9:58
30/12/2020

Tę karę od UODO dostało towarzystwo ubezpieczeniowe. Na pierwszy rzut oka wygląda na bardzo surową, ale istotne były pełne okoliczności sprawy, a zwłaszcza błędna według UODO ocena wagi incydentu. Ta kara jest ciekawa z jeszcze jednego powodu. Codziennie setki osób dostają od różnych firm pisma, formularze i dane innych klientów. Bo ktoś (zazwyczaj ten klient, którego dane otrzymuje przypadkowa osoba) pomylił się w adresie e-mail.

Mail trafił nie tam gdzie trzeba

Kolejna kara “za RODO” wynosi dokładnie 85588 zł i dostało ją Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Okoliczności sprawy na pierwszy rzut oka nie były skomplikowane. Polisa ubezpieczeniowa została wysłana przez agenta pocztą elektroniczną do niewłaściwego adresata. W wyniku tego osoba nieuprawniona otrzymała dane innych osób dotyczące imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy ubezpieczenia.

Istotne w tej sprawie były następujące okoliczności:

  1. zgłoszenie trafiło do UODO ze strony adresata korespondencji, a nie ze strony towarzystwa ubezpieczeniowego;
  2. klient sam podał błędny adres poczty elektronicznej i to było przyczyną incydentu.

To był błąd klienta. Czy to bez znaczenia?

Skoro to klient zrobił błąd, to czy można coś zarzucić firmie ubezpieczeniowej? W ten sposób przecież każdy klient, mógłby celowo i złośliwie grać “na karę” dla firmy której nie lubi. Po prostu celowo podaje złe dane (np. kolegi) a potem czeka aż kolega zgłosi sprawę do UODO. Tu trzeba wyjaśnić, że przyczyna naruszenia nie zmienia faktu jego zaistnienia. Dane trafiły do osoby nieuprawnionej więc zgodnie z przepisami było naruszenie. To nie podlega dyskusji.

Na stwierdzeniu naruszenia nie można jednak skończyć. Po incydencie należy ocenić, czy miał on wpływ na prawa i wolności osoby, której dane dotyczyły. To z kolei wpływa na ewentualne powiadomienie o sprawie UODO (jeśli ryzyko dla osoby fizycznej nie było znikome) oraz na konieczność powiadomienia osoby, której dane dotyczą (jeśli ryzyko było duże).

Spółka przyjęła brak wysokiego prawdopodobieństwa negatywnych skutków ponieważ… skierowała do nieuprawnionego odbiorcy prośbę o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie. Warta założyła też, że skoro nieuprawniony odbiorca sam zwrócił się do niej z zawiadomieniem o zdarzeniu to był świadomy wagi sprawy i raczej nie powinien zrobić nic złego.

UODO natomiast pochylił się nad tym, czy nieuprawnionemu odbiorcy można ufać?

Czy to był “zaufany odbiorca”?

UODO sam w decyzji przyznał, że ryzyko związane z takim zdarzeniem może być różnicowane na podstawie uznania odbiorcy za “zaufanego”. Mówią o tym wytyczne Grupy Roboczej Art. 29. Tylko, że według wytycznych bycie odbiorcą zaufanym może oznaczać, że np. ten odbiorca jest innym działem danej organizacji albo np. dostawcą, z którego usług administrator stale korzysta. Taki “zaufany” odbiorca to ktoś, kogo historie i procedury administrator w jakimś stopniu zna. W tym przypadku wg UODO odbiorca “zaufany” nie był. Można więc zażartować, że jeśli nie wiemy kim jest odbiorca, domyślnie powinniśmy wyobrażać go sobie jako człowieka w kominiarce.

Pamiętaj! Tak może wyglądać każdy odbiorca źle adresowanego maila

Mówiąc całkiem poważnie, według UODO w tym przypadku nie było mowy o “zaufanym” odbiorcy i spółka powinna się zachować w taki sposób, jak zawsze gdy dojdzie do ujawnienia osobie nieuprawnionej takiego katalogu danych (nazwiska, PESEL-e, pojazdy itd.). Ryzyko powinno być ocenione jako duże, sprawa powinna być zgłoszona do UODO i powinna być zgłoszona osobie, której dane dotyczyły. UODO zaś dowiedział się o sprawie od nieuprawnionego adresata (ups!), a zgłoszenie sprawy osobom, których dane dotyczyły, nastąpiło dopiero po uruchomieniu postępowania administracyjnego (drugie ups!). Dlatego Urząd uznał, że zastosuje karę, licząc też pewnie na to, aby wysłać sygnał do innych firm, z których — patrząc po mailach jakie spływają na redakcyjną skrzynkę — codziennie spotyka się z takimi samymi sytuacjami. Powodem nałożenia kary oficjalnie jest niespełnienie obowiązków związanych z poinformowaniem o incydencie UODO oraz osoby, której dane dotyczyły.

Jeśli interesują was szczegóły, zajrzyjcie do decyzji UODO – DKN.5131.5.2020

Wpływ na inne firmy

Tę karę zapłaci Warta, ale wielu administratorów danych może z niej wyciągnąć bardzo cenną lekcję. Lepiej zgłaszać WSZYSTKO. W przywołanej wyżej decyzji UODO przypomniał wytyczne Grupy Roboczej Art. 29, w których stwierdzono, że

“w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”

Dane z UODO pokazują, że zwykle pierwszą rzeczą jaką robią administratorzy jest próba wytłumaczenia sobie, że wyciek nie był taki straszny. Czasami wymówki są mocno naciągane. W naszej redakcyjnej praktyce spotkaliśmy się z ciekawym przypadkiem z takiej kategorii.

Pewien szpital miał kiepskie pseudo-zabezpieczenie danych. Z logów serwera wynikało, że dostęp do danych uzyskały dwie osoby – ktoś, kto nas o tym powiadomił oraz ktoś inny (prawdopodobnie redaktor Niebezpiecznika, ale to nie było pewne). Szpital dowiedział się o incydencie od nas. W związku z tym dostaliśmy od szpitala żądanie przedstawienia oświadczenia o tym, że to my byliśmy “tą drugą osobą” oraz że to co zrobiliśmy może być uznane za niezamówiony test bezpieczeństwa. To było kuriozalne. Oświadczenia nie przekazaliśmy i poradziliśmy szpitalowi, aby nie brał przy ocenie ryzyka, że to my zaglądaliśmy do danych (a czy to byliśmy my…. któż to wie?).

Podobny był przypadek Freshmaila, który także zakładał, że to my uzyskaliśmy dostęp do danych, więc nie było tak źle. Trzeba jednak przyznać, że Freshmail powiadomił o sprawie UODO.

Korci nas również, by przypomnieć sprawę firmy OCHNIK, która niby powiadomiła o wycieku, ale tak jakby nie. Firma ta próbowała również zobowiązywać klientów do zachowania w tajemnicy informacji o wycieku, co nigdy nie jest dobrym pomysłem.

Na koniec, drodzy administratorzy danych osobowych, dajcie znać w komentarzach (anonimowo) ile kar byście dostali, gdyby UODO dowiedziało się o tym, ilu naruszeń nie zgłosiliście. I zapamiętajcie: wygląda na to, że lepiej zgłaszać więcej niż mniej.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

148 komentarzy

Dodaj komentarz
  1. Ale czy można mówić o ujawnieniu danych osobie nieuprawnionej skoro klient wskazał tego adresata jako uprawnionego do odebrania swojej polisy?..
    Idąc tym tokiem rozumowania to każdy zarządzający danymi teleadresowymi powinien weryfikować ich poprawność (wraz z poświadczeniem od klienta, że ten zgadza się na wykorzystanie ich do przesyłu danych wrażliwych) przed wykorzystaniem ich do korespondencji jakiejkolwiek…

    Pytanie które nasuwa się samo – jeśli ktoś poda zły adres mieszkania to też firma wysyłająca list zalicza wyciek? A może listonosz, który wie, że tam dana osoba nie mieszka? A co jeśli listonosz postanowi doręczyć do wskazanego odbiorcy a nie na podany adres?..

    • Piękny przykład braku umiejętności czytania ze zrozumieniem. Wyjaśniam: to nie za wysłanie na zły adres była kara. Kara była za to, że jak już się dowiedzieli, że wysłali na zły adres, to zaczęli tworzyć naciągane, niezgodne z RODO założenia, że nic takiego się nie stało. Jakby wysłali na ten zły adres, a następnie po dowiedzeniu się o wycieku poinformowali kogo trzeba (UODO, osoby poszkodowane), to kary by nie było.

    • Przeciez oni nie wyslali na zly adres, po prostu klient *zmienił zdanie* (odnosnie tego jaki ma adres) po fakcie nie mowiac o tym ze raczej nikogo o tym nie poinformowal zanim przypadkowy adresat zrobil g*burze. Jak generalnie jestem pro-RODO, to ten wyrok to granda i deb*zm…
      Chociazby dlatego, ze jak ktos bystry od razy zauwazy, w sugerowanej alternatywie nikt nie weryfikuje weryfikacji (a nawet jesli to przeciez pozostaje weryfikacja weryfikacji weryfikacji oraz czesto pomijana weryfikacja weryfikacji weryfikacji weryfikacji)…

      Czy ubezpieczyciel powinien jakos sprawdzac te adresy? Jasne, to bardzo dobra praktyka. Jeden czy drugi pan ździsio uniknie oparzenia goraca kawą – a co dobre dla klientow jest dobre dla tych ktorzy sciagaja z nich pieniadze.
      Natomiast, czy powinien dostac kare za to ze tego nie zrobil? Nie.
      Dokladnie tak jak to zawsze mialo miejsce przy podawaniu danych…

    • A jaki problem był ze zweryfikowaniem podanego e-mial zanim rozpoczęto wysyłkę poufnych informacji? Każde forum internetowe tak robi, a Google wysyła tam kod 2FA.

    • 1. Nie mają obowiazku sprawdzać, czy adres klienta który podał jest prawidłowy, bo w momencie gdy go podaje adres jest adresem zaufanym przez klienta, klient pewnie nawet podpis składa na dole formularza

      2. W momencie gdy dostają info, że dane dostał podmiot nieuprawniony, status adresu e-mail zmienia się w niezaufany, co nakłada na administratora danych osobowych obowiązek poinformowania podmiot tych danych jak i UODO.

      Punkt 2 nie został spełniony – kara. Nie wiem jak można tego nie rozumieć. Ja codziennie mam styczność z danymi osobowymi, a także medycznymi danymi osobowymi. Wiesz co robię jak klient mi wyśle dane niezabezpieczonym mailem (adresat tylko ja)? Wysyłam info o tym do klienta i do osoby od ochrony danych z mojej firmy. Czemu? Bo to dane osobowe i w ich przypadku się dmucha na zimne.

