19:57
28/6/2018

Firma Phinance zaliczyła potężną wtopę. Zgodnie z RODO, chciała poinformować kilkuset swoich klientów o tym, że zgodnie z ich wolą, przestaje przetwarzać ich dane osobowe i usuwa ich adres e-mail z systemu. Problem w tym, że pracownik Phinance, który miała poinformować tych kilkuset klientów zrobił to jednym wspólnym e-mailem nie używając BCC (UDW), czyli ujawniając adres każdej z “usuwanych” osób wszystkim pozostałym “usuwanym” osobom. Teraz każdy z odbiorców e-maila, musi o usunięcie jego adresu poprosić jeszcze kilkaset osób…

Wpadka Phinance

Jak pisze nasz Czytelnik:

Przed 25 maja dostałem maila od firmy Phinance SA informujący o prawach, przetwarzaniu danych itd. Zgodnie z przysługującym prawem do usunięcia moich danych postanowiłem skorzystać z okazji i 27 maja poprosiłem aby mnie wykasowali. Dostałem maila, że muszę potwierdzić, że ja to ja podając dodatkowe dane i dopiero proces może ruszyć. Podałem imię, nazwisko, datę urodzenia i poszło…

Dziś dostałem maila, że usunęli mnie z bazy i bardzo się ucieszyłem mniejszą ilością spamu …ale w polu “DW” zobaczyłem adresy 193 innych osób.

[D]ostaje teraz dziesiątki maili niezadowolonych osób, komentujących całą sytuację. Z maili można wywnioskować, że część już dawno próbowała aby usunąć ich dane, a jednak dalej dostawały maile od Phinance. Ciekawe czy te dane rzeczywiście zostały usunięte i jak do całej sprawy podejdzie Phinance.

Zabawna to sytuacja, bo przecież skoro Phinance te dane usunęło, to nie powinno teraz móc znów skontaktować się z ofiarami swojego błędu…

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

18 komentarzy

Dodaj komentarz
  1. Dziś dostałem mailing z pewnej firmy IT proponującej audyt RODO wysłany właśnie w ten sposób;) Już się zrobiła grupa dyskusyjna ;)

  2. Tylko, że jeśli Phinance faktycznie usunęła ich emaile to teraz nie ma jak ich poinformować o tym naruszeniu… ani jak ich przeprosić… a w zasadzie każdy opowiadający na ten email na nowo przesyła im te emaile z którymi oni nic zrobić nie mogą – bo usuneli je z bazy a zgody na ich przetwarzanie nie mają… brawa

    • Też tu wyczuwam wyrafinowany trolling :D

    • RODO pozwala na przetwarzanie w prawnie uzasadnionym interesie administratora. W tym do powiadomienia o usuwaniu, albo do trzymania kopii bezpieczeństwa. Jednak w przypadku kopii bezpieczeństwa warto dodać środki chroniące przed przywróceniem danej osoby z tych backupów, bo już prawa do przywrócenia tej osoby de facto nie mamy sami z siebie.

    • Może poinformować na swojej stronie.

    • “prawnie uzasadnionym” – całkowicie niezrozumiałe i niebezpieczne, osoby tworzące rodo to typowi cwaniacy-prawnicy.

  3. Nie mogę tego zrozumieć, dlaczego oprogramowania pocztowe do tej pory nie zabezpiecza przed tego typu wpadką. Drobny błąd ludzki, a dosyć spore zamieszanie zawsze się robi.

    • Dokładnie. Wystarczy prosty komunikat przy próbie dodania do DW więcej jak 2 osób, w stylu:

      “Dodałeś/aś X odbiorców w polu DW. Każdy z nich będzie mógł zobaczyć pozostałych odbiorców. Jeżeli chcesz by odbiorcy nie widzieli się wzajemnie w polu odbiorca, wklej adresy e-mail w polu UDW”

      Tylko i aż tyle…

    • Ja już się tak od paru lat zastanawiam. I nie klienty poczty powinny to ogarniać, a oprogramowanie na serwerze (więcej niż X w polu TO – to przenosimy do BCC…). To aż tak trudne w oprogramowaniu serwera poczty, czy może nikomu nie zależy na ukróceniu tego zjawiska?

    • To taki paradygmat programisty klasy “ja nie potrzebuję tej funkcji, to jej nie dodam”. W tym przypadku “umiem używać CC, a jak mnie ktoś tak potraktuje, to zobaczą co to gniew i furia, będę ewangelizował świat”. Niestety, ale zbyt wielu ludzi, którzy mają zbyt dużo kontaktu z komputerami, zapomina, że w realnym świecie są normalni ludzie, którzy mają prawo (tak, wolno im!) się mylić i oprogramowanie powinno w jakiś sposób ich tak zwyczajnie po ludzku ostrzegać przed potencjalnymi głupotami.

    • Żarty sobie stroicie, prawda? Może jeszcze komunikaty z monitora “czy chcesz zwiększyć jasność podświetlenia powyżej zalecanej?” Niedługo nie będzie można otworzyć drzwi od toalety bez ostrzeżenia “Uważaj, otwierając drzwi od toalety narażasz się na nieprzyjemny zapach, czy na pewno chcesz to zrobić?” a jak ludzie zaczną instynktownie omijać wszystkie komunikaty bez czytania, to jeszcze trzeba dołożyć captcha które będzie trzeba rozwiązać w zadanym czasie… Naprawdę, nie musimy traktować wszystkich jak idiotów tylko po to, żeby 1 osoba w miesiącu nie pomyliła się w CC. Dostanie reprymendę w pracy, to się nauczy.

  4. Jak informować o dokonanym usunięciu danych, gdy już nie mam danych kontaktowych? Można poinformować o rychłym usunięciu, wtedy jeszcze adres mam. A jeśli coś pójdzie nie tak to co?
    Poza tym skoro ktoś chce bym o nim zapomniał to zapominam, nie mówię mu, że od teraz już ciebie nie znam. Bo to jest objaw braku zapomnienia.

  5. Czytałam ten mail. Phinance SA poinformowało również “Państwa adresy email przechowujemy zgodnie z przepisem art 5 ust 2 rozporządzenia Parlamentu Europejskiego i Rady (EU) z dnia 27 kwietnia 2016 [..] Przepis ten określa zasade rozliczalności, która oznacza ciągłą zdolność administratora do udowodnia realizacji obowiązków okreslonych przepisem RODO, w tym realizacji żądań osób, których dane dotyczą.”[..]

  6. > Phinance te dane usunęło
    Ciekawe jak. SMTP puścił, to poleciało w internety, a jak coś poleciało w internety, consider it public. Zasady Internetu proszę państwa ;)

  7. Może i doszło do naruszenia, ale w zeczywistosci jest dość „śmieszne „. Codziennie w Polsce dochodzi do wysłania maili z „odkrytymi” danymi. Zastanawiam się jak bardzo dobra tych osób zostały naruszone i ile ludzie maja czasu :)

  8. Nawet thunderbird ma funkcje ktora przeksztalca do bbc, oni dalej tam pewnie na livemailu siedza. Walkowane sto razy ale zawsze taki agent sie znajdzie….

  9. A jeśli oni nie kasują danych tylko maja liste osób które chciały usunięcia danych. W razie audytu trzeba ukryć te dane. Przy czym chyba nikt nie zrobi takich testów.

  10. Mamy takich sytuacji bardzo dużo, a są wsród nich klienci agencji marketingowych jak i firmy które wysyłają nam zapytania o współpracę.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: