7/6/2023
Twisto – firma z branży płatności odroczonych – poinformowała swoich klientów o przekazaniu do innej spółki “danych, które nie powinny być tam wysłane”. Firma poinformowała klientów i UODO, mimo że w podobnych sytuacjach niejeden podmiot sięgnąłby po miotłę i dywan.
Co poszło nie tak?
Czytelnik Żytomir (imię zmienione) poinformował nas, że otrzymał od firmy Twisto powiadomienie o naruszeniu ochrony danych osobowych. Samo naruszenie miało polegać na wysłaniu informacji o umowie Twisto do innej spółki, którą — szczęście w nieszczęściu — było godne zaufania Biuro Informacji Kredytowej, a nie przypadkowy Januszex.
Zdarzenie zostało wykryte przez pracownika Twisto. Firma skontaktowała się z BIK z prośbą usunięcie nieprawidłowo wpisanych informacji. BIK potwierdziło, że zostanie to zrobione w ciągu 2-3 dni. Dokonano zgłoszenia incydentu do UODO oraz – co bardzo ważne – poinformowano o sprawie Żytomira jako osobę, której dane wyciekły.
Twisto w powiadomieniu o naruszeniu zapewnia, że analizuje przyczyny problemu i planuje “ponowne przeszkolenie personelu w tym wdrożenie dodatkowych procedur wewnętrznych”. Nie napisano na czym dokładnie polegał incydent, ale miał to być
“niefortunny zbieg okoliczności, z ułomnością ludzką”.
Incydent nie dotyczył tylko Żytomira, ale “większej grupy klientów”. Powiedziała nam o tym Joanna Kasiedczak, Communications Coordinator w Twisto. Pani Joanna potwierdziła też, że jak dotąd nie zauważono negatywnych skutków incydentu i jej zdaniem są one mało prawdopodobne.
Żeby było weselej, wiemy, że niektóre z ofiar tego incydentu o sprawie dowiedziały się nie z e-maila od Twisto, a z alertu BIK-u, bo miały te alerty włączone, a wysłanie ich danych do BIK przez Twisto spowodowało automatycznie rozesłanie alertu. Mimo to, fakt poinformowania wszystkich ofiar przez Twisto należy uznać za bardzo istotny.
Co Twisto zrobiło dobrze, czyli analiza ryzyka
Ten wyciek prawdopodobnie nie będzie miał negatywnych konsekwencji dla klientów Twisto. Przypomnijmy, że dane trafiły tylko do BIK – firmy powołanej przez banki – i zostaną usunięte. Aż się prosi, aby machnąć ręką, bo nic wielkiego się nie stało. Twisto postąpiło jednak bardzo prawidłowo informując o sprawie UODO oraz swojego klienta.
Dlaczego? Ponieważ konieczność dokonania takich zgłoszeń zależy od ryzyka naruszenia praw i wolności osoby, które nie ma nic wspólnego z faktycznymi negatywnymi konsekwencjami. Te dwie rzeczy często są mylone i dlatego niejedna firma dostała dotkliwą karę za stosunkowo niegroźne, ale jednak ryzykowne naruszenia. Dobrym przykładem może być decyzja UODO w sprawie firmy Esselmann, w której doszło do zgubienia dokumentu z akt pracownika. Firma nie zgłosiła sprawy do UODO bo nic się nie stało, a pracownik rzekomo nie miał pretensji. UODO karą w wysokości blisko 16 tys. złotych postanowił przypomnieć firmie, że ryzyko było duże i nie ma znaczenia, czy ktoś ma pretensję i czy ktoś ucierpiał.
Innym dobrym przykładem będzie decyzja w sprawie Enei. Ta firma postanowiła nie zgłaszać udostępnienia danych nieuprawnionemu odbiorcy gdyż ryzyko oceniła jako niskie. Na jakiej podstawie? Odbiorca oświadczył, że dane zostały trwale zniszczone i nic złego z nimi nie zrobił. To było jednak za mało, aby ocenić ryzyko jako niskie.
