14:04
14/8/2018

Co może być gorsze od świadomego swoich praw klientów, którzy powołując się na GDPR proszą o zaprzestanie przetwarzania ich danych i usunięcie informacji na ich temat z systemów firmy? Ujawnienie ich danych w e-mailu do 180 innych osób, które chciały tego samego. Taka właśnie wpadka zdarzyła się pracownikowi Redcoon, czyli internetowej marki Media Markt.

Usunęliśmy Twoje dane! Ups!

Wczoraj jeden z pracowników Redcoon rozesłał klientom e-maila z informacją, że firma zaprzestaje przetwarzania ich danych. Że ich dane usuwa.

Problem w tym, że ta wiadomość została wysłana do 180 osób tak, że każdy kto chciał usunięcia danych z Redcoon, teraz ma dodatkowe zadanie. Poprosić o usunięcie jego danych pozostałe 179 odbiorców wiadomości…

Po kilku chwilach Redcoon próbował wiadomość odwołać (to pokazuje kolejny brak w świadomości pracownika na temat tego jak działa poczta internetowa):

A potem do akcji wkroczył Inspektor Ochrony Danych, który incydent podsumował tak:

Redcoon nie jest pierwszą firmą, która popełniła ten błąd. Wczesniej informowaliśmy o firmie Phinance.

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. Tak dużo mówi się o wprowadzaniu nowych zasad zgodnie z GDPR ale nikt (albo niewielu) tak naprawdę robi coś w temacie. Czy tak trudno producentom, twórcą najpopularniejszych klientów pocztowych wprowadzić zabezpieczenie polegające na rozpoznawaniu np więcej niż 10 adresów mailowych o różnej domenie w polu (TO, CC).

    • Tak. Trudno. Bo to nie na nich spoczywa odpowiedzialność za używanie programu zgodnie z przeznaczeniem. Program zakłada, że używa go osoba potrafiąca go używać, a jak nie, to RTFM a potem niech używa.

    • W Thunderbirdzie używam dodatku Use bcc instead – świetnie działa

    • Lukasz032 popracujesz kilka lat w korpo i ogarniesz, że twój buntowniczy zarzut w kierunku ludzi nie ogarniających maile i rzucanie na lewo i prawo RTFM to tylko pobożne życzenie.Ludzie nie ogarniający podstaw IT byli, są i będą.
      Zupełnie inną sprawą natomiast jest fakt, iż myślisz niekompetencje w danym obszarze działań ze zwykłym ludzkim błędem, który zawsze może się zdarzyć. Prawidłowo zaprojektowany program pomaga zminimalizować skutki ludzkiego błędu. Tylko tyle i aż tyle.

    • “Czy tak trudno producentom, twórcą najpopularniejszych…”

      tja… twórcą i producętą

    • @Jarek
      “This add-on is not compatible with your version of Thunderbird.”
      I tyle w tym temacie.

    • Lukasz032 napisał bardzo dobrze. Przerzucanie odpowiedzialności na producenta w tym przypadku to myślenie “lewackie” i głupie. Firma powinna zatrudniać odpowiednie osoby, odpowiednie je przeszkolić i odpowiednio je wynagradzać. Jeżeli doszło już do błędy z winy pracownika to zminimalizować takie skutki w przyszłości. Pana myślenie i pisanie o “popracujesz trochę w korporacji bla, bla, bla” jest śmieszne:) W pracy należy myśleć!

  2. ale jaja

    a jak usuneli? to czemu korzystali dalej z adresów email do tych ludzi?

    • Może to było coś w stylu “dwa razy obiecać to tak, jakby raz dać” ;-P

    • Bo mail jest czymś zupełnie innym, niż przetwarzaniem w systemie zamówień ;)

  3. To odwoływanie to jest jakaś funkcja Ałtlóka. Być może w ramach jednego serwera Exchange to by nawet zadziałało.

    • W firmie mamy O365 i zdarzały się odwołane wiadomości, ale poza funkcją informacyjną dla użytkowników i skasowaniem eventu utworzonego w kalendarzu, nic to nie robi.

      Z drugiej strony to było odwołanie po kilku godzinach, być może odwołanie przed odebraniem by zadziałało

    • Potwierdzam – funkcja “odwoływania” związana jest z obsługą zadań, terminów i spotkań. W typowym korpo funkcja bardzo przydatna ;)

    • to dziala jesli masz wlaczonego outlooka.

      jesli odbierasz poczte po imap to nie.