    • @Observer,
      Problemem jest to co sie rozumie przez “zweryfikowanie”. Dla jednego adres email jest dobrze zweryfikowany jesli po porownaniu z informacja od klienta tu i tu mamy to samo.
      A komus innemu nie wystarczy nawet kolonoskopia… Mozna wyslac jakas wiadomosc i sie upewnic – ale to jest tylko dobra praktyka, poniewaz przestepca przeciez tez odpowie ze to wlasciwy adresat, mozna weryfikowac telefonem ale ten tez moze nie byc poprawny, a potem wychodza absurdy typu osobiste stawiennictwo, A NAWET ku* to da sie ominac czyms tak glupim jak “dowod kolekcjonerski”.
      Obostrzenia maja tylko sens do pewnego poziomu – a ta sprawa to typowy przyklad paranoi ktora jest wstawianie *drzwi projektowanych pod bunkry* (superrestrykcyjne wymagania bezpieczenstwa) do budynku ktorego *sciany sa z dykty* (panstwo polskie wysylajace te same dane w plaintexcie do poczty, pozwalajace na kolekcjonerskie dokumenty tozsamosci, czy go* weryfikacje poziom wyzej).

    • @Mirai
      > 2. W momencie gdy dostają info, że dane dostał podmiot nieuprawniony,
      > status adresu e-mail zmienia się w niezaufany, co nakłada na administratora
      > danych osobowych obowiązek poinformowania podmiot tych danych jak i UODO.
      >
      > Punkt 2 nie został spełniony – kara.

      Nie wiem, moze ja czytam cos zle albo inny artykul.
      1. Pan A podaje firmie F bledne dane.
      2. Firma F wysyla dane pana A na bledne dane = Firma F wysyla dane Panu B.
      3. Pan B informuje UODO.

      Po pierwsze, niewidze tutaj nawet spelnienia tych wyssanych z palca wymagan, poniewaz wymaganie od Firmy F zgloszenia faktu o ktorym nie zostala poinformowania jest zwyczajnie niedorzeczne chyba ze odrzucimy logike oraz wiedze i przejdziemy w rozwazania wróżbiarsko-astrologiczno-magiczne…

      Po drugie, przedmiot B byl uprawniony, poniewaz przedmiot A podal jego dane jako odbiorce swoich danych. Przedmiot A dal ciala. Gdyby przedmiot F byl troche bardziej zapobiegawczy MOZE dalo by sie zlapac rozlewajace sie mleko zanim dotknie podlogi, ale oskarzanie ich to droga do nikad. Bo zaraz zacznie sie oskarzanie klientow pocztowych o wysylanie pod zle adresy oraz broni palnej o morderstwa poniewaz pistolet zlosliwie wypalil po pociagnieciu spustu, chociaz mogl jeszcze dla pewnosci zapytac…

    • @WkurzonyBialyMis90210

      “Warta założyła też, że skoro nieuprawniony odbiorca sam zwrócił się do niej z zawiadomieniem o zdarzeniu”

      Ciag zdarzen wyglada zatem pewnie tak:

      1. Pan A podaje firmie F bledne dane.
      2. Firma F wysyla dane pana A na bledne dane = Firma F wysyla dane Panu B.
      3. Pan B informuje UODO. (i firme F ze dostal dane Pana A)
      4. Firma F prosi Pana B o usuniecie danych i uznaje ze wycieku nie bylu/byl nieistotny
      5. UODO daje kare za brak informacji o wycieku (nie za wyslanie danych na zly adres)

    • #xionc – twoj komentarz to kolejny przyklad braku umiejetnosci czytania ze zrozumieniem. kara była nie za “wyslanie na zly adres” jak pisze kolega ktorego wysmiewasz, ani nie za “niezgloszenie” – jak piszesz ty, tylko ZA UJAWNIENIE DANYCH OSOBOWYCH. teraz doszło ?

  2. RODO, czyl jak wyssac kase z przedsiebiorstw lub dokopac konkurencji oraz dac zarobic prawnikom. Zauwazcie, ze tu jest wszystko uznaniowe – przepisy sa tak sformułowane (celowo!), ze dla jednego urzednika bedzie dobrze, dla drugiego juz nie i w obu przypadkach w/g RODO jest poprawnie. Do dzis pamietam jak wprowadzano RODO: prawnicy przeklinali ilosc pracy, a jednoczesnie zgodnie twierdzili, ze takiej rzeki szmalu, ktora plynie do ich kieszen z budzetu panstwa (czyli pieniedzy niczyich) i od przedsiebiorstw, to od lat nie widzieli. Tu reka reke myje, byle kasa sie zgadala, bo tu tylko i wylacznie o kase chodzi, a nie o jakies tam wydumane bezpieczenstwo gołodu*ca Kowalskiego. Kowalski w ogole sie w tym biznesie nie liczy.

    • +1

    • +1

  3. A klienta spotkała jakaś “kara” za podanie niepoprawnego maila? Bo widzę tu scenariusz do nadużyć, można tak uwalić jakieś firmy karami finansowymi.

    • Dokładnie!

      Jeden z wazniejszych powodow dla ktorych niektore sprawy funkcjonuja tak a nie inaczej. Ta decyzja jest porownywalna z sadem stwierdzajacym: “to my sobie tutaj w tej sprawie zaszalejemy i zastosujemy domniemanie winy”…

    • Trzeba było zweryfikować e-mail, a nie teraz płakać. Przecież taka procedura jest praktycznie darmowa. Wystarczy wygenerować jakiś pseudo losowy ciąg znaków i go wysłać na podany adres e-mail. Później wymagać o klienta “aktywacji” e-maila przez podanie tego kodu. Problem rozwiązany.

    • Tylko jak weryfikować. Klient podał maila i standardowo procedura weryfikacji wygląda tak że na tego maila leci link walidacyjny. Tylko zauważ że ten link nie waliduje kto w niego klika. Jeżeli ty osobą A rejestrujesz się na forum i podasz mail osoby B – to osobą B dalej może go kliknąć i zobaczyć co przyjdzie (a potem zgłosić do UODO).

      Natomiast walidacja cross-kanalowa że idzie mail, a ktoś ma podać kod w SMS albo inaczej to raczej marzenie. 99% klientów chce podać jak najmniej danych więc poda maila (ja mam na ten przypadek specjalny alias) ale numeru telefonu nie chce podawać. Połowa zaraz się okaże że nie ma dostępu do maila, druga połowa nie umie, a trzeciej połowie właśnie rozkładowal się telefon.

    • Obsercmver i zaraz połowa klientów okaże się że nie ma dostępu do maila, druga połowa że nie umie, a trzecia na rozładowany telefon. Potwierdź mi kto stosuje tego typu zabezpieczenie?

    • @Observer

      Hehe! Przeczytaj jeszcze raz to, co napisałeś. Przecież do kogo by nie dotarł ten mail, to ta osoba może kliknąć w odsyłacz albo coś przepisać.

      Rejestracja na forach dyskusyjnych, to też jest dla mnie kosmos. Powinno być tak, że to my wysyłamy maila, a nie że przypadkowa osoba wpisuje nasz adres i wtedy dostajemy pytanie “powiedz, czy ty to ty, czy nie ty”.

    • @Observer,
      Jestes moze kolega orzekajacego urzednika, ze wypisujesz takie dyrdymaly?

      > Trzeba było zweryfikować e-mail, a nie teraz płakać.
      To jest nic innego jak obelga (lekka bo lekka, ale jest wiec odpowiadam)

      > Przecież taka procedura jest praktycznie darmowa.
      Co to znaczy “praktycznie darmowa”? To jakis zaawansowany termin techniczny? Ty to oceniasz? Jak cos jest (nawet) darmowe to znaczy ze mozna swobodnie narzucac to innym w dowolnym wymiarze?

      > Wystarczy wygenerować jakiś pseudo losowy ciąg znaków
      > i go wysłać na podany adres e-mail.
      Przyslowiowe g* a nie ze wystarczy… Na jaki przepis sie powolujesz?
      Czy moze “kierujesz sie logika”? Bo jesli tak, to zdradze sekret – jesli chcesz uzasadniac swoje opinie logika/racjonalnoscia, to trzeba sie jej konsekwentnie trzymac, a nie ze tworzysz sobie magiczny problem i domagasz logicznego rozwiazania. Inaczej wychodza tylko glupoty, co jest typowe dla ludzi ktorzy chca wygrac dyskusje niezaleznie od tego czy maja racje… Co fajnie widac po tym ze firma obrywa za “nieinformowanie” o “wycieku” a nie procedury weryfikacyjne – ewidentnie widac ze ktos chcial sie do* na sile.

      > Później wymagać o klienta “aktywacji” e-maila przez podanie tego kodu.
      Gdzie ma podac ten kod? Kiedy to jest “pozniej”?

      > Problem rozwiązany.
      A moze nawet nie kolega a samym orzekajacym?
      Wymaganie jest z d*. Klient dostal dokumenty na adres ktory podal.
      Z jakiej racji zaproponowane *poprawne* zachowanie mialo by cokolwiek zmienic, jesli dotychczasowe *poprawne* zachowanie nie uchronilo ich od kary?

    • A jaki problem przechwycić maila potwierdzającego? Zacznijmy od tego że mail nie jest bezpiecznym medium. Jest używany dlatego że jest powszechny i stał się standardem. Weryfikację itd. to teatr a nie praktyczna poprawa bezpieczeństwa. Jeżeli zależy ci jako klientowi na poprawności maila to weryfikujesz go sam na dokumentach – co widać dla klienta nie miało żadnej wartości.

  4. Regularnie dostaje nie swoje faktury, polisy a czasem również wewnętrzną korespondencję firmową, ponieważ mam domenę (a na niej skrzynkę catchall@) która różni się jedną literką (i to taką trudno wymawialną) od domeny dużej firmy, posiadającej oddziały w całej Polsce, jak również różni się jedną literką (i to podobną graficznie) od nazwy zupełnie innej firmy, może nie aż tak dużej jak ta pierwsza, ale też dużej.
    Kiedyś odpisywałem na te maile, ale potem mi się znudziło. Jeśli widzę, że są tam jakieś dane osobowe, pesele, numery konta, to staram się to skasować nie patrząc na to.

    • Odpisywać zazwyczaj nie ma sensy, gdyż takie wiadomości są zazwyczaj wysyłane z adresem zwrotnym noreply@gdzieś lub po prostu trafiają do dev null.

  5. A co jeśli pole “Odpowiedz do” jest źle podane?

  6. Za 3, 2, 1: hasłujemy załączniki.

    • Raczej weryfikujemy adresy e-mail. Haslowanie załącznika nic nie da, jak trafi do niepowołanej osoby. To wciąż jest naruszenie prywatności.

