane na przedsiębiorców zamiast lub obok innych sankcji, w tym obok administracyjnych kar pieniężnych. W zależności od indywidualnego przypadku i naruszonych zasad wysokość administracyjnej kary pieniężnej może sięgnąć 10.000.000 EUR, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa), lub nawet 20.000.000 EUR, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa).

Nałożenie na przedsiębiorcę ww. administracyjnej kary pieniężnej nie zwalnia go z ewentualnej odpowiedzialności cywilnej wobec osób, których dane dotyczą. Każda osoba, której prawa przysługujące na mocy przepisów o ochronie danych osobowych zostały naruszone, może żądać, zaniechania tego działania, a także może żądać, ażeby ten, kto dopuścił się naruszenia, dopełnił czynności potrzebnych do usunięcia jego skutków. Ponadto każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę.

Perełka na koniec

Na deser chcielibyśmy pokazać przykład najlepiej obrazujący sytuację na rynku. Oto przedstawiciel firmy sprzedającej drukarki pyta potencjalnych klientów „Czy jesteś gotowy na RODO?”, umieszczając wszystkich odbiorców w polu „do”.

W tej sytuacji odpowiedzieć na powyższe pytanie możecie sami.

Powrót

Komentarze

  • 2018.04.10 11:22 Prosty_Ubek

    I co świat się zawalił? Zresztą koniec świata będzie 24 czerwca 2018 roku.

    Odpowiedz
  • 2018.04.10 12:29 M..

    Prawie 3000 skarg i 9 wyroków. 0,3% jak dobrze policzyłem. Dlatego firmy wysyłające spam „z ogólnodostępnych źródeł” są bezkarne.

    Odpowiedz
    • 2018.04.10 13:36 Wujek Pawel

      Od paru dni dostaje polski spam na skrzynke, ktora uzywam tylko do ebaya i payala. Przynajmniej tak sadzilem do dzisiaj. Okazuje sie, ze tego samego maila uzylem/uzywam do GaduGadu, ktore postanowilo sprzedac baze (albo im wyciekla). W jednym z maili jest Xevin jako administrator danych.

      Odpowiedz
  • 2018.04.10 13:04 czesław

    Wydaje mi sie, że pracownica Alior Banku chciala skorzystac z funkcji odwoływania maili dostępnej na serwerze Exchange. To nie jest operacja wysłania maila z „ręki” tylko wybranie opcji w programie. Tak więc nie był to double fail

    Odpowiedz
    • 2018.04.10 17:37 Alfonso

      Triple fail, bo nie ma znaczenia czy robił to „ałtomatyczny system ałtomatycznie genełujący” czy człowiek, sam fakt ujawnienia adresów email wystarczy.

      Odpowiedz
  • 2018.04.10 15:42 Iwona

    w czwartek zaczynaja sie targi ICT w Nadarzynie . ma byc poruszony ten temat wiec mysle ze wszystkiego sie dowiem bo sama zastanawiam sie jak to wszystko teraz bedzie wygladalo

    Odpowiedz
  • 2018.04.10 18:03 Johnny Actualizator

    Hahaha :D Ostatni the best!

    andor.com.pl
    PHP/4.4.7
    „© 2003 ANDOR Autoryzowany Dealer”

    Trudno powiedzieć na co są gotowi. Chyba na koniec świata ;)

    Odpowiedz
  • 2018.04.10 18:05 Krzysztof

    Dane osobowe to dane które jednoznacznie określają daną osobę czy mając jej adres elektroniczny mamy dane osobowe ? Bardzo wątpliwe czy mając czas numer telefonu mam jego dane ? Raczej nie.wielu prawników widzi w tym kasę mam nadzieję że tylko widzą a działania zostawią w spokoju

    Odpowiedz
  • 2018.04.10 22:32 Expert

    P. Krzysztofie bardzo dobra uwaga. Do RODO potrzebna jest nowelizacja ustawy o ochronie danych osobowych. RODO ma wejść za miesiąc i tydzień a o noweli ciiiiiisza. Jak mają wdrażać procedury małe firmy np. Sprzedaż internetowa ? Jak nikt dokładnie nie sprecyzowal przepisów unijnych i w żaden sposób nie są one pokryte ustawa.

    Odpowiedz
  • 2018.04.11 00:04 q3d

    Gdyby za zaniedbania w tym zakresie groziła odpowiedzialność w wysokości 1000 – 3000 zł to bym się przejmował. Ponieważ jednak mowa o milionach to mam to w…

    Odpowiedz
    • 2018.04.11 10:09 IvanBarazniew

      Te miliony to kara maksymalna, równie dobrze może być 1000 – 3000 specjalnie dla ciebie.

      Odpowiedz
  • 2018.04.11 19:27 abc

    A ja myślę, że winne jest też złe oprogramowanie – klienty pocztowe, które już nie przystają do dziesiejszych realiów. Pole BCC powinno stać się polem domyślnym przy wysyłce mejli (może RODO tą zmianę wymusi), a pole „do” – opcjonalne, w ramach kompatybilności, czy właściwie nie wiem w jakim scenariuszu byłoby odpowiednie, może tylko przy wysyłce do jednej osoby/strony komunikacji.