    • Również IBM Notes (Lotus Notes – ciekawe czy ktoś to zna oprócz mnie?) ma możliwość odwoływania wiadomości mailowych.

    • Odwołanie wiadomości w Outlook działa w ramach jednego serwera exchange. Jak masz pocztę skonfigurowaną na pop3/imap, to zapomnij…

    • Odwołanie działa w OUTLOOK i we własnycm serwerze Exchange jak pójdzie w świat to juz nić raczej nie zrobisz. U mni eodwołuje tez wiadomości, ale również umożliwia podmienienie wiadomości, jednak pod warunkiem ze osoba do ktorej się wysyła nie przeczytała wiadomości.

  4. Jestem na liście… Zawiadomiłem Urząd Ochrony Danych Osobowych – zobaczymy, co odpiszą.

    • Oooo, to ciekawe, poinformuj o dalszym rozwoju sprawy :)

    • Jak to co? Poproszą o kasę na konto bo inaczej nie zainteresują się tematem. Chyba, że ostatnio coś się poprawiło?

    • Uwaga, odpowiadam: Postraszą, czyli niewiele.

  5. xD

  6. Nie, “nie przydarzyla sie”, to kolejna firma ktora daje po prostu ciala, bo osoby na stanowiskach kierowniczych to bezmozgi. Najtanszy sposob to po prostu kontrola maili wychodzacych.

    Najbardziej debilne klienty poczty maja filtry spamow, zalacznikow, 10-letni KMail, ktorego uzywam ma konfiguracje filtrow, a firma nie potrafi tego u siebie wdrozyc, zenada.

    • KMail trzeba skonfigurować a OWA Microsoftowe można kupić w paczce dla opornych.

  7. Ameliniowe czapeczki wlóż (^_^) :
    A co jesli bylo to celowe dzialanie zeby zniechecic ewentualnych RODO-wiczow? :p
    Chociaz typ dzialalnosci przemawia tu troche na ich obrone.

    Ps.Bardziej na powaznie: Czy to przypadkiem nie swiadczy o tym ze nie dopelnili w tym przypadku i juz nigdy (no chyba, ze maja jakis sposob usuniecia danych z komputerow tych 180 osob) nie beda w stanie dopelnic swoich obowiazkow RODO?

    • Jest sposób ;-) Kiedyś to się nazywało “nieznani sprawcy”, teraz “seryjny samobójca”. Jak kurier przyjedzie z niezamówioną paczką i będzie prosił odbiorcę o wejście na pakę, bo go w krzyżu łamie, to wiedz, że coś się dzieje ;-) To tyle, jeśli chodzi o paranoję.

    • Osoby, które dostały maila, nie przetwarzają danych osobowych “w związku z wykonywaną działalnością gospodarczą”, więc nie podpadają pod rodo. Tak samo, jak nie podpada nikt mający najzwyczajniej w świecie książkę adresową w telefonie.

    • Przecież Redcoon usunie ze swojej bazy dane, więc zrealizuje obowiązek, a to że wysłał maile do wszystkich osób, no sorry, jakie tam są dane oprócz adresu email. Co ci da informacja o mailu: jankowalski@wp.pl? Który to Jan Kowalski z setki tysięcy J. Kowalskich zrobił zakupy w Redcoonie? Śmiem twierdzić, że w większości przypadków nawet ten adres email stworzony z imienia i nazwiska nie jest daną osobową, bo nie powiążesz go z konkretną osobą. Oczywiście jak byś się uparł, to może znajdziesz po miesiącach ustalania i szukania, który to Kowalski był, ale w starej ustawie o ochronie danych osobowych było jasne napisane, że dana może nie być daną osobową jeśli potrzeba dużo czasu i wysiłku, aby powiązać dane z osobą.
      Większy problem jest, jak ktoś kupował z adresu email firmowego, urzędowego, gdzie jest jankowalski@]p[nazwa firmy,nazwa urzędu].pl, wtedy identyfikacja i powiązanie maila z osobą jest łatwiejsze.
      A może idźmy w kolejny absurd w związku z Rodo? Te 180 osób otrzymało dane od Redcoon, czyli od osoby trzeciej, więc te 180 przetwarza dane, bo przechowywanie to już przetwarzanie danych i te180 osó powinno powiadomić każdego z listy na wzajem na bazie art. 14 RODO o administratorze danych i przechowywaniu danych uzyskanych od strony trzeciej, czyli od Redcoon :).