  7. Niektóre firmy zabezpieczają się że dokumenty są zaszyfrowane, a hasło to jakaś dana znana odbiorcy (np. jego PESEL). Czy to by mogło pomóc w tym przypadku?

    • nie bo… (dopisz co tam sobie chcesz)… bo to uodo i wszystko im wolno, ale jak się tłumaczą! coś pięknego jak typowy prawnik na sali sądowej, szok, urząd do likwidacji z całym tym smrodo, zastraszanie na całego

    • Hasło nigdy nie może zawierać lub być na podstawie danych klienta więc też kara by poleciała

    • Czekaj czekaj, czy taki PESEL nie składa się z 6 cyfr z datą urodzenia a później4 cyframi porządkowymi i na końcu cyfra kontrolną?

      Zakładając że dokument adresowany jest do osoby pełnoletniej i startując od odpowiedniej daty urodzenia i sprawdzając wszystkie pesele dla osób do 118 roku życia, żeby złamać hasło trzeba by, hmm:

      100lat * 365dni * 10000 kombinacji = 365 000 000.

      W wariancie pesymistycznym i tak komputer stacjonarny da radę. W prawdziwym życiu większość adresatów takich dokumentów jest w przedziale wiekowym 25-50 lat, więc średnia złamania hasła będzie zdecydowanie szybsza.

      Można jeszcze zoptymalizować algorytm na kilka sposobów:
      – sprawdzać najpierw roczniki będące główną grupą klientów firmy
      – sprawdzać najpierw numery porządkowe z zakresu 0-4000
      – mieć za wczasu policzone wszystkie sumy kontrolne, jeśli zamierzamy łamać wiele przejętych plików
      – jeśli znamy płeć odbiorcy, bo np. w mailu było: “Droga Pani ….” to liczbę prób dzielimy na 2, gdyż ostatnia cyfra numeru porządkowego określa płeć

      Oczywiście lepiej zabezpieczać jakkolwiek niż w ogóle nie zabezpieczać, jednak sam pesel wydaje się zbyt prosty. Do tego algorytm odszyfrowujący mógłby w swojej konstrukcji wymuszać dość skomplikowane obliczenia aby wydłużyć czas pojedynczej próby łamania hasła i używać długiego publicznego ziarna, aby nie można było tych długich obliczeń przygotować wcześniej.

      Aspektu prawnego nie znam, czy PESEL jest dobry czy nie.

    • P.S. Do poprzedniego komentarza.

      Aby uzyskać informacje niezbędne do optymalizacji ataku można skorzystać z wiedzy zdobytej na kursie OSINT znanej, nawet i lubianej firmy.

    • Szyfrowanie załączników PESELEM/NIP itp krótkim numerem to ŻADNE zabezpieczenie. Można je złamać w kilka sekund/minut.

    • To ciekawe, że hasło nie powinno zawierać danych klienta. Jak ktoś ma coś wspólnego z pewną duża firmą w której ma OFE, to raz na rok może dostać maila z załącznikiem, a w treści maila:
      „Informujemy, że ze względów bezpieczeństwa dokument został zaszyfrowany. Hasłem jest numer PESEL lub numer rachunku OFE, jeśli PESEL nie został podany.”

    • @Grzesiek
      To tylko czekać aż ktoś to zgłosi i niebezpiecznik opisze kolejną karę.

      Minikie pewnie kilka lat zanim firmy się nauczą, ale w końcu będą musiały.
      W 2010 strony jak facebook czy twitter nie umiały używać https, ale już się nauczyły.
      Ubezpieczalnie jak zaczną dostawać kary też się nauczą.

    • @Aleksander

      Kolega chyba dzisiaj obudzil sie z 40-letniej śpiaczki ;p
      Bruteforcing 11 cyfr na pliku jest kwestja tak banalna, ze podejrzewam ze wiekszosci lamiacych nie bedzie chcialo sie nawet optymalizowac procesu specjalnie pod PESEL…

    • @WkurzonyBialyMis90210 Wszystko zależy ile tych plików chcesz złamać i jakim algorytmem zostały zaszyfrowane.

      Co z tego że to tylko 11 cyf, jeśli przy odpowiednim szyfrowaniu sprawdzenie czy hasło jest poprawne zajmie powiedzmy 3 sekundy? Powodzenia bez optymalizacji ;)

    • Jeden z polskich banków obsługujących PPK mojej firmy, ponad 600 pracowników, wysyłał dokumenty z hasłem PESELowym. Sam Niebezpiecnzik pisał jak i ile zajelo mu zlamanie takiego hasla.

  8. No np. grupa Genarali hasłuje pliki z polisą numerem PESEL. Jeśli Warta tego nie ma żadnego zabezpieczenia na wypadek podania przez klienta błędnego adresu e-mail, to słusznie dostali po głowie

    • Tylko PESEL to żadne hasło. To numer identyfikacyjny, bardzo często publicznie dostępny…

    • chwalisz karanie za cudze błędy? nadajesz się do pracy w uodo

    • Ale durnoctwo. Takie hasło można złamać w kilka sekund i mamy pesel w gratisie.

    • Hasłowanie PSELEM ma być uznane za zabezpieczenie w przypadku wysłania tego złej osobie? Przecież to można hashcatem to otworzyć w kilkanaście sekund…

    • Dokładnie tak jak Wedra napisał. Numer pesel składa się z zaledwie kilku liczb. Z tym, że część z nich jest dwucyfrowa. Format to: rrmmddaaaax, gdzie rr to dwie ostatnie cyfry roku (100 kombinacji), mm – numer miesiąca (maks 12*ilość stuleci po 1900, czyli obecnie 12*2), dd – dzień miesiąca (maks. 31 elementów), aaaa – numer serii (9999 kombinacji), x – cyfra kontrolna (9 kombinacji). Co przy wyliczaniu liczby kontrolnej daje zaledwie 743 925 600 numerów do sprawdzenia, a z losową liczbą kontrolną 9 razy więcej. Teraz zależnie od rodzaju hasła takie sprawdzenie na karcie graficznej ze średniej półki nie powinno zajęć więcej niż kilka minut.

    • Wadera Qb tylko hashcatem się nie otwiera plików tylko przełamuje zabezpieczenia.
      Doskonale sobie zdaje że wejścia do mojego domu pilnuje zamek który w kilka sekund można otworzyć lockpickiem.

    • Ale w tym przypadku PESEL to rodzaj 2FA, zabezpieczenie na wypadek błędnego adresu e-mail. To, że łatwo go złamać nie jest problemem, bo jest skrajnie mała szansa, że jednocześnie 1. klient poda błędny adres, 2. odbiorca będzie potrafił złamać choćby tak proste hasło i 3. odbiorcy będzie chciało tracić się czas na uzyskanie dostępu.
      Ale faktycznie tutaj minusem jest uzyskanie całego PESEL-u w przypadku złamania hasła – dlatego lepiej żeby hasłem był fragment PESEL-u.

    • Chłopaki z Niebiezpiecznika radzili w jednym z podcastów, że PESEL powinniśmy uznać z informację jawną, obok daty urodzenia, imienia i nazwiska.

      Warto posłuchać ponad dwugodzinnego wywiadu z prawnikiem na temat RODO, no bo faktycznie firma trochę zbagatelizowała rangę zdarzenia.

  9. Błąd klienta ale czy działania Warty były bezpieczne? Gdy dostaję polisy na maila z Compensy to na skrzynkę przychodzi tylko link pod którym muszę się dodatkowo zautoryzować, np. Peslem. Dopiero wtedy mogę pobrać dokumenty.

    • To całkiem dobre rozwiązanie. Mam tylko nadzieję, że pierwsze hasło do tego serwisu nie jest przesyłane na ten sam adres e-mail.

    • Przedewszystkim email sam w sobie nie jest standardem bezpiecznym, a jako osoba ktora pracowala z bezpieczna wersja moge powiedziec ze malo kto wogole mial z nia doswiadczenie. Przeciez nawet glupie szyfrowanie zalacznikow to zadkosc a mowie o czyms tak banalnym jak to ktore adobe wbudowalo w PDFy czy dostepne w ZIP’ie – a temu przeciez daleko do rozwiazan profesjonalnych.
      Dodatkowo wiekszosc populacji kozysta z darmowych serwisow, nawet gozej takich o kiepskiej reputacji – ufajac im ze majac bezposredni, absolutny i powszechny dostep do ich skrzynek, z czystej przyzwoitosci po prostu tam nie zagladaja…

      Wiec jak cos, to nie konto powinno byc weryfikowane tylko te bardzo-prywatne dokumenty/dane wyslane w formie zaszyfrowanej z haslem ustalonym wczesniej lub dostepnym innym kanalem. Do kazdego, zawsze…

  10. A to ciekawe bo miesiąc temu załatwiałem w warcie nowa polisę i plik był zabezpieczony peselem. Albo szybko wyciągają wnioski abo coś tu nie pasuje

  11. Nie tylko chronienie plików, ale powinna być wprowadzona też weryfikacja maila.

    • Zgadzam się w 100%.

  12. Tak to jest, gdy dyktuje się adres mailowy albo wpisuje długopisem, a ktoś inny przekręci. Typowy dla ludzi, którzy nie czują potrzeby mieć maila imie.nazwisko@gmail.com.
    Dlatego wolę ubezpieczać przez www, a nie u agenta. Też może wszystko wyciec, ale przynajmniej odpada jedno ludzkie ogniwo w łańcuchu.

    Jak to jest z obowiązkiem zgłaszania do UODO? Nie zawsze trzeba – prawda?

    A z powiadamianiem poszkodowanego? – Też nie zawsze, czy zawsze?

    A jak w przypadku, gdy odkryjemy, że mieliśmy dziurę, którą mogło śmignąć 100000 zestawów imię+nazwisko+PESEL, ale nie mamy dowodu że wyciekł choćby jeden? [dziurę odkryliśmy sami, a nie szantażysta, ale nie zbieramy logów). Trzeba zakładać, że mógł włamać się każdy z x milionów internautów?

    Takich przypadków jest mnóstwo. Teoretycznie chwilę po opublikowaniu każdego CVE, ktoś może ukraść dane. Mam zgłaszać, bo miałem nieaktualnego Apacza przez 50 minut?

    • Zdajesz sobie sprawę, że obecnie nie ma praktycznie szans na założenie konta Gmail postaci: imie.nazwisko@gmail.com? Tak samo z nazwisko.i@gmail.com lub innymi podobnymi wariantami. Może jest szansa posiadając jakieś wyjątkowo unikalne dane. Osobiście z tego względu oficjalnego maila posiadam w outlooku, ale pierwszą myślą wszystkich zakładających maila jest Gmail, choćby ze względu na łatwą możliwość konfiguracji konta z Androidem.

  13. Hasłowanie załączników numerem PESEL, NIPem czy czymkolwiek w tym stylu ma tą wadę, że takie hasło można złamać w minutę za pomocą fcrackzip.

    • O ile będzie to archiwum zip, a nie jakiś lepszy mechanizm szyfrujący. Ale tak, PESEL to dość słaby pomysł.

    • Tylko jak sam przez takie zabezpieczenie trzeba złamać. Zamek w moich drzwiach też można przełamać w kilka chwil.

  14. MSPANC nie dotyczy kościoła katolickiego w Polsce :)

    • WONTY JAKIEŚ??

  15. Moim zdaniem, za szyfrowanie danych PESEL-em powinna nawiedzać dyrektora firmy Hiszpańska Inkwizycja, oczywiście w najmniej spodziewanym momencie. To tylko lekko bezpieczniej niż szyfrowanie numerem buta.

  16. Jakby nie patrzeć, to za całokształt się należało (czy 80k, to już inna historia). Mogli korespondować z kimś obcym w sprawie, ale już powiadomić klientów? To już za dużo. Inna sprawa, że ten wątek wydaje się naciągany- w końcu chyba dwoje Klientów zostało poproszonych o weryfikację adresu?

    • Do klienta mogli wysłać e-mail, adres klient przecież podał.

    • Myślę, że żadnej weryfikacji tu nie było. Potencjalny klient podyktował agentowi adres mailowy przez telefon albo przekazał jakimś innym kanałem, z którego nie dało się zrobić Ctrl+C Ctrl+V.

  17. Niektórzy jako hasła używają wybranych cyfr z peselu, a nie całego numeru. Jest to pewne rozwiązanie o ile odbiorca nie dysponuje już nim. Z tym, że przy przypadkowym odbiorcy to już miej prawdopodobne. No chyba, że co chwilę dostaje taką korespondencję innej osoby i ma już komplet jej danych z innych niezabezpieczonych przesyłek ;)

  18. Co raz więcej polityki i fiksacji na temat zabezpieczeń, co raz mniej ciekawostek na temat wolności i swobody przepływu informacji, nic o acta 1,2, terreg, snif, art 11-20 etc, zakazie szyfrowania przez eu, o tym jak rząd pod przykrywką trzymania danych u siebie będzie miał łatwiejszy dostęp do naszych danych na wzór komunistycznych państw, smutne, polityka i przytakiwanie koszmarnym dyrektywom w postaci rodo, gdzie kara się za cudze błędy o chroni tak święty i ważny wizerunek potencjalnego przestępcy obok mojego domu bo nie mogę nagrywać okolicy.. do czego to doszło. Legaliści zapewne się cieszą

  19. A jak mam PESEL z KRS lub ksiąg wieczystych ze strony ministerstwa sprawiedliwości ?

  20. Niedawno przedłużyłem ubezpieczenie mieszkania w Warcie. Miałem do wyboru dwie opcje:
    1) Agent wysyła do mnie mailem skan polisy, podpisuje dokument, skanuje, robię przelew ręcznie i odsyłam – prawdopodobnie przesyłane dokumenty nie są w żaden sposób zabezpieczone.
    2) Agent wysyła mi mailem propozycję polisy, w mailu jest “przycisk”, że zgadzam się na warunki w oraz link do płatności. Propozycja polisy była zabezpieczona hasłem, którym był PESEL.
    Aby uniknąć problemów/pomyłek z adresem email wysłałem do agentki (miałem wizytówkę) email z tematem test. Skopiowała go i nie było z tym problemów.
    Za to na propozycji polisy pojawił się jakiś nieznany numer telefonu. Zgłosiłem to agentce – powiedziała, że można to poprawić za dwa dni – po wejściu polisy w życie (bardzo dziwne). Po dwóch dniach dostałem mailem “poprawiony” dokument – nieznany telefon zniknął z nagłówka, ale pozostał w podsumowaniu. Poprosiłem o usunięcie telefonu z podsumowania – po kilku dniach otrzymałem poprawione dokumenty.
    Jakieś dwa tygodnie później coś mnie tknęło i zadzwoniłem na infolinię Warty – okazało się, że nieznany telefon cały czas widnieje w moich danych – pracownik infolinii przyjął zgłoszenie i po kilku dniach dostałem potwierdzenie mailem, że telefon został usunięty.

  21. Nie znalazłem nigdzie informacji, czy klient podał adres ustnie, czy był on wprowadzony do podpisywanego dokumentu (jako adres korespondencyjny)?

    • To nie ma znaczenia. Należało zweryfikować ten adres i tyle w temacie. Jak podajesz numer w banku to wysyłają SMS z kodem, który należy przepisać.

    • Tylko ja np nie lubię każdej firmie krzak podawać mojego maila, numeru telefonu i wszystkich danych. Bank ma mail i telefon. Rozumialbym jakby klient się zorientował i zaczął walczyć żeby szybko to poprawili zanim dane wyjdą. Ale skoro dane już poszły i klient był z tym ok to mleko się rozlalo. Czy jak kupię polisę i ja wyrzucę na chodnik i ktoś ją znajdzie i zadzwoni do ubezpieczyciela powiedzieć że znalazł dokument z danymi to też zglaszamy to do UODO?

    • Observer jesteś takim naiwniakiem że każdemu dajesz swój numer telefonu, adres i wszystko bo co poprosi. Bank wymaga ode mnie telefonu i maila i to jest koszt robienia biznesu z bankiem. Ale to nie znaczy że jak chce ubezpieczyć moje audi to jestem chętny podawać wszystkie moje dane. Naucz się odrobiny cyfrowej higieny.

  22. Ciekawe czy ubocznhm efektem tej kary może być powstanie nowej strategii firm przetwarzających dane: zgłaszanie tak dużej liczby nieistotnych incydentów (oczywiście na wszelki wypadek), że w pewnym momencie UODO zacznie przekierpwywać ich zgłoszenia do spamu, a później przeoczy te prawdziwe, jeśli kiedyś się pojawią :)

    • Całkiem naturalna i zrozumiała reakcja. Nie tylko na wszelki wypadek ale również jako celowe zaspamowanie UODO – taka forma strajku włoskiego.

      Ciekawe czy następnym razem kary nie dostanie dostawca usług mailowych za niezablokowanie wysyłki maila z danymi do złego odbiorcy… Sytuacja w sumie mocno podobna.

    • Włączą automatyczna odpowiedź:

      “Dziękujemy za zgłoszenie.
      Po dogłębnej analizie incydentu postanawiamy nałożyć karę porządkową ${random(1000,200000)}. Proszę wskazaną kwotę przelać na konto.

      Życzymy udanego dnia i proszę nie zapominać o zgłaszaniu nawet tych najmniej istotnych incydentów.”

    • Wtedy można poinformować opinie publiczna że urząd nakłada karty za poprawnie wysłanego maila o Którym klient był poinformowany lustrem ozdobnym. Nigdy nie wiadomo czy klient swojego telefonu nie zostawia odblokowanego w centrum handlowym żeby każdy mógł poczytać. Na razie jedyna opcja jaka widzę to udostępnianie korespondencji w ten sposob że firma zakłada maila klientowi na urządzeniu nad którym ma kontrolę i jeżeli klient chce przeczytać to przybiega pracownik i pokazuje klientowi maila. Każda opcja w której klient ma dostęp do choćby części korespondencji może wiązać się z wyciekiem. W końcu ta sama osoba mogła podać poprawny adres a potem zrobić forward na błędny… w efekcie jej prawa i wolności są narażone tak samo jak gdyby podał błędny adres firmie od razu.

    • Jak do prasy dojdzie że firma zglosila do UODO jako potencjalne ryzyko fakt, że Jan Kowalski kazal wysłać maila pod adres alina.nowak@mail.mail to prasa będzie zachwycona tym że obecny rząd daje 50k kary za wysłanie maila tam gdzie klient chce i zachowanie Stern ilości rozsądku.

    • Zgodnie z tekstem, firma dowiedziała się o przecieku od wlasciciela blednego maila. Kazala mu skasowac dane i uznala ze nie bylo problemu bo skoro pan sie sam zglosil to tez usunie dane i spokoj.

  23. Dostaję maile od banku dotyczące innej osoby (pewnie literówka w adresie). Prosiłem jej bank, żeby przestali lub chociaż poprosili swojego klienta o zmianę. Odpowiedzieli, że nie mogą zmienić tego adresu, bo klient taki podał i w ogóle RODO, ani nie mogą się ze swoim klientem skontaktować bo RODO. I wciąż wysyłają.

    Teraz już wiem, że mogę poprosić UODO o pomoc.

  24. Czy dobrze rozczytuję, że jeżeli WARTA po pierwszym piśmie od UODO zgłosiłaby incydent to kary by nie było? Bo de facto to od UODO dowiedzieli się o incydencie, więc nie mogli go fizycznie zgłosić wcześniej. Czy może jednak powinni byli wykryć incydent sami? Tylko jak są w stanie stwierdzić, że podany e-mail jest nieprawidłowy (należy do innej osoby), jeżeli nikt im nie zgłosił?

    • Już w momencie wprowadzania tego adresu e-mail do systemu powinni wymagać od klienta podania numeru, który jemu na ten adres prześlą. Proste jak budowa cepa. Dopiero po weryfikacji słać na ten adres korespondencję.

    • Wiesz że jak ja idę kupić polisę to idę kupić polisę tj. wchodzę kupuje i wychodzę. Twoja ścieżka wymaga co najmniej jednego powodu do domu żeby z bezpiecznego komputera odczytać ten kod – bo przecież chyba nie nosisz maila w telefonie który można w kilka sekund ukraść uprzednio podglądając hasło?

    • Zgodnie z tekstem, firma dowiedziała się o przecieku od wlasciciela blednego maila. Kazala mu skasowac dane i uznala ze nie bylo problemu bo skoro pan sie sam zglosil to tez usunie dane i spokoj.

  25. A wystarczyło zahasłować pliki wraz z nazwami i wysłać hasło przez SMS

    • No nie wystarczyło bo to wciąż wyciek danych… to czy ktoś może przeczytać czy nie jest drugorzędne bo weryfikacja odbywa się poza systemem nadawcy. Ok może to uchronić firmę przed odszkodowaniem ale wyciek wciąż ma miejsce.

    • W takim razie musieliby udostępnić paczkę z dokumentami na swojej stronie internetowej, potwierdzić adres e-mail telefonicznie, wysłać link e-mailem, a przy wejściu zapytać o szybko wygasające hasła z SMS

  26. Będzie tak, jak kiedyś z fotoradarami. Nowa maszynka do robienia pieniędzy. Ale oczywiście w imię bezpieczeństwa danych osobowych.