    Ludzie są omylni, mają wiele spraw „na głowie” nie są maszynami, a dobre oprogramowanie powinno ich wyręczać z pamiętania o takich czynnościach. W końcu dzisiaj mówi się coraz więcej o sztucznej inteligencji, a tu wystarczyłby spryt/dobra decyzja programisty.

    Przy okazji widać, że konta na gmailu są bardzo popularne…

    Odpowiedz
    • 2018.04.12 09:54 Tomasz Gąsior

      Jako programista WWW ogólnie jestem przeciwny dopasowywaniu niektórych technologii i oprogramowania do niewiedzy ludzi, szczególnie tego bardziej zaawansowanego jak pakiety biurowe — po prostu ludzie powinni być przeszkoleni z ich obsługi.
      Jednakże w tym przypadku muszę się w pełni zgodzić. Czasy dzisiejsze są inne niż wtedy, gdy poczta e-mail powstawała. Standard przesyłania maili powinien pozostać bez zmian, ale interfejs graficzny (przynajmniej tych przeznaczonych dla ogółu) klientów pocztowych powinien ulec zmianie i ukrywanie adresatów, jeśli jest ich liczba mnoga, powinno być automatyczne. Widoczność pozostałych adresatów dla każdego z nich oddzielnie powinna być niedomyślna i dostępna gdzieś z menu dodatkowych opcji, np. tam gdzie potwierdzenie odbioru czy priorytet.
      Myślę, że w związku z modą na prywatność i zbliżającymi się przepisami, jakiś duży gracz (np. Google bądź MS w Outlooku) zrobi ruch w tę stronę — a wtedy wszyscy pomniejsi (jak Thunderbird i inne) pójdą tą, dość prostą do zaimplementowania, drogą.

      Odpowiedz
      • 2018.04.15 03:54 Czytelniczka

        Należy tworzyć programy przyjazne dla ludzi i zapobiegające TYPOWYM błędom. Użycie CC i To zamiast BCC jest niestety typowym błędem. Programując zawsze tak tworzę interfejsy by takim błędom zapobiec a wprowadzanie danych jak najbardziej przyspieszyć, gdy wymagana jest szybkość. Na końcu przed kluczowymi etapami aplikacja zawsze pyta, czy nie doszło do błędu, a w razie bardzo typowego błędu robi to 2 razy pisząc o skutkach.

        Program i komputer ma pomagać człowiekowi a nie być złem koniecznym.

        PS. Ta grzywka Ci nie pasuje.

        Odpowiedz
      • 2018.06.16 22:36 Misza

        Na dużych a ociężałych graczy przesadnie bym nie liczył. Problem w przypadku użytkowników MS Outlook rozwiązuje udostępniona nieodpłatnie przez firmę FCR Sp. z o.o. wtyczka – zapraszam na stronę https://fcr.net.pl/ochrona-poczty/

        Odpowiedz
  • 2018.04.12 10:40 A.

    RODO jest tworem typowo prawniczym. Nikt normaly nie wdraza tego go..na, a jedynie wdraza mechanizmy ZABEZPIECZAJACE przed skutkami RODO, czyli gigantycznymi karami. Szmal glownym celem. RODO to takze pierwszy krok w budowie stricte europejskiego NSA. O nic innego nie chodzi, choc przyznaje, ze pewne stado baranow swiecie wierzy, ze RODO ma na celu ochrone danych osobowych. Dlatego tez prawnicy klna na potege nie spiac po nocach i jednoczesie sie ciesza, bo takiej rzeki kasy to dawno juz nie widzieli. A informatycy maja to wszystko w d..pie.

    Odpowiedz
  • 2018.04.15 03:25 Czytelniczka

    Myślę, że ten problem należy zgłosić do Mozilli i innych producentów oprogramowania klienckiego, by były odpowiednie komunikaty informujące po przekroczeniu 4 osób w kopii lub polu „Do”. Warto by w oknie dialogowym był link do czego to prowadzi oraz link do przepisów prawnych RODO + jasna informacja, że dojdzie do ujawnienia danych osobowych. Czy ktoś raczy im to zgłosić? w dzisiejszych czasach to błąd.

    Dodatkowo przydałyby się jakieś zabezpieczenia na serwerach, że dopiero trzecia uparta próba wysłania takiej wiadomości skończy się sukcesem.

    Trzecia a nie druga, bo drugi raz często się klika myśląc, że to zwykły błąd.

    Tak więc to wina głównie BRAKU ROZWOJU OPROGRAMOWANIA. Czy ktoś w Thunderbirdzie od kilku lat widział jakąś nowość w wersji bez dodatków?

    Odpowiedz
  • 2018.05.09 13:01 Irka

    Wszyscy straszą ale ja nie mam zadach obaw względem moich pieniędzy. Postawiłam na getin bank a oni wiodą prym w innowacjach więc na pewno sobie super z tym poradzą.

    Odpowiedz
  • 2018.09.09 08:25 Obserwator

    BCC to idiotyzm, do masowego mailingu są listy mailingowe jak mailman i pierdylion programów typu serialmail.

    Jak banki czy KNF chcą spamować, to niech sobie zatrudnią zawodowego spamera…xD

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

RODO tuż za progiem, a polskie urzędy, banki i uczelnie nadal nie nauczyły się używać BCC

Komentarze