    • Osoba niebędąca przedsiębiorcą (nieprzetwarzająca danych w związku z działalnością gospodarczą) nie podpada pod rodo. Byłby to idiotyzm na skalę “rodowania” książek telefonicznych w prywatnych telefonach.
      A co do maili służbowych – takie maile także nie podpadają, bo rodo mówi o osobach fizycznych, a adres służbowy należy do firmy.

  8. Wszystko to Media Markt… Kupowałem u nich telefon, wysłali zły model który w ich katalogu kosztuje mniejsze pieniądze. Na infolinii wcisnęli kit, że taki chciałem. Oddałem go, dostałem zwrot i kupiłem u konkurencji. Jak widać, firma ma ze wszystkim problem, nie tylko z poufnością…

  9. Chcę usunąć swoje konto w tej firmie . Po moich interwencjach łaskawie odpowiedziano mi ze mają na to 30 dni czyli pouczono mnie o własnych prawach, moje prawa nie są ważne.

    • No to o co ci chodzi? Minęło 30 dni? Jak nie minęło i faktycznie mają na to 30 dni to jakie konkretnie twoje prawa nie są ważne?

    • Powołaj się na art. 17 GDPR i zażądaj NIEZWŁOCZNEGO usunięcia danych osobowych

  10. Jestem na tej liście również. Mógłby ktoś podpowiedzieć co można z tym zrobić?

    • Protokół pocztowy nie przewiduje odwrotu. Wiadomość poszła i tyle, nic nie zrobisz ani nic nie trzeba z tym zrobić. Ot teraz pozostali adresaci mogą do ciebie napisać maila i będą mieli do tego pełne prawo (jak każda inna osoba zresztą), jeżeli będzie to mail prywatny (tzn. nie reklama firmy ani inny spam). Bez zgody posiadacza nie można tylko przetwarzać maila w związku z działalnością gospodarczą, czyli rozsyłać np. reklam albo ofert.

  11. Jakiś czas temu podobną wpadkę zaliczyła firma pakaya.pl PAKAYA Sp. z o.o. ul. Rejtana 17 lok. 33, 02-516 Warszawa, Która chcąc poinformować o tym że teraz jest rodo i że oni bezpiecznie przetwarzają dane osobowe, no i zamiast wysłać w UDW to wysłali do wszystkich. Teraz firma jakby umarła, tel nie odbierają, na maile nie odpisują. Aha zajmują się organizowaniem akcji i promocji dla DELL…

  12. Niebezpieczniku: odwoływanie działa- jeśli wiadomość nie została odczytana, a adresat korzysta z konta na exchange.

    https://support.office.com/pl-pl/article/odwo%C5%82ywanie-lub-zamienianie-wiadomo%C5%9Bci-po-jej-wys%C5%82aniu-35027f88-d655-4554-b4f8-6c0729a723a0

    • Doskonale wiemy jak działa odwoływanie i dlaczego w tym przypadku nie ma sensu :)

    • Ja tylko dorzucę, że po prostu MS w ten sposób starał się “rozszerzyć” protokoły poczty elektronicznej, wprowadzając “de-facto-standard”. Fakt faktem jest to (chyba nadal?) unikat (wciąż MS ma na to patent), jednak gdyby się upowszechnił, to mielibyśmy po prostu kolejny przypadek zastosowania znanej strategii “embrace, extend and extinguish” ;)

  13. Ciekawe ile rat 0% dostaną poszkodowani :)

    Kiedyś Ci co dodają skrzydeł zrobili mi podobny fail z CC ale zrewanżowali się kilkoma zgrzewkami napoju.

  14. No to się pracownik nie popisał. Z drugiej strony taka wpadka może przydarzyć się każdemu. Ja kiedyś otrzymałem przez pomyłkę maila z listą wynagrodzeń pracowników zewnętrznej firmy. Outlook przy wpisywaniu adresu podpowiedział mój adres zamiast właściwego, nadawca kliknął wyślij i poleciało.

  15. Redcoon wysyła SMS po 23, to jest dramat, a nie tam jakieś adresy. Po 23 to do bliskich znajomych nie wysyłam.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.