  27. Kolosalne kary lecą za drobne przewinienia. Płacą firmy uczciwe za historyczne przestępstwa dark netu. Spamerzy, złodzieje kredytów na cudzy pesel i inne mendy wciąż mają się dobrze. Chyba nie tędy droga aby karać kogoś za nieumyślne udostępnienie złodziejowi danych których może użyć. Złodzieja trzeba ścigać skutecznie, a kradzież czegokolwiek na cudze dane nie powinna być w ogóle możliwa. To groteskowa proteza prawa. Ubezpieczenie auta powinien opłacać każdemu Cech Rzemiosł Złodziejskich za swoje potencjalne szkody. Szary człowiek musi być całe życie mułem dla różnej maści cwaniaków. Bo nawet jak się wyłapie już wszystkich to trzeba ich utrzymywać w więzieniu. Co za śmieszny, niesprawiedliwy dla uczciwych ludzi, świat.

  28. Czy gdyby powiadomili klienta, że jego dane zostały ujawnione, wysyłając e-mail na adres podany przez klienta (ten błędny) to uniknęliby kary?

  29. UODO napisało: “W związku z powyższym, fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał agentowi nieprawidłowy adres mailowy, nie może mieć wpływu na ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych.” ???

    • Ciekawe a jeżeli klient zrobi forward korespondencji od firmy do innego człowieka (który no nie wie czy mail agent.janusz@mail.xxx to mail pracownika firmy czy nie) to czy firma też musi zgłaszać to do UODO? Bo w sumie co to za różnica z punktu bezpieczeństwa danych klienta?

  30. A jak Warta miała zweryfikować czy klient wpisał dobry adres E-mail ? Ten świat za sprawą nowych przepisów robi się walnięty. Może warto wspomnieć o osobie która podała nie swój E-mail. Moza Ona powinna dostać karę ?

    • Najprościej, nawet dla nie technicznych ludzi, może wysłać klientowi randomowe zdanie np. “Lubię placki”, zapisując to zdanie u siebie w bazie, następnie zadzwonić do klienta, zweryfikować go i poprosić o odczytanie przesłanego mailem zdania. Zdanie zgadza się z tym, jakie zapisaliśmy przy kliencie? E-mail zweryfikowany. Nie ma maila, lub się nie zgadza? Prosimy o podanie ponownie adresu.

    • Koszty jakie generowałaby taka operacja (głównie w postaci czasu pracy) znacznie przekroczyłyby karę.

    • @Janusz A jeżeli ktoś oglądał Johny’ego Bravo i się zweryfikuje fałszywie pozytywnie?

  31. Czy podanie “błędnego” adresu nie jest równoznaczne z poprawnym adresem? Ponieważ klient podał adres, firma może chyba rozsądnie założyć, że klient chciał żeby tam zostały wysłane jego dokumenty i trafiły do osoby uprawnionej? Rozumiem, że kara jest za brak zgłoszenia, ale czy to na prawdę było naruszenie? Dlaczego to w tym wypadku Warta miała je zgłosić jeśli powstało w wyniku błędnych informacji od klienta?
    Nie znam się na prawie więc niech mnie ktoś poprawi, dzięki.

    • Dokładnie tak samo myślę, skąd firma mogła wiedzieć że podałem błędny adres mailowy?

    • Zanim wysłano wrażliwe dane na podany adres e-mail należało go zweryfikować. A jak to można zrobić to już nie jedna powyżej opisała.

    • @Observer,
      Gdyby *należało* je zweryfikowac to wlasnie za to oberwala by kare firma. To ze inspektor przyslowiowo “rzeźbil w gó*” karzac ich za “nieinformowanie” o nieistniejacym! zdarzeniu swiadczy ewidentnie o tym ze wlasnie NIE należało, co najwyzej “istniala taka mozliwosc” czy “bylo by fajnie”.

      Inna kwestia jest to ze jakiekolwiek “prawo” czy jego wykonywanie, w sposob jaki to mialo tu miejsce jest zaraza ktora, co potwierdzi wiekszosc myslacych historykow byla bezposrednia lub posrednia przyczyna upadku wielu cywilizacji. Jedyne czego do tego potrzeba, to pozwolic takiemu bezprawiu kwitnac…

      Ps. Ja k* nawet nie lubie warty! O calej tej branzy mam opinie nizszA niz o politykach, ale sa pewne granice ktorych nie powinno sie przekraczac…

  32. Przecież to wyjaśniono — nie chodziło o sam fakt pomyłki i jej źródło, ale o brak właściwej reakcji na incydent po uzyskaniu informacji o jego zaistnieniu. A od siebie dodam — czy tak trudno zweryfikować adres mailowy drogą próbnej wysyłki?

    • Reakcji na co? Firma dostala adres od klienta i wykorzystala go do komunikacji z klientem (dokladnie tak jak wynika z zalozenia). O czym ma informowac? A jesli oni maja informowac to dlaczego developerowi klienta email, operatorom serwerow pocztowych, dostawcy internetu sie upieklo? Przeciez oni tez dostali te dane, przetworzyli je i poslali “blednie” na zadany adres…

  33. Compensa ma to zrobione w taki sposób, że podaję agentowi adres email, a ten wysyła na niego link z propozycją polisy. Polisa jest na ich stronie i warunkiem jej zobaczenia jest podanie peselu. Gdyby Warta miała takie rozwiązanie nie było by całej sprawy. Nawet jak ktoś poda błędny email to bez znajomości peselu nie zobaczy nic.

  34. MBank w ten sposób zabezpiecza dokumenty przesyłane do klientów.

  35. Kurde, a mogłem zgłosić do UODO maile otrzymane na adres imie.nazwisko@gmail.com (mój adres to imienazwisko@gmail.com – gmail ignoruje kropki i to co jest po “+”), np. bilety lotnicze.

  36. To może firmy powinny masowo szyfrować ceretyfikatem komercyjnym wszystko co wysyłaja mailem i niech się klient martwi jak t otworzyć

    • Nie, firmy powinny dokładać szczególnych starań do weryfikacji danych pochodzących od klienta, nawet adresu e-mail, czy numeru telefonu. Jak jakaś firma ma to gdzieś, to skąd masz wiedzieć, czy weryfikuje też inne dane i ktoś teraz nie wyłudza odszkodowań na Twoje dane?

    • Wystarczy założyć że klientowi powinno zależeć na podaniu poprawnego adresu email. W końcu klient może ten sam efekt uzyskać forwardując maile do przypadkowych osób.

    • Czyli tak jak dziś idę kupić polisę tak że wchodzę i po 15 minutach wychodzę z polisa to teraz będę musiał wrócić do domu żeby potwierdzić maila i dopiero z powrotem do agenta żeby zakończyć kupowanie polisy? Brzmi jak straszne obarczanie tysięcy ludzi którzy potrafia poprawnie podać maila po to żeby jeden który nie potrafi i nie zamierza się przyłożyć nie poparzył się.

  37. A być może ,to jedyna droga,by tych nygusów z poczty zmusić do wykonywania pracy???? Nie wiem,jak Wam,ale mnie to tak wk——–wia!!!!! Może czas z tym skończyć? Doją w imię prawa? 70 mln? Psikus??? Ku______wa!!!! Nic już nie zamówię za pomocą pp,ale te k____wy mają monopol na pisma urzędowe! Czas z nimi skończyć????!!!!

    • @Adam Nie za wcześnie zacząłeś świętować Sylwestra?

  38. Mialem dokladnie taki sam przypadek z mbankiem. Ktos podal mojego maila przy zakladaniu konta w oddziale. Sprawa zgloszona do RODO rok temu, do dzis niestety brak decyzji, ale to daje nadzieje!

    • Comercbank (czyli wlasciciel mBank) zrobilby inspektoratowi z d. jesien sredniowiecza.
      Bo duzy moze wiecej!
      A mniejszy zostal wytypowany do zaplacenia i niech sie cieszy ze tylko tyle. Mogl dostac ustawowe procenty od obrotu z calosci branzy ubezbieczen w calej EU i bylo by tyle. Jak zrozumie i podwyzszy ceny aby wieksi mogli wiecej to nie dostanie nastepnej kary…

  39. A ja akurat rozumiem problem i uważam, że kara jest słuszna. Warta nie przyłożyła żadnej uwagi do weryfikacji adresu e-mail podanego przez klienta przed wysyłaniem poufnych danych. Tak jak zauważyli inni komentujący, szyfrowanie załączników nie jest żadnym rozwiązaniem, gdy trafią do obcej osoby, bo można je “brute force” złamać. Człowiek jest omylny i może zrobić na przykład literówkę, która skieruje e-maile do zupełnie obcej osoby. A co do udostępniania takich załączników na stronie ubezpieczyciela – taka umowa zawsze mogła by być zmodyfikowana bez wiedzy klienta, dlatego mają obowiązek je udostępnić w formie, której nie mogliby zmienić, na przykład załącznik e-mail.

    • Tylko łamanie bruteforcem to przełamywanie zabezpieczeń… więc donosząc do UODO gość od razu odniósłby na siebie że przełamał zabezpieczenia firmy.

      Co do weryfikacji to niestety moje doświadczenie jest takie:
      – każesz podać mail – większość klientów poda

      – każesz podać mail i telefon (żeby przesiąść hasło SMS) – część klientów nie chce podać telefonu
      – chcesz weryfikować email – będziesz wyjaśniał co któregoś klienta który nie dostał linia, nie v umów kliknąć, nie ma internetu itd.

      Akurat wszędzie gdzie ja miałem doczynienia z ubezpieczeniami to przed podpisaniem umowy dostawałem taka kartkę z danymi do sprawdzenia i tam można wykryć błędny email.

      Miałem sytuację w Orange że zawierając druga umowę popełniłem literówkę w mailu i zobaczyłem po kliknięciu zatwierdź. Wiedziałem że zanim umowa będzie gotowa i wysłana na tego maila to minie od jednego do bo trzech dni. Więc zadzwoniłem i chciałem żeby albo ktoś zmienił maila (wiem że to byl aktywny mail ten blednie podany) albo anulował całe zgłoszenie żeby potem maile z danymi nie poszly. I tu zostałem zlany i powiedziano mi że mogę drugi raz zgłosić zawarcie niej umowy a tamto zostawić się maila nie zmienia ani nie anulują. Więc mogę dane po kilku dniach poleciały na pewno do kogoś…
      Szkoda że to było przed rodo bo się wkurzyłem wtedy.

