2 lipca 2018

Oto niefart. Ujawnili dane klientów, które mieli „zapomnieć”. I wyjaśnili, że imię i nazwisko „nie pozwalają określić tożsamości”

Jak nie idzie to nie idzie. Naczytałeś się o RODO – że musisz lepiej pilnować danych klientów, respektować ich prawo do bycia zapomnianym, że jak się nie postarasz do grożą ci wysokie kary… A potem wysyłasz jeden e-mail i wszystko szlag trafia. I musisz przekonywać klientów, że ich imię i nazwisko nie pozwala na ustalenie tożsamości

Życie pośrednika finansowego w XXI wieku nie jest łatwe. Kiedyś po prostu się zdobywało dane klientów, obdzwaniało, „upoduktawiało”, potem znowu obdzwaniało, „uproduktawiało” bardziej… A teraz na wszystko trzeba mieć podkładkę: niby masz dane klientów, ale jeśli oni się nie zgodzą, żebyś je miał, to musisz je skasować.

W niektórych firmach pośrednictwa finansowego, które pozyskiwały dane klientów niekoniecznie za ich wiedzą, nadejście dyrektywy RODO, która wprowadziła tę regulację, jest jak trzęsienie ziemi.

Chcąc przystosować się do RODO złamali RODO

Próbując dostosować się do RODO trzeba uważać, żeby przy okazji… nie złamać RODO. Z tym zadaniem bezskutecznie próbowała poradzić sobie firma pośrednictwa finansowego Phinance, która kilka dni temu wysłała do prawie 200 klientów informację, iż zrealizowała ich prawo do bycia zapomnianymi. Kłopot w tym, że wysłała ją otwartym tekstem, ujawniając adresy e-mail wszystkim zainteresowanym.

„Działając w imieniu Phinance z siedzibą w Poznaniu, (…) zgodnie z art. 12 ust 3 rozporządzenia Parlamentu Europejskiego (…) informujemy, że usunęliśmy Twoje dane osobowe przechowywane w Phinance formie tradycyjnej jak i elektronicznej”

– tak brzmiał e-mail. Na jawnej liście adresowej, którą otrzymał razem z treścią mejla każdy z odbiorców, znalazły się adresy poczty elektronicznej wszystkich osób, które – w związku z wejściem dyrektywy RODO – zażądały, by pośrednik finansowy skasował ich dane ze swoich baz papierowych i elektronicznych.

Cóż, takie niedopatrzenie zdarza się najlepszym. Pamiętam, że kiedyś opowiadałem o pomysłowym pracowniku Idea Banku, który wpadł na pomysł integrowania swoich klientów za pomocą promocyjnej lokaty. Osią działań integracyjnych miało być wysłanie propozycji ulokowania pieniędzy w jednym, zintegrowanym e-mailu, skierowanym do wszystkich klientów owego doradcy.

Czytaj też: Urocze. doradca wysyła życzenia i przy okazji… ujawnia dane swoich klientów

Czytaj też: Zgoda marketingowa dobrowolna, ale jednak obowiązkowa. Jeśli jej nie chcesz zatwierdzić, możesz mieć problem

Wysyłka była pozbawiona zbędnych konwenansów, takich jak ukrycie nazwisk oraz nazw firm, dla których była przygotowana oferta. Inny pracownik tego samego banku złożył klientom życzenia wielkanocne również z pominięciem procedury ukrywania adresatów.

Przepraszają i uspokajają: imię i nazwisko nic nikomu nie powie

No, ale wtedy nie było RODO, które nakłada obowiązki chronienia danych, które ludzie powierzają firmom. I nie było wysokich kar za niedopatrzenie obowiązków. W Phinance niedopatrzenie zauważyli, bo – to także zdobycz RODO – poczuli się w obowiązku, by poinformować klientów będących ofiarą tego swoistego „wycieku” o sytuacji.