Podobnych przykładów znamy więcej, nie tylko z decyzji UODO. Kiedy zgłaszaliśmy wycieki różnym podmiotom, co najmniej kilka razy proponowano nam podpisanie oświadczeń, że usunęliśmy dane i nie wykorzystamy ich w złym celu. Mówiono nam wprost, że te oświadczenia mają służyć temu, aby zakwalifikować ryzyko jako niskie i nie zgłaszać sprawy do UODO. To nigdy nie jest dobry pomysł i nigdy też nie podpisaliśmy takich oświadczeń.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Dlaczego wstawiacie te idiotyczne imiona? Mnie to nie bawi, wręcz zniechęca do czytania.
Żytomir to normalne imię.
Nie bój, na pewno następnym razem będzie Czesław ;)
To nie czytaj kolego ;*
Podobnie, jak moim przedmówcom, Paczesławowi i Szydzimirowi, mnie imię Żytomir się bardzo podoba. Ponieważ username checks out, wnioskuję o to, aby następnym razem dla IP kolegi czeslawa wyskakiwało ono po wejściu na artykuł 1337 razy.
To ja się stałem Żytomirem i nawet się uśmiechnąłem
Dokładni! Chcemy normalnych imion w artykułach!
Następnym razem proponuję użyć piękne słowiańskie imię “Mszczuj”.
A mnie się podoba ;-)
Powiem ze swojej perspektywy… :) sytuacja prawdziwa :)
Ubiegam się o kredyt hipoteczny. Zamykałem wszystkie karty, Twisto miało zostać jako „backup”, no ale chcieli wpisywać limit do BIK wiec tak:
3 maja Twisto wysyła zmianę regulaminu – będą wpisywać do BIK
3 maja wypowiadam umowę, nie zgadzam się na BIK
25 maja podpisuje papiery u doradcy od kredytu hipotecznego
2 czerwca (ostatni dzień naszej relacji z Twisto), rano dostaje alert BIK – nowe zobowiązanie Twisto
2 czerwca, chwile później… bank od hipoteki strzela do biku :-)
No i bum, mail ze analityk bankowy prosi o wyjaśnienie :D
Na szczęście 3 czerwca udało się sprawę wyjaśnić, ale ile nerwów straciłem… :)
Dokładnie moja sytuacja. Machnąłbym ręką, nawet mi do głowy nie przyszło, że to może być sytuacja do zgłoszenia do UODO i pewnie bym to zignorował, gdyby nie ta hipoteka…
Już myślałem, że to ja jestem Żytomir ;) bo też zgłąszałem do redakcji.
Uzupełnię tylko, że mam alerty BIK i od nich nic nie dostałem, tylko informację od Twisto – więc powiadomili chyba wszystkich, na wszelki wypadek.
Pozdrawiam.
Jako osoba zajmująca się tematem zupelnie nie zgadzam się z tezą ze to prawidłowe działanie.
Jeśli tu było niskie ryzyko (a o takiej ocenie piszecie) to zgodnie z art.33 RODO nie miało to być zglaszane do UODO ani tym bardziej nie trzeba powiadamiać osób. Chyba ze pani rzeczniczka nie wie o czym mówi.
Przecież wzbudzanie niepokoju tego typu rzeczami nie ma sensu i takie działanie jest wręcz niezgodne z RODO!
Ogólnie skoro firma jest godna zaufania, a nie januszex jak piszecie, to dlaczego nie wierzyć ze usuną dane skoro tak oświadczyli ?
Nie usunęli danych po 2-3 dniach, jak go wynikało z komunikatu. Mnie na przykład cofnięto kredyt w pko przez wpis do BIK który tam wisiał dwa tygodnie. Na szczęście udało się sprawę wyjaśnić. Po złożeniu reklamacji dostałem info z twisto, napisane w prawniczym żargonie, że oni mają wywalone i żadnych rekompensat nie będzie. Rozwiązałem z nimi umowę.
[…] wykryty, zbadany. Ostatecznie powiadomiono też pracowników. Sytuacja trochę podobna jak kiedyś opisany u nas incydent w Twisto. Firma założyła, że ryzyko istniało i wolała poinformować, że coś ryzykownego mogło się […]