      Natomiast skoro klient tu mial dokumenty to miał na nich napisane na jaki mail poszły dane skoro on sam niż z tym nie robił to trzeba domniemywać że to jest zgodne z jego oczekiwaniem…

    • Jak ktoś nie umie sprawdzić maila, to niech go nie podaje. Wrażliwe dane NIE MOGĄ być wysyłane na nie zweryfikowany adres e-mail. Adres jest podany, ale nie zweryfikowany? Traktujemy to tak, jakby tego adresu nie było i wszystko wysyłamy papierową pocztą.
      Firma ustrzegła by się tej kary, gdyby tak podchodziła do kwestii bezpieczeństwa.

    • Czyli zabraniasz mi zawierania umów w wygodny dla mnie sposób bo ty nie umiesz podać swojego maila x@y.z bez popełniania błędu?
      Dawaj dalej nie wolno wysłać dokumentów poczta dopuki nie wydaje się próbnej wiadomości z kodem z którym klient musi przyjść do oddziału – jak na wdrozysz to rozwiązanie w swojej firmie to daj znać, a jak nie to przyznaj się ze jesteś frajer i pieniacz i skończy temat.

    • Janusz a jak można wysłać pocztą dane skoro adres pocztowy też nie jest zweryfikowany? Ja akurat wille mailem niż poczta bo np. jak mieszkam pod nr 23 to znalazłem u siebie korespondencję z nr 32. Więc już wole żeby nie dane trafiły do przypadkowego anons z internetu który jest dla mnie takim samym zagrożeniem jak przeciętny złodziej kupujący wycieku na złodziejskich forach niż do kogoś kto mieszka parę metrów ode mnie i może mnie lubić lub nie. To jest dużo większe ryzyko ale widzę że jesteś tak zaopatrzony w jakieś wydumane standardy które chciałbyś wprowadzić że faktyczne ryzyko cię nie interesuje.

      Nie ukrywany gość doniósł do UODO. Skoro to zrobił to można założyć że nie zamierza kraść tych danych. Zresztą jak poinformować klienta na błędny adres e-mail? Na numer telefonu który też może być czyjś? Wysłać na adres który może być się podany? Ma tym etapie proby kontaktu z klientem to tylko pogrążanie się bo zaraz okaże się że dane poszły nie do jednej tylko do kilku osób,

    • Panie Kozak, nikt nikomu nic nie zabrania. Obowiązek weryfikacji adresu e-mail wcale nie eliminuje wygodnego sposobu zawierania umów, a jedynie dba o Pana bezpieczeństwo.

      Panie Większy Piesek i Panie Kozak:
      Adresu zamieszkania nie trzeba weryfikować, bo dane wrażliwe (Jak np. umowy, gdzie są wszystkie nasze dane) powinny być wysyłane do rąk własnych lub za poświadczeniem odbioru, a listonosz nie powinien ich wydać niepowołanej osobie. Uprzedzając pytania, co gdy nie mogę odebrać, ale matka/żona/kochanka mogłaby, odpowiadam, że istnieje możliwość zgłoszenia osób uprawnionych do odbioru takich pism w naszym imieniu, lub odbioru do 2 tygodni osobiście w placówce pocztowej.

    • Poza tym, jeżeli zawieramy umowę przez internet, to nie ma nic dziwnego w weryfikacji adresu e-mail, więc dlaczego miała by być niedorzeczna, w przypadku zawierania umowy przez telefon lub wpisując dane dlugopisem w arkusz umowy?
      W końcu te dane ktoś inny musi wprowadzić do systemu i ja bym wolał mieć pewność, że cała korespondencja z moimi danymi idzie na MÓJ adres, a nie kogoś obcego, bo wprowadzający popełnił literówkę.
      Jakoś w Orange potrafiła mi konsultantka wysłać e-mail testowy i zapytać się, czy dotarł nim dodała go do systemu. Ile to więcej pracy kosztowało?

  40. […] pewnym sensie kara dla ID Finance przypomina opisywaną u nas wczoraj karę dla Warty. Nie oszacowano właściwie ryzyka, a przy obsłudze incydentu z bezpieczeństwem danych lepiej […]

  41. Błędy e-mail może i jest z winy klienta, ale towarzyswto ubezpieczeniowe przecież mogło go zweryfikować, zanim rozpoczęło korespondencje z klientem przez ten kanał komunikacji. Na praktycznie każdym forum internetowym istnieje wymóg weryfikacji posiadania dostępu do danego e-mail więc jaki problem to wprowadzić.

    Ja miałem podobną historię z bankiem. Pomagałem kuzynowi założyć konto w banku internetowym. Niestety wpisał błędny adres e-mail (jedna cyfra się nie zgadzała w nazwie). Bank tego nie zweryfikował, a gdy po paru miesiącach ten “geniusz” stracił numer telefonu to praktycznie stracił dostęp do konta, gdyż bank dla weryfikacji wysyłał e-mail z kodem na ten adres. :(

    • I przez pół roku nie sprawdził na dokumentach czy są poprawne dane? Brzmi jak rażące zaniedbanie Skoro klientowi się tego nie chce zrobić to weryfikacji też stwierdzi że nie chcą robić i pójdą do konkurencji która tego nie robi.

      A fora internetowe nie weryfikują maili. Dostajesz maila z linkiem którym potwierdzasz rejestrację ale to potwierdzenie może zrobić każdy jeżeli jest zainteresowany co jeszcze przyjdzie. To jest mechanizm antyspamowy a nie weryfikacyjny. W końcu możesz zalogować się na forum ustawić wszystkie wątki jako obserwowane, zaznaczyć żeby na maila leciały informacje o nowych bo postaci itd. i need tego mechanizmu mógłbyś komuś niesie skrzynkę zaspamować.

    • A kto weryfikuje maile. Zrobiłem rachunek sumienia i mojego maila ma:
      – dostawca internetu,
      – dostawca prądu
      – bank
      – operator telefonii (dwóch różnych)
      – sklepy w których robię zakupy (programy lojalnościowe i tu np. Biedronka weryfikowała nr telefonu (bo spam SMS i chcą mieć pewność) ale maila nie (bo i tak podałem alias którego nie czytam))
      Nikt nie weryfikować mojego maila w ten sposób który gwarantuje że ja to ja. Zresztą nawet robiąc walidację skąd wiadomo że za 5 min klient nie sprzeda swojego adresu… Po prostu jak ktoś sobie chce zaszkodzić to znajdzie na to sposób… a dla wszystkich innych weryfikację to dodatkowy obowiązek.

    • Zwróć uwagę, że według twoich wcześniejszych wpisów to bank powinien zapłacić karę, za pomyłkę kolegi.

    • Nba forach nie weryfikuje się maila. Jeżeli podasz mój mail zamiast swojego to ja mogę kliknąć w odnośnik jeżeli jestem zainteresowany twoja korespondencją i tyle. To nie weryfikacja tylko filtr antyspamowy żebyś nie mógł podać adresów mailowych twoich kolegów i nie zrobił im spamu.

  42. Slusznie ukarano. Zamiast pojsc na COVIDowe i pozniej bezrobocie to podbiera klientow tym co maja lepszych prawnikow. No i ktorys pewnie sie zdenerwowal i ‘zawarl umowe’ :)

  43. Jak lubią ubezpieczenia to powinni się ubezpieczyć https://www.pzu.pl/dla-firm-i-pracownikow/majatek-firmy-i-oc/majatek/ubezpieczenie-od-ryzyk-cybernetycznych

  44. Zabezpieczenie pliku polisy peselem… no cóż to danie na tacy czyichś danych. Hasło takie metodą brute Force jest dla programu do złamania niemal od ręki bo zawiera konkretną ilość tylko cyfr. Liczba permutacji większa niż kombinacji ale dla programu to nie problem. Mamy wtedy komplet danych klienta. Ciekawe czy RODO dotyczy też programu Pris.m x.key.score etc.

  45. Wiele firm olewa niestety takie przypadki. Notorycznie dostawałem maile kierowane do osoby o tym samym imieniu i nazwisku jak moje. Żona tamtego człowieka, źle sobie zapamiętała jego emaila i podawała przez kilka lat mój zamiast jego. Orange Finanse – odpowiedzieli, że mam do nich przyjść i zarejestrować się w ich systemie z moim mailem(!) to wtedy, zwrócą się do swojego klienta, a tak to nie mają podstaw podejrzewać, że ten jest błędny (pisałem z niego). Całkowita ignorancja ze strony spółek dostarczających media (rachunki za gaz), jednego z pracodawców (budżetówka) gdzie ów człowiek wykonywał pracę, na rzecz instytucji gdzie żona pracuje i dostałem kopię pit’a i innych dokumentów z kadr. Szczytem było dodanie mnie do grupy dyskusyjnej rodziców w przedszkolu, gdzie dostałem link do katalogu na gogle gdzie wymieniano zdjęcia bąbelków. Tu reakcja była bardzo szybka administratora, chociaż to raczej nieformalne przedsięwzięcie było. Usunięcie dostępu, przeprosiny i obietnica rozmowy dyscyplinującej z ową panią. Po tym maile, przestały przychodzić, więc jak widać da się.

  46. Ciekawy był by artykuł na temat:
    Nieznana firma wysłała mi dane osobowe. Jak można ich potrollować, aby nie złamać prawa?

  47. Nie wiem dlaczego wszyscy uważają, że przetwarzanie danych, komputry etc. wnoszą jakieś nowe, są czymś innym niż stary, dobry porządek. Przecież “licencje na oprogramowanie”, to stara dzierżawa, na tym polu różniąca się tym, że pole można było wydzierżawić tylko Stachowi, a Windowsy milionowi Stachów.
    W tej sprawie, po przełożeniu na “świat analogowy” mamy klienta, który podaje zły adres korespondencyjny. “Po staremu” ubezpieczalnia by zapakowała papiery w kopertę i wysłała pocztą. Czy ktoś wpadły by na pomysł weryfikowania adresu korespondencyjnego uprzednim listem z hasłem “jeżeli to Ty, to odeślij list z pozycją taryfy (dowolną daną raczej znaną tylko Tobie), a wtedy prześlemy Ci polisę”? Albo jakikolwiek inny szczwany sposób weryfikacji?
    RODO mnie wkurza, bo mój status, jako szaraczka, wcale się nie polepszył, a IMHO mam gorzej. Za koślawego UODO przynajmniej były jaśniejsze kryteria, czy firma trzymająca moje dane robi dobrze, czy źle. Teraz królują określenia “właściwie”, “należycie”, “odpowiednio”.