„W dniu dzisiejszym Phinance wysłała do osób, które zażądały usunięcia danych osobowych, wiadomość email informującą o usunięciu danych. Niestety w wyniku błędu pracownika wiadomość została wysłana w sposób ujawniający dane adresatów wiadomości – adresy email wszystkich osób, do których wiadomość była kierowana omyłkowo wpisane zostały w pole „Do Wiadomości” zamiast „Do Ukrytej Wiadomości. Pragniemy najmocniej przeprosić za zaistniałą sytuację. O zdarzeniu niezwłocznie poinformowany został Inspektor Ochrony Danych Osobowych Phinance oraz Zarząd Phinance”

– tak brzmiał początek „przepraszalnej” informacji. Dalej spółka informuje poszkodowanych, że przepisy wymagają zgłaszania wszelkich przypadków do naruszenia ochrony danych osobowych do prezesa Urzędu Ochrony Danych Osobowych (UODO). I że dane osobowe to „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Natomiast „możliwa do zidentyfikowania osoba fizyczna” to „osoba, którą można bezpośrednio lub pośrednio zidentyfikować”.

Po tym wyłożeniu definicji Phinance klaruje „zdekonspirowanym” klentom, że prezesa UODO należy poinformować każdym o zdarzeniu naruszającym „bezpieczeństwo danych, które pozwalają określić tożsamość osoby, której te dane dotyczą”.

W tym przypadku – przynajmniej biorąc tych klientów, których adresy poczty elektronicznej składają się z imienia i nazwiska – wydaje się, że tożsamość osób na podstawie ujawnionych przez pośrednika danych da się ustalić. A jednak winowajcy napisali do klientów coś, co spowodowało, że część z nich do dziś zbiera zęby z podłogi:

„Pragniemy zauważyć, że imię i nazwisko nie są danymi pozwalającymi określić tożsamości osoby fizycznej. Zaistniałą sytuację Inspektor Ochrony Danych Osobowych Phinance oraz Prezes Zarządu Phinance oceniają jako przypadek poważnego naruszenia bezpieczeństwa, który jednak nie stanowi naruszenia ochrony danych osobowych wymagający zgłoszenia do Prezesa UODO”

Hmmm… Imię i nazwisko nie pozwalają określić tożsamości? Jeśli „zdekonspirowany” jako klient został Jan Kowalski, którego numeru PESEL, ani adresu zamieszania nie znamy, to może rzeczywiście nie da się określić na tej podstawie tożsamości. Ale niektóre nazwiska na liście mailingowej rozesłanej otwartym tekstem do ludzi nie są typowe i dość łatwo ustalić o kogo chodzi.

Czytaj też: Z BIK już nie pobierzesz darmowej tzw. informacji ustawowej. Wszystko przez RODO

Nie przegap nowych tekstów z „Subiektywnie o finansach”zapisz się na newsletter i odbierz zestaw praktycznych poradników, w tym przegląd najlepszych kont bankowych ułatwiających oszczędzanie

Czytaj też: Serwisy i portale chcą żebyś zaakceptował nowy regulamin. Bać się?

RODO jak RODOdendron?

Co prawda prawo mówi, iż jakiejś informacji nie można uznać za „umożliwiającą określenie tożsamości osoby”, jeżeli wymagałoby to nadmiernych kosztów, czasu lub szczególnych działań, ale z drugiej strony sąd administracyjny w Krakowie w 2013 r. orzekł, że „podanie numeru telefonu i adresu poczty internetowej to podanie danych osobowych w rozumieniu ustawy, ponieważ dane pozwalają na szybkie zidentyfikowanie konkretnej osoby”.

Dylemat czy jakiś adres poczty elektronicznej pozwala czy też nie pozwala określić tożsamości osoby wygląda na dość… hmmm… wydumany. Gdyby na liście mailingowej znalazł się adres maciej.samcik@subiektywnieofinansach.pl to też mogliby napisać, że to nie jest dana, która pozwala na identyfikację osoby fizycznej?

W sumie wszystko mi jedno czy zakwalifikowaliby ujawnienie takiego adresu jako „poważne naruszenie bezpieczeństwa” lub jako „naruszenie ochrony danych osobowych wymagający zgłoszenia do prezesa UODO”. Gorzej, gdyby okazało się, że cała ta dyrektywa RODO, oprócz tego, że spowodowała produkcję milionów papierków, oświadczeń, zapewnień i formularzy (prawnicy mają eldorado), nie zmienia ani na jotę praktyki.

A niestety istnieje domniemanie, że nie zmienia. E-mail wysłany omyłkowo na adres „everyone” to błąd, który może się wydarzyć każdemu. Opowieści o tym, że imię i nazwisko nie pozwalają na identyfikację konsumenta to już jest pewna ekstrawagancja. A otrzymanie telefonu od jakiegoś dziwnego sprzedawcy, który nie chce powiedzieć skąd ma numer, czy ma moją zgodę na telemarketing – to już jazda po bandzie. A mam zgłoszenia od czytelników, że takie rzeczy się dzieją. RODO przypomina mi funkcjonalnością jakiś RODOdendron.

Czytaj też: Jak nie dać się okraść z tożsamości? Sposób jest prosty: FairPay, BIK, Ognivo i credit freeze na dokładkę. Taki pakiet

Czytaj też: Bank przez kilka lat publikował fałszywe dane w BIK. Kara? 3000 zł

źródło zdjęcia: Ribkhan/Pixabay

 

6
Dodaj komentarz

avatar
5 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
6 Comment authors
adamokopm.gosiamborus Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Krzysztof A.
Gość
Krzysztof A.

„RODO przypomina mi funkcjonalnością jakiś RODOdendron.” No bez przesady – to nie wina przepisów, ze znajdą się tacy, którzy ich nie przestrzegają w absurdalny sposób… Rozumując w ten sposób możnaby powiedzieć, że żadne przepisy nie mają racji bytu 😉 Co do zestawu danych „imię/nazwisko” rzeczywiście, możnaby argumentować, że to nie jest dana pozwalająca na identyfikację. W momencie kiedy pojawia się adres email cała linia obrony pada, ze względu na to że on MUSI być unikalny – technicznie nie może być inaczej. Ponadto, wtedy imię i nazwisko z tego maila również stają się danymi osobowymi, ze względu na to, że są… Czytaj więcej »

pm.
Gość
pm.

To jest właśnie ciekawe, jak ludzie potrafią narzekać, że RODO za duże obowiązki nakłada, a jednocześnie, że nie chroni. Ludzie, to tylko krok w stronę lepszej ochrony danych. Może będzie nawet lepiej w przyszłości.

mborus
Gość
mborus

Skoro firma Phinance (czy to rozwinięcie”phi” nic się nie stało), moja propozycja jest taka, aby poinformowali o imieniu i nazwisku osoby odpowiedzialnej. Skoro to nie jest dana osobowa to nie ma sprawy, a potencjalnie ustrzeże pracodawców od ludzi wpędzających firmę w kłopoty. Odnoszę wrażenie, ze jest coraz wiecej osób, które nie rozumieją, że skoro ktokolwiek chce usunięcia danych, to dane muszą i mają być usunięte. Niedopuszczalne jest, aby firmy przechowywaly dane bez naszej wiedzy i zgody. Jedyną karą powinno być upublicznienie danych osobowych (w tym PESEL, prywatny adres i numer telefonu oraz numery rejestracyjne samochodów) osób odpowiedzialnych oraz szefostwa takiej… Czytaj więcej »

gosia
Gość

To jest właśnie absurdalne w tych przepisach – stosując się do nich, musimy uważać, żeby ich jednak nie złamać

oko
Gość
oko

Za to mnie firma Nexus Web Media Limited zarzuca taką ilością spamu, że szkoda gadać i nie ma możliwości usunięcia u nich danych.

adam
Gość
adam

Maciej Szewczyk – proszę o ustalenie tożsamości osoby, o której piszę. Bez nadmiernych kosztów, czasu lub szczególnych działań.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Zamknij

Gratulacje! Jesteś zapisany