  48. Widzę trochę inaczej ten problem. Wg mnie to jest kwestia kontroli firmy ubezpieczeniowej nad działaniami agentów. Agenci występują w imieniu Ubezpieczyciela, a często nie umieją używać jego systemów komputerowych i robią obejścia. Totalnie bez poczucia odpowiedzialności za swoje działania. Przykładowo, A zna jako koleżankę panią agent ubezpieczeniową B. B wysyła do A mailem zdjęcia ze wspólnej imprezy. I raz zahaczyło jej się ze zdjęciami zdjęcie podpisanej polisy jakiejś osoby C. No i powiedzcie, czy na pewno za ten wyciek powinien odpowiadać Ubezpieczyciel? Wg mnie takich sytuacji są setki. Wielu agentów kompletnie nie kuma technologii i konsekwencji swoich działań. Niebezpieczniku, zróbcie jakiś kurs specjalnie dla nich!

  49. Przedewszystkim, zarysowujac sytuacje:
    ~ Pan A popelnil blad.
    ~ Firma F ma za to zaplacic.
    Juz na tym etapie widac ze cos jest mocno niehalo. Teoretycznie mozna rozwazac sytuacje ogolnie i szukac rozwiazania u firmy F, ale karanie ja za cos co nie jest wymagane prawnie (brak weryfikacji) naciagajac mocno kryteria powiadomienia jest sytuacja mocno patologiczna.

    Jesli juz ktos chcial by sie bawic w tego typu mikro-interwencjonalizm, to PIERWSZĄ kwestia ktora nalezalo by sie zajac jest to ze w normalnych sytuacji kiedy za bledy odpowiada osoba je popelniajaca, popelnianie bledow jest penalizowane (czytaj negative feedback loop) istnieje pewien naturalny nacisk na popelnianie mniej bledow.
    W sytuacji kiedy za bledy A odpowiada B (zwana powszechnie niesprawiedliwoscia lub potocznie “zje*iem”) czyli mozna powiedziec ze koszt bledu jest przerzucany z A na B, ten feedback loop zmienia sie na pozytywny, poniewaz w systemie kapitalistycznym istnieja inne podmioty ktorym takie bledy (oraz “bledy”) sa na reke – jak ktos tutaj zauwazyl, to jest otwardzie drzwi do uznaniowego uwala* firm, czyli de facto panstwo wspierajace najgorsze sposoby prowadzenia biznesu…
    Kolejna kwestia jest to, ze przed czyms takim nie da sie w zaden sposob zabezpieczyc, poniewaz o ile odpowiedz poprawna zazwyczaj jest jedna, to odpowiedzi blednych na kazde pytanie przypada nieskonczenie wiele, nawet ta glupia weryfikacja – bo co gdyby pan A przypadkowo wypuscil credentials do neta i stracil konto w przeciagu 5 minut pomiedzy weryfikacja a wyslaniem tych danych? Dlaczego by tez nie obciazyc tutaj tej bardzo złej firmy (wstretnych kapitalistycznych spekulantow)…

    • Kara byla z niezgloszenie wycieku. Nie za wyslanie danych do zlej osoby.

    • Jaki “wyciek”? Co to wedlug ciebie jest ten “wyciek”?

      Nigdy nie wyslales zadnych danych tam gdzie mialy zostac wyslane? Bo jesli tak to zgodnie z ta patologiczna interpretacja prawa kazdy ktorego danymi operowalac (a pod to mozna przeciez podciagnac zwykle tranzakcje handlowe) moze sobie stwierdzic ze napisal/powiedzial jedno, ale sie pomylil i nagle dane ktore zupelnie poprawnie trafily do poprawnego wlasciciela RETROSPEKTYWNIE i magicznie najwyrazniej wyciekly TOBIE…

      Rzeczywistosc: Pan A mowi slijcie do A@Y, medium (tzn. pośrednik) sle do A@Y, czyli Pan A wyslal swoje dane (blednie) do A@Y przez posrednika.
      Zaklamanie: Pan A mowi slijcie do B (ale mysli (lub inaczej wlasciwym jest) A@Z) i nagle posrednik znajduje sie w stanie nieustalonym i od tego co Pan A sobie mysli czy planuje albo postapili najzupelniej poprawnie albo doszlo do wycieku – czytaj Pan A (albo deb* albo konspirator) jest nagle bezzasadnie nagradzany (mozliwosc uwalenia kogos wedle uznania jest generalnie wartoscia dodatnia) za cos wedle wszelkich praw naturalnych czy boskich powinien zostac ukarany. Za bledy sie placi – wynagradzanie bledow to degeneracja (tak to jest chyba nawet zdefiniowane – degeneracja bedaca stopniowa i postepujaca akumulacja ogolnie pojetrych bledow). Proste.

      Przeciez to jest dokladnie ta sama postawa co zamawianie obiadow po ktorych zerżarciu stwierdzamy, ze jednak chcielismy cos innego wiec “zwracaj kase bo…!”.
      To samo w sobie wykracza przeciez ponad standardowe ostrzerzenie na orzeszkach o tym, ze produkt zawierac orzeszki, bo analogia jest osoba ktora wiedziala ze jest uczulona, ostrzezenie przeczytala ale orzeszki zjadla a producentowi dowalono za to kare, bo przecierz mogl pilnowac – bo co za problem otrzymac potwierdzenie przed sprzedaza…

  50. A ja uważam, że jakby Warta przesyłała dane osobowe w postaci zaszyfrowanego pliku, a hasło do odszyfrowania przekazałaby innym kanałem, np telefon, sms, to żadnej kary nie byłoby. Ale czy banki czy ubezpieczyciele ciągle polisy i inne dokumenty przesyłają na maila w sposób niezabezpieczony, co mnie irytuje posiadając pocztę w darmowej poczcie internetowej. Więc kara jak dla mnie za brak myślenia i zastosowania darmowych rozwiązań i tak mała :)

    • Przeciez te dane mogly by byc do sciagniecia w bezpieczny sposob ze strony warty – co rozwiazywalo by problem i z weryfikacja i z udostepnianiem poufnych danych juz nie “nie evil” google… Jest od groma rozwiazan ale nie o tym mowimy.

      Mowimy o tym ze urzad przywalil firmie okrezna droga i wyssanym z palca zarzutem kare, za brak weryfikacji KTOREJ NIKT K* NIE WYMAGA. CHCA KARAC ZA BRAK WERYFIKACJI? SPOKO NIECH TO WRZUCA DO PRAWNYCH WYMAGAN – ALE TAKIE NAGINANIE INTERPRETACJI BYLE TYLKO PRZYWALIC KARE JEST NAGANNE I **BARDZO** NIEBEZPIECZNE, BO DAJE *NIEOGRANICZONA* WLADZE ROZNYM HU* I JEST FUNDAMENTEM TEGO CO NAZYWAMY TERROR!!!

    • Poniewaz zaden z komentujacych, zaden z polakow, zaden z ludzi, zaden z naczelnych nawet zaden ze strunowcow nie informuje na bierzaco UODO o tych wszystkich wyciekach (w astronomicznej ilosci) KTORE NIGDY NIE MIALY MIEJSCA – a nie podejrzewam ze kazdego z nas stan na to zeby wyskoczyc z 85 tysi ilekroc ktos pstryknie palcami.

      Jesli dopusci sie, zeby tego typu zdazenia przeszly niezauwazone, przynoszac kozysci pstrykajacemy, to one sie powtorza, jeden raz, drugi trzeci, wkrotce staną norma a potem, potem nadejdzie pora na ekspansje…

  51. Dziwi mnie, że ktoś się dziwi, że naruszeniem ochrony danych jest wysłanie maila na nieprawidłowy adres podany przez osobę.

    Miałem takie przypadki zaraz po rozpoczęciu stosowania RODO i sprawa była oczywista. Definicja naruszenia w RODO jest pokrętna, ale w tym zakresie jest to jasne – doszło do ujawnienia danych osobowych osobie nieuprawnionej. A wytycznie EROD wyjaśniają – doszło do niego „obiektywnie”, osoba nieuprawniona zapoznała się z danymi. Administrator danych powinien przeanalizować ryzyko i jeżeli nie jest niskie – zgłosić naruszenie. Co więcej – powinien ryzyko minimalizować, czyli np. wprowadzić procedurę weryfikacji adresów. Udawanie, że w takim przypadku nie doszło do naruszenia uniemożliwia podjęcie działań zapobiegających powtórzeniu incydentu.

    Tak naprawdę, to już na etapie analizy ryzyka powinni byli stwierdzić, że ludzie są omylni i dodać procedurę weryfikacji adresu. Jeżeli takiego ryzyka nie zidentyfikowali, lub źle oszacowali, to incydent był okazją do powtórzenia procesu analizy. Tj. byłby, gdyby go nie zignorowali.

    Ja dostaję adresy od innych administratorów (m.in. banków) i jedyne co mogłem zrobić, to przekazać im informację, że powinni weryfikować adresy. Ale nigdy nie mieliśmy wątpliwości, że taki przypadek jest naruszeniem, potencjalnie podlegającym zgłoszeniu.

    • @Wredziol
      Jesli mowisz komus: Wyslij moje dane pod TEN adres, TO NINIEJSZYM UDZIELILES JEJ UPRAWNIENIA! pisemnego! na oficjalnym dokumencie!

    • @Wredziol,
      Po pierwsze i przedewszystkim – nigdzie nie widze informacji o tym ze ubezpieczyciel zostal w jakikolwiek sposob poinformowany, ze niewlasciwy kolo dostal email, jest za to informacja o tym ze zglosil to do UODO i UODO przywalilo kare. Pomijajac juz co dokladnie zaszlo w rzeczywistosci, bez tej informacji nie mozna bronic tej decyzji niewychodzac na kompletnego DE*…

      Wiec pierwsze co nalezalo by zrobic, broniac takiej decyzji drodzy przyklaskiwacze patologi i wielbiciele łgarstw i glupoty bylo by znalesc gdzies taka informacje i sie do niej odwolac w jakikolwiek sposob racjonalizujac inaczej de* wywody jak to to jest winą firmy ze nie poinformowala o wydarzeniu (ktore nazywacie wyciekiem) O KTORYM ZOSTALA POINFORMOWANA, poniewaz nieinformowanie o wyslaniu emaila na adres podany przez klienta jest conajmniej SENSOWNE.

      Takze teraz, nawet jesli nawet okaze sie ze firma była informowana i sprawe absolutnie i zlosliwie zlała, gdzie moglybysmy zaczac dyskutowac o prawie i RODO (bo przepisy moga byc durne i podatne na naciaganie) – to jaki cel ma dyskusja z kims kto bedzie upieral sie nawet przy najwiekszych bzdurach. Chcecie “wlasnymi rekoma” robic z swoich mozgow exkrementa – droga wolna…

  52. Az sie wzbuzylem i wyszlo troche zle, bo ila wam mozna id* tlumaczyc…
    Pisemny dokument z adresem do korespondencji jest takim wlasnie uprawnieniem DO WYSYLANIA NA TAKI ADRES KORESPONDENCJI (na dobra sprawe wystarczyla by zgoda ustna, tylko tutaj mozna by sie wcinac kto co powiedzial a kto co uslyszal, a tutaj mamy wszystko ladnie CZARNO NA BIALYM NA JE* PAPIERZE).

    Gdyby te twoje dyrdymaly byly w jakikolwiek prawdziwe, posrednicy odpowiadali by za bledy swoich klientow, co jest bzdura, czyli musze zalozyc ze najzwyczajnie w swiecie lzesz i bajki wymyslasz…

  53. A moze to ja czegos nie rozumiem… Śmiało, niech mi ktos wyjasni:
    1. Jak dziala informowanie o czymś o czym nie zostało sie samemu poinformowanym?
    2. Dlaczego mialbym odpowiadac za pomylke kogos innego, tylko dlatego, ze teoretycznie istnieje sposob w ktory móglbym jej zapobiec, przy czym nikt (zadne prawo) odemnie tego nie wymaga?
    3. Jakie warunki musiałbym spełnić, żeby dane ktore wysłałem na adres podany do korespondencji, nie zostały uznane za wyciek?

  54. Jeżeli została wykonana analiza ryzyka naruszenia praw i wolności osoby, której dane dotyczyły i wynika z niej, że ryzyko jest niskie to nie ma konieczności zgłaszania do PUODO.

  55. Jestem pod wrażeniem jak niektórzy uparcie bronią firmy, a ich argumentem jest to, że e-mail nie jest bezpieczną formą przekazywania wiadomości, więc można olać jego weryfikację najprostrzymi i darmowymi sposobami i bez żadnej pewności, czy jest poprawny wysyłać maile z ważnymi danymi. Oczywiście nie zaszyfrowanymi, bo i po co, skoro szyfrowanie też można złamać? Albo argumentują to tym, że ktoś może nie potrafić sprawdzić skrzynki! Kurcze, jeśli ktoś nie potrafi obsługiwać maila, to niech go nie podaje, bo po co? I tak dokumentacji nie pobierze.

    Z szyfrowaniem dokumentacji się zgodzę, bo rzeczywiście można to złamać. Zwłaszcza przy standardzie zabezpieczania e-mail numerem PESEL, co tylko zawęża krąg poszukiwania hasła.

    Weryfikacja adresu e-mail jest potrzebna i ważna! Jest to proces całkowicie darmowy (nie licząc kosztu dostępu do internetu, bo ten i tak jest ponoszony, no i kosztu ewentualnego serwera mailowego, bo ten też jest wliczony, w to, że w ogóle korzystamy maila). Co za problem przygotować stronkę, do której jesteśmy przekierowani i musimy tam podać imię i nazwisko podane przy podpisywaniu umowy (takie dane nie mogą przyjść w żadnym mailu przed jego zweryfikowaniem)? Dla takiej firmy to sprawy groszowe, a poziom bezpieczeństwa podniesiony znacznie.
    Zarzucacie też, że co, jak ktoś nie zweryfikuje e-maila? A no tyle, że traktuje się go jak by go w ogóle nie było i dokumentację przesyła się pocztą lub kurierem i to w gestii poczty lub kuriera leży to, by dotarła ona do właściwego adresata. Dotarła w niepowołanej ręce? Cóż, to wina poczty, nie firmy.

    A zapytacie się (wiem, że są tacy, co szukają problemu na siłę), co jeśli ktoś nie zweryfikuje maila i nie

    • I nie podał właściwego adresu?
      A no tyle, że umowa jest nie ważna, bo raczej ktoś chce oszukać. Firma raczej nie chce zawierać umów z postaciami fikcyjnymi.

      Przepraszam, że kończę w odpowiedzi, przez jakiś dziwny skok stronki lub klawiatury, niechcący wysłałem odpowiedź przedwcześnie.

  56. UODO oszalał i kara jest całkowicie błędna. Nie powinna wyć wymierzona za przesłanie maila na zły adres ALE ZA WYSŁANIE MAILA Z NIEZASZYFROWANYMI DANYMI OSOBOWYMI. Gdyby dane osobowe były zaszyfrowane, to wysłanie maila na zły adres nie powodowałoby ich ujawnienia. Protokół mailowy nie jest szyfrowany i to wysyłanie nieszyfrowanymi mailami danych osobowych stanowi naruszenie a nie wysłanie na zły adres.

  57. […] systemu czy może z jakiegoś innego powodu. Całkiem niedawno pisaliśmy o firmie, która została ukarana za wysyłkę maila do złego adresata, mimo iż to klient sam podał błędny adres. Inna rzecz, że serwis Pacjent.gov.pl jest rzekomo serwisem “Ministerstwa Zdrowia i […]

  58. […] na koniec przypomnijmy, że niedawno inny ubezpieczyciel otrzymał od PUODO karę w wysokości 85 tys. złotych za źle zaadresowanego e-maila, jednego e-maila. […]

  59. RODO jest bardzo fajne. Tylko gorzej z naszymi urzędnikami i brakiem zrozumienia RODO przez wielu.

    Tutaj to nie jest problem techniczny / algorytmiczny tylko prawny.

    Zgodnie z artykułem firma dostała karę za niezgłoszenie incydentu i niepoinformowanie klienta, gdyż zdaniem urzędu incydent MIAŁ WPŁYW NA PRWAWA I WOLNOŚCI osoby, których dane zostały ujawnione innej osobie. I to jest absurdalne stanowisko.

    Firma oceniła incydent i stwierdziła, że NIE MIAŁ ON WPŁYWU NA PRAWA I WOLNOŚCI osoby, której dane dotyczyły – a więc nie miała potrzeby zgłaszać zgodnie z RODO. I wydaje się, że to była rozsądna ocena – jeśli ktoś uczciwie ci zgłasza, że dostał czyjegoś maila – jaka jest szansa, że jest oszustem? W ogóle jaka jest szansa, że wysyłając maila na losowy adres trafisz na złodzieja? Chyba łatwiej wygrać w totolotka. Ja w tym kraju zgubiłem portfel kilkukrotnie i za każdym razem ktoś mi go przynosił ze wszystkimi kartami i całą gotówką.

    UODO zaczął jakąś dziwną dywagację, czy nieuprawnionemu odbiorcy można ufać odnosząc się do zapisów o odbiorcy zaufanym (zgodnie z def. prawną). Absurd, bo to zupełnie inna sprawa odbiorcy zaufanego.

    Przede wszystkim nie można zakładać, że wszyscy są złodziejami – bo przy takim założeniu wszelki rozwój społeczny by zamarł i wszyscy by się tylko okopywali, a firmy zamiast robić biznes to by drutami kolczastymi się okopywały. Umowy ubezpieczeniowej byś nie zawierał przez internet tylko w pokoju z zagłuszaczem fal radiowych. I jeśli RODO będzie tak gnębić rodzime firmy, podczas gdy jednocześnie ginanci będą się sprawnie bronili (lub płacili), to sorry. Ten czas i zasoby firma by lepiej poświęciła na rozwój produktów i gospodarki.

    Firma na pewno wygra sprawę w odwołaniu. Tylko, że koszty procesowe odwołania to będzie pewnie z 50.000 zł – więc nie wiadomo, czy opłaca jej się odwoływać. A koszty PR-owe jeszcze wyższe, więc może lepiej zapomnieć, żeby już o tym nie pisali.

    Firma na pewno powinna poinformować klienta o tym, że podał zły adres i polisa została wysłana na ten błędny adres – ale nie z uwagi na obowiązki RODO, tylko przyzwoitość i możliwość dalszej obsługi pod właściwym adresem.

    A co do pozostałych kwestii:

    1. PDF powinien być szyfrowany i zabezpieczony hasłem nie dostępnym publicznie (w przypadku osób prowadzących firmy, będących w organach zarządczy firm publiczne sa ich PESEL-e, emaile, telefony, adresy zamieszkania) – ale na to PUODO nie zwrócił uwagi i nie za to kara, bo PUODO nie ma pojęcia o zabezpieczeniach danych, tylko pracuje na rozporządzeniu RODO i prowadzi ocenę prawną, mając zrozumienie aspektów technicznych na poziomie miernym

    2. Weryfikacja adresu jest pomysłem osób bez doświadczenia praktycznego. Taki mail był zapewne zebrany na formularzu papierowym, więc nie było zapewne możliwości żadnego wysyłania kodu weryfikacyjnego w obecności klienta, również każdy inny zaproponowany proces “potwierdzania” emaila to albo możliwość potwierdzenia przez osobę trzecią (czyli bez sensu) albo rozwalenie procesu i zapewne w wielu przypadkach utrata klienta, który zdąży się rozmyśleć, lub znajdzie alternatywę. Czyli rozwiązanie nieuwzględniające kosztów biznesowych – a to jest ważnym elementem RODO, czego polska administracja nie chce zauważać. Ostatecznie – jak kilka osób zauważyło – nawet podanie właściwego adresu email nie daje gwarancji nieujawnienia osobie trzeciej – np. przez forward, ale też przez pozostawienie otwartej przeglądarki na publicznym komputerze. Tak więc ona nie chroni tutaj ani klienta, ani firmy przez absurdalną decyzją PUODO. Tak więc – jeśli mają takich incydentów 10 w roku, to sorry, ale utrudniać życie dziesiątkom tysięcy klientów po to, żeby wypełnić absurdalne wyobrażenie UODO, że taka błędna wysyłka ma wpływ na prawa i wolności klienta, to sorry.

    3. Wydaje się, że nie ma idealnego rozwiązania , które dawałoby tutaj zabezpieczenie techniczne na wysokim poziomie i nie czyniło procedury trudnej/zniechęcahącej/nieopłacalnej do przejścia dla klienta. Ja osobiście wymiotuję jak widzę kolejne informacje RODO / Ciasteczka i zastanawiam się ile razy przez te bzdurne komunikaty nie potwierdziłem z rozpędu jakiś regulaminów, że do końca życia będę oddawał organy lub płacił abonament za życie. Jakoś nie mam poczucia, że to zwiększa moje PRAWA I WOLNOŚCI, a raczej czuję się osaczony RODO i narażony na manipulacje przez możliwość niedoczytania w gąszczu dodatkowych procedur. Ostatecznie koszty tych wszytkich zbędnych i zawiłych procedur i gubiących się w nich pracowników i klientów ponoszą klienci i raczej mam wrażenie, że ogranicza to ich PRAWA I WOLNOŚCI.

Odpowiadasz na komentarz Seba

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: