20:25
31/7/2017

Pewna recepcjonistka rozesłała e-maila do kilkuset gości hotelowych. Niestety — jak to często bywa — odbiorców nie wpisała w pole BCC (UDW) i w ten sposób wszyscy adresaci poznali adresy e-mail pozostałych odbiorców. Jeden z adresatów na tyle się zdenerwował, że sprawa trafiła do prokuratury. I tu zaczyna się pasmo porażek, pod tytułem “jaka piękna katastrofa”. Bo efektem sądowej batalii jest to, że wszyscy pokrzywdzeni poza adresami e-mail innych klientów hotelu udostępnionymi przez recepcjonistkę, poznali także swoje pełne imiona i nazwiska…, a na deser dorzucono im szczegółowe informacje o samej recepcjonistce i jej rodzinie. Oto historia z cyklu: im bardziej Puchatek zaglądał do środka, tym bardziej tam Prosiaczka nie było.

Historia jakich wiele…

Nasz Czytelnik dawno temu spędził weekend w pewnym hotelu na południu Polski. Przy meldowaniu się w hotelu podał swój adres e-mail. Jakiś czas później dostał na ten e-mail ofertę hotelu oraz 204 adresy e-mailowe innych osób, do których rozesłano tę samą ofertę. Pracownica zapomniała o BCC (UDW), zdarza się.

Takich historyjek znamy mnóstwo i zazwyczaj kończy się na pouczaniu nadawców, że nie należy tak robić, a takie wpadki zdarzają się nawet firmom z branży bezpieczeństwa. Niektóre z firm kajają się i dobrowolnie w ramach “zadośćuczynienia” przekazująksiążkido bibliotek (albo nie przekazują).

W tym przypadku, sprawa urosła jednak do rangi wymiaru sprawiedliwości…

Prokuratura wkracza do akcji!

Sprawa opisywanego przez nas incydentu trafiła do GIODO, a urząd powiadomił o nim Prokuraturę Rejonową w Nowym Targu. Ta podjęła następujące czynności:

  • przesłuchała świadków,
  • zasięgnęła opinii policyjnych informatyków z KWP w Krakowie (???),
  • przesłuchała podejrzaną, która przyznała się w całości do zarzucanego jej czynu (z art. 51. ustawy o ochronie danych – udostępnianie zbioru osobom nieupoważnionym).

Recepcjonistka była niekarana, nieleczona psychiatrycznie i prokurator miał powody by sądzić, że nie będzie ona dalej kroczyć ciemną ścieżką cyberprzestępstw e-mailowych. Bardzo rozsądnie zaproponował więc sądowi warunkowe umorzenie postępowania karnego, jeden rok próby i wpłacenie 500 zł na Fundusz Ofiar Wypadków oraz Pomocy Postpenitencjarnej.

Wiemy co sobie teraz myślicie — za brak BCC można pójść w Polsce do więzienia. Niektórzy pewnie nawet są zdania, że:

…ale to nie koniec tej historii.

Prokuratorski “mailing”

Wszyscy pokrzywdzeni (205 osób) dostali — zgodnie z prawem — pocztą kopię wniosku o warunkowe umorzenie postępowania karnego. I teraz najlepsze — w tej kopii znalazły się:

  1. informacje o przeprowadzonych czynnościach,
  2. imiona i nazwiska wszystkich pokrzywdzonych (!!!),
  3. bardzo szczegółowe informacje o recepcjonistce — czyją jest córką, jaki ma PESEL, że ma męża, ile ma dzieci, jaki jest stan jej zdrowia, ile zarabia, jaki jest zawód męża, ile zarabia mąż, czy była leczona psychiatrycznie, czy była karana…

Oto fragmencik pisma z informacją o wszystkich pokrzywdzonych.

A tutaj informacje o pani recepcjonistce.

Czy naprawdę wszyscy musieli się dowiedzieć, że ta Pani jest współwłaścicielką działki?

Powtórzmy raz jeszcze. To pismo trafiło do 205 osób! Zgodnie z prawem!

Trudno jest oprzeć się wrażeniu, że wygląda to trochę jakby władze dokonały odwetu na recepcjonistce. Ujawniająca e-maile została ukarana ujawnieniem jej szczegółowych danych ponad dwustu osobom. Gdyby ta kobieta była leczona odwykowo (co może się zdarzyć każdemu) wszyscy by się dowiedzieli, a przecież informacje o zdrowie to dane wrażliwe. Inna sprawa, że w takiej sytuacji pewnie nie jeden odwykowiec zapragnąłby się napić.

Trochę zabawne, a trochę na swój sposób smutne wydaje się być także to, że prokuratura w zasadzie powtórzyła czyn kobiety — rozesłała do ludzi informację o innych odbiorcach mailingu. W dodatku warto zauważyć, że dane prokuratury są cenniejsze bo to imiona i nazwiska, nie tylko adresy mailowe, które mogą brzmieć “anonimowo” (tj. kotka69@buziaczek.pl). Jeśli ktoś z pokrzywdzonych zachował sobie e-maila, to może teraz skojarzyć adresy z nazwiskami poszkodowanych.

Ta historia jest ciekawa z kilku powodów. Po pierwsze pokazuje jakie możecie mieć problemy jeśli zapomnicie o BCC. I przyznajcie, że do tej pory nie sądziliście że aż takie ;)

Warunkowe umorzenie postępowania nie jest co prawda wyrokiem skazującym, ale o zastosowaniu tego środka decyzję podejmuje Sąd w formie wyroku. W takiej sytuacji nadal można uzyskać z KRK zaświadczenie o niekaralności, ale cała sytuacja na pewno będzie bardzo nerwowa dla osoby, która po raz pierwszy staje przed wymiarem sprawiedliwości.

Co na to GIODO i prokuratura?

O komentarz w tej sprawie poprosiliśmy zarówno prokuraturę jak i GIODO. Najpierw odpowiedziało nam GIODO, a konkretnie jego rzeczniczka Agnieszka Świątek-Druś:

Zgodnie z przepisami ustawy z dnia ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (dalej: kpk) pokrzywdzony jest stroną postępowania przygotowawczego, o czym wyraźnie stanowi art. 299 § 1 kpk. Z tego tytułu pokrzywdzonemu przysługuje wiele praw, m.in. może brać udział w czynnościach postępowania przygotowawczego (art. 316 § 1, art. 317 § 1), może zaskarżać postanowienia, zarządzenia i czynności procesowe (art. 306 § 1, 1a i 3, art. 302 § 2, art. 46). (…)
Należy przy tym zwrócić uwagę, iż strony postępowania przygotowawczego powinny być informowane o czynnościach podejmowanych przez organ prowadzący postępowanie. Jak wskazał Sąd Najwyższy w postanowieniu z 17 czerwca 1993 r. (sygn. akt II KRN 91/93), naruszenie przez organy procesowe przepisów prawa procesowego, które uniemożliwiło uczestnikom postępowania wstąpienie w prawa strony, może stanowić z reguły podstawę do podniesienia zarzutu odwoławczego z art. 438 pkt 2. (…)
Trudno jednoznacznie odnieść się do kwestii istnienia bądź nie podstawy prawnej do informowania 205 osób o szczegółowych danych oskarżonej, takich jak PESEL, wykształcenie, dochody i informacje o stanie zdrowia. Można tylko wskazać na przepisy kodeksu postępowania karnego dotyczące udostępniania akt postępowania przygotowawczego, tj. art. 156 § 5 kpk. Przepis ten stanowi, że jeżeli nie zachodzi potrzeba zabezpieczenia prawidłowego toku postępowania lub ochrony ważnego interesu państwa, w toku postępowania przygotowawczego stronom, obrońcom, pełnomocnikom i przedstawicielom ustawowym udostępnia się akta, umożliwia sporządzanie odpisów lub kopii oraz wydajE odpłatnie uwierzytelnione odpisy lub kopie (…)
GIODO jako organ, którego kompetencje określa art. 12 ustawy o ochronie danych osobowych, nie może ingerować w tok takiego postępowania, co potwierdza orzecznictwo.

Nieco później dostaliśmy wyjaśnienia prokuratury. Prokurator Okręgowy Michał Trybus pokrótce wyjaśnił, że wymóg podawania wszystkich danych wynikał z przepisów Kodeksu postępowania karnego (prokurator wskazał art. 336 §2, art. 332 §1 oraz art 334 § 3).

Postępowania karne vs prywatność

Oczywiście już przed otrzymaniem tych komentarzy dobrze wiedzieliśmy, że w Polsce osoby pokrzywdzone zawsze mogą poznać dane osobowe sprawców, podejrzanych lub nawet świadków w sprawie. Ta możliwość była nawet wykorzystywana biznesowo na dużą skalę w tzw. copyright trollingu. Pewni adwokaci i radcy uruchamiali postępowania dotyczące udostępniania materiałów w sieci P2P i nie czekając na wynik postępowań masowo rozsyłali listy z wezwaniami do zapłaty. Ci adwokaci i radcy dosłownie “używali policji i prokuratur” w celu masowego pozyskiwania danych osób, które mogły mieć luźny związek ze sprawą.

Problem nadużywania postępowań karnych w celu pozyskiwania danych był podnoszony przez organizacje pozarządowe oraz GIODO. Szersze jego omówienie wymagałaby osobnego artykułu. Tutaj tylko sygnalizujemy, że w Polsce należałoby generalnie przemyśleć kwestię ochrony prywatności osób, których tożsamość przewinęła się przez dokumenty prokuratur. Chcieliśmy też pokazać absurd sytuacji — prokuratura zrobiła to, za co ukarała kobietę. Choć, i to należy podkreślić, miała do tego pełne prawo. Ciężko tu doszukiwać się złośliwości z jej strony — tak po prostu “trzeba”.

A gdyby tak...

A gdyby tak… ;-)

Jest nam szczerze żal recepcjonistki, której prywatność potraktowano w ten sposób. W tej sytuacji jest coś głęboko absurdalnego, niezależnie od kwestii prawnych. Zastanawiające są także koszty i środki jakich trzeba było użyć w tej sprawie.

Podsumowując — pamiętajcie o BCC. Będzie to dobre i dla was i dla budżetu państwa.


Aktualizacja 1.08.2017, 11:26
Jeden z naszych czytelników, po zapoznaniu się z tym artykułem, przypomniał sobie, że kiedyś był przez policję z Torunia e-mailowo informowany o pewnym postanowieniu “w sprawie”. E-mailowo, bo odbiorców było dużo, a więc tak policja (słusznie!) ograniczała wydatki. Czytelnik przesłał nam tę wiadomość, która — tak, dobrze się domyślacie — także ujawniała adresy e-mail “stron”. Przy czym tu jest jeszcze jeden smaczek, bo, jak pisze nasz czytelnik:

Po otrzymaniu tego maila telefonowałem do policji i dowiedziałem się że sprawa mnie nie dotyczy, a mojego maila mieli w związku z inna sprawą (oszukał mnie sprzedawca na allegro). Interesuje mnie czy Pan Wojciech (…) leczy się, czy też się nie leczy psychiatrycznie ;)

A co było w postanowieniu:

Proponujemy ten artykuł rozesłać do wszystkich w Waszej firmie. Niech wiedzą co ich czeka, kiedy zapomną o BCC/UDW ;) A gdybyście chcieli swoich współpracowników podciągnąć z poprawnego i bezpiecznego wykorzystywania firmowych komputerów i uświadomić im pewne ryzyka związane z wykorzystywaniem internetu, to możecie nas zaprosić do Waszej firmy — wygłosimy “uświadamiający” wykład, pokazujący szereg wpadek różnych polskich firm przeplatanych z pokazami “hackingu na żywo” w luźnej, na długo pozostającej w pamięci formie. Tu możecie zobaczyć pełną listę tematów naszych cyberwykładów.

Aktualizacja 10.08.2017, 11:26

Prokuratura Rejonowa w Nowym Targu przesłała do nas odpowiedzi na dodatkowe pytania, które mogą was zainteresować. Chodzi m.in. o to jakie środki zainwestowano w zbadanie tej sprawy. Odpowiedź wygląda tak.

W skrócie dla tych, którym nie chce się czytać skanu.

  • Przesłuchano 155 osób. Prokuratura najwyraźniej przesłuchałaby wszystkich gdyby tylko mogła (niektóre osoby były za granicą).
  • Nazwiska pokrzywdzonych ustalono po prostu kontaktując się z tymi ludźmi.
  • Koszty postępowania wyniosły ponad 1200 zł i obejmowały opinie biegłych z zakresu “komputeryzacji”.

Dziękujemy prokuraturze za rzeczową odpowiedź na pytania.

 

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

85 komentarzy

Dodaj komentarz
  1. Najbardziej śmieszno-straszne jest to pewnie dla samej osoby, która tak poważną zadymę o to wszczęła, bo uzyskała efekt wręcz przeciwny – jeszcze więcej danych niż mail zostało ujawnionych i co więcej – zgodnie z prawem, więc teraz już za to nikogo nie uda się rozliczyć…

    IMHO to także nauczka dla osoby, która wytoczyła tak ciężkie działa – nie było warto. Lekcja – używać środków współmiernych do szkody. Tu jak dla mnie strzelono z czołgu do mrówki, przy okazji demolując kilka domów w okolicy :)

    • Może gość wiedział co będzie, a/i może nie miało to żadnego znaczenia dla niego? Może właśnie o to mu chodziło? Póki nie zapytasz i ci nie odpowie, można w temacie gdybać.
      Ale fajnie wiedzieć, że z głupiego BCC może wyniknąć taka afera :)

  2. Takie jest prawo. Dostali kopię aktu oskarżenia którego część składa się z informacji o oskarżonym. Pani jednak była winna chociaż w tej sprawie rozesłane jej danych przez prokuraturę rzeczywiście wygląda groteskowo;)

    • A pomyśleć, że prościej było jako od firmy żądać dobrowolnego zapłacenia odszkodowania w wysokości 3000zł. Zarobiłby na tym, bo firmy boją się GIODO (i słusznie). A firemka by się nauczyła szubko używać BCC.

  3. Ja dostałem maila z życzeniami świątecznymi od pewnej wyższej szkoły INFORMATYKI z adresami 1223 osób :)

    • Jeszcze powiedz, że Wrocławskiej? ;)

    • Hmm… świetny target do sprzedania paru szkoleń (informatycznych… np. z bezpieczeństwa).

  4. Nie rozumiem po co w różnych procesach administracyjnych urzędy polskie gromadzą wszelkie możliwe, najczęściej niepotrzebne informacje. To jest jakiś postkomunistyczny idiotyzm i dodatkowe ryzyko ujawnienia poufnych danych.
    Pewnie dlatego że są przyzwyczajeni do zbierania ton papierów i teczek a zawsze wygodniej mieć wszystko w jednym pliku.
    Admionistracja nie dojrzała najwyraźniej do poziomu relacyjnych baz danych.

    • Dlatego, że polski Kodeks Postępowania Karnego każe rozpoznać i wyjaśnić wszystkie znane okoliczności mogące mieć wpływ na sprawę.

      Z tego samego powodu postępowania sądowe tak długo trwają – bo jeśli “przypadkiem” oskarżony albo świadek opowie o różnych okolicznościach pobocznych (np. morderca miał działkę, na tej działce jeszcze 3 lata wcześniej było pole marychy uprawiane przez wujka, który zmarł na zawał po tym jak jego żona wyjechała z kochankiem do Australii), to policja na zlecenie prokuratury musi te okoliczności powyjaśniać (o ile zeznania nie są w oczywisty sposób niewiarygodne) i ustalić stopień ich wpływu na oskarżonego i zarzucany mu czyn, a przy okazji także ustalić, czy nie należy przedstawić zarzutów jeszcze komuś.

    • @Tomasz Klim

      Super, to jeszcze powiedz/zasugeruj jaką to “okolicznością” jest działka tej kobiety w sprawie o to, że zapomniała zrobić ukrytą kopię wysyłając maila. Albo dane na temat jej męża.

      Czym innym jest szczegółowe rozpoznanie sprawy WEDLE POTRZEBY a czym innym marnowanie zasobów i pieniędzy podatników a później robienie dokładnie tego samego za co kogoś karzesz. To jest zwykła farsa i nie da się tego obronić.
      Nawet jeśli zebrano takie dane nadmiarowo to jeśli uznano, że ostatecznie nie mają związku ze sprawą to najzwyczajniej powinno się je pominąć w powiadomieniu/wyroku/uzasadnieniu.

  5. Na miejscu recepcjonistki pozwałbym skarb państwa o ujawnienie danych prywatnych i straty moralne związane z przekazaniem danych w niepowołane ręce. Na miejscu męża drugi pozew. Paragrafy przytoczone przez prokuratora wskazują, że niekoniecznie te dane muszą być udostępniane (pod pojęciem inne dane można skryć wszystko ale bez przesady…):

    ===================
    Art. 332. § 1. Akt oskarżenia powinien zawierać:
    1) imię i nazwisko oskarżonego, inne dane o jego osobie oraz dane o zastosowaniu środka zapobiegawczego,

    Art 336
    § 2. Do wniosku stosuje się odpowiednio przepisy art. 332 § 1 pkt 1, 2, 4 i 5. Uzasadnienie wniosku można ograniczyć do wskazania dowodów świadczących o tym, że wina oskarżonego nie budzi wątpliwości, a nadto okoliczności przemawiających za warunkowym umorzeniem.
    ===========

    Czy prokuratura podlega pod GIODO?

    • A dlaczego skarb państwa? Przecież to nie skarb państwa podpisał się pod korespondencją ;)

    • Też mi się wydaje, że to co się wydarzyło to jakieś okrutne przegięcie pały.
      “inne dane o jego osobie” wskazują np. na pesel, który jednoznacznie wskazuje na konkretną osobę w kraju a nie ku*wa na informację, że ktoś jest współwłaścicielem działki albo ile ma dzieci lol. I oczywiście żaden idiota z prokuratury nei widzi w tym żadnego problemu :/
      Moim zdaniem babka powinna walczyć o swoje bo o ile zgadzamy się, że popełniła błąd o tyle kara powinna być współmierna do winy. A to co przeczytałem to jakieś kuriozum prawa jest.

    • > Na miejscu recepcjonistki pozwałbym skarb państwa o
      > ujawnienie danych prywatnych i straty moralne związane
      > z przekazaniem danych w niepowołane ręce. Na miejscu
      > męża drugi pozew.
      > Paragrafy przytoczone przez prokuratora wskazują, że
      > niekoniecznie te dane muszą być udostępniane (pod
      > pojęciem inne dane można skryć wszystko
      > ale bez przesady…):

      Otóż to. Nasze pańśtwo sobie po prostu z nami w kulki leci!

      Ostatnio mieli wdrożyć ukrywanie przynajmniej adresów zamieszkania – miało być w załączniku adresowym, “tylko do wiadomości prokuratora i sądu”. A w praktyce?

      Dlatego:
      – należy znieść obowiązek meldunkowy i zlikwidować rejestry meldunkowe,
      – należy znieść numery PESEL,
      – należy zlikwidować wszystkie rejestry adresów zamieszkania i w ogóle przestać pozyskiwać ten adres od ludzi (wystarczy adres do korespondencji)
      – dla identyfikacji osoby ma być imię+nazwisko+numer DOWOLNEGO uznanego dokumentu ze zdjęciem,
      – należy zakazać udostępniania stronom nagrań z rozpraw sądowych i przywrócić normalne protokoły, które udostępnia się po wycięciu z nich adresów i numerów identyfikacyjnych typu NIP czy numerów dokumentów (chyba że adres/numer jest istotny dla sprawy)
      – należy przestać upubliczniać w pismach sądowych sytuację osobistą i majątkową oskarżonych/podejrzanych i wszelkie inne podobne informacje, które nie są istotne dla sprawy,
      – w ogóle należy wdrożyć zasadę “privacy by default” a tam, gdzie się da, także “privacy by design”

      Wiem oczywiście, że w państwie rządzonym przez PiS są to pobożne życzenia, bo władza ta idzie w dokładnie przeciwnym kierunku: jeszcze więcej rejestrów, jeszcze więcej inwigilacji, jeszcze więcej biurokracji, jeszcze więcej kontrolowania nas i zbierania o nas danych…

      Jedyną szansą na zmianę jest to, że wyciekną dane osobowe jakiegoś polityka partii rządzącej, najlepiej z informacjami o jego dzieciach, kochankach i majątku – wtedy byłaby szansa na zmianę, podobnie jak wprowadzono “załączniki adresowe” (jak widać teoretycznie) do wiadomości prokuratora i sądu, po upublicznieniu w Internecie akt afery podsłuchowej, z PESELami i adresami polityków i wysokich urzędników państwowych.

    • @Maria
      Stek bzdur.

    • A ja bym zlikwidował imiona i nazwiska w administracji. PESEL to ID jednoznacznie identyfikujący obywatela.

  6. A nie prościej było wysłać prokuraturze informacji o prowadzonej sprawie bez informowania o szczegółach? Wtedy każdy mógł by się pofatygować po akta sprawy i uzyskać informację jak by tego potrzebował. No chyba nie ma potrzeby wysyłać 200 tomów sprawy specjalnie jeśli ktoś potencjalnie nie jest zainteresowany sprawą.

  7. A mnie tam żal tych którzy musieli z byle pierdołą iść do prokuratury bo im się BBC nie spodobało, zbyt długo siedzę w sieci aby taki rzeczy mnie drażniły – osobiście, bym całkowicie olał

    • Najwyraźniej poszkodowany miał uzasadniony powód do tego, żeby nikt nie kojarzył jego osoby z pobytem w tym hotelu. Może był tam z kochanką, może był tam z żoną, może podany adres e-mail był przez niedopatrzenie służbowy a firma prowadzi daleko idącą inwigilację korespondencji (nie to, żeby od razu treści, wystarczy domena nadawcy) …

    • Nie do prokuratury poszedł, tylko do GIODO. Problem w tym, że nie ma w takich sprawach drogi pośredniej.
      W idealnym świecie sprawa powinna się skończyć na pouczeniu/mandacie za wykroczenie wystawionym przez funkcjonariusza policji – tak, jak jest w przypadku piesków kupkających na trawniki albo “kreatywnych” parkujących.

    • Alez nie doczytałeś. Jeden z poszkodowanych zgłosił do GIODO (raczej słusznie), i to GIODO zgłosił do prokuratury (nie wiem, czy słusznie, bo mógł przewidzieć co to wywoła).
      A tak przy okazji, żeby nie robić drugiego komentarza – czemu prokuratura _musi_ wysyłać papier, pewnie gruby, po prawie 10zł/szt (zpo!), jeśli z definicji ma emaile? A może powinni szukać w ePUAP, jeśli maile są mało wiarygodne?

    • “czemu prokuratura _musi_ (…)?”

      Dlatego że w państwie prawa policja i prokuratura nie działają wg swojego widzimisię, tylko wg przepisów dość ściśle określających, jakie czynności powinny mieć miejsce, w jakiej kolejności, w jakiej formie itd.

  8. Jest taki stary numer jak uzyskać dane dowolnej osoby.
    Trzeba złożyć pozew (wszystko jedno jaki) i wpisać tylko nazwisko.
    Sąd każe uzupełnić dane, a my mamy podkładkę do urzędu jeśli chodzi o udostępnienie danych – “ważny interes prawny” czyli pozew.
    Często to ponoć działa(ło?)

    • Wcale nie musisz zakładać nikomu sprawy, wystarczy wystąpić o udostępnienie takich danych i zapłacić (jednak dane muszą jednoznacznie wskazywać konkretną osobę, np. Imię i Nazwisko + adres zameldowania w konkretnym przedziale czasowym, a zapytanie o PESEL, imiona rodziców itp.)

  9. Są jakieś dodatki do thunderbirda zapobiegające temu?

    • Żeby zablokować takie wpadki w Thunderbirdzie wystarczy dodatek Use Bcc Instead: https://addons.mozilla.org/en-US/thunderbird/addon/use-bcc-instead/. Albo zablokuje maila, albo zaminie wszystkich na BCC, można ustalić próg ilościowy.

      Jedyna wada to to, że najprawdopodobniej od Thunderbirda 57 nie będzie już działał przez przejście produktów Mozilli na webextensions.

  10. Wysyłanie tego do prokuratury… To już trzeba mieć łeb jak sklep. No i dostał skutek odwrotny od założonego. Koleś ma trochę nie po kolei by do prokuratury recepcjonistkę ośrodka wypoczynkowego podawać za 100 maili. Bezpieczeństwo jest ważne, ale bez przesady. Nawet mi go nie żal.

    • Z tego co ja przeczytałem, to prokuraturę zawiadomiło GIODO, a nie adresat maila.

  11. Czy ja wiem, czy zapomniała? Mogła nawet nie wiedzieć o istnieniu takiego pola albo nigdy nie zastanawiać się, do czego ono służy. A BCC w tytule przeczytałem jako BBC i zupełnie nie wiedziałem, o co chodzi. Ale ta akcja uświadamiająca w waszym wykonaniu zaczyna już się robić, szczerze mówiąc, nudna.

    • To prawda. W końcu po polsku pole brzmi UDW. Wprawdzie recepcjonistki często mówią po angielsku ale nie ma takiego obowiązku.

    • To nie została przeszkolona. Też bym pozwał

  12. eh, a jakby tak mailing szedł z systemów, a nie z klientów poczty?

  13. A później wszyscy się dziwią, że postępowania w prokuraturach i sprawy sądowe trwają latami, bo muszą zajmować się także takimi pierdołami.
    A ten co narobił tyle szumu, to zapewne jakiś “chodzący ideał”

  14. padłam…

  15. BCC to katastrofalna bzdura, bardzo łatwo o pomyłkę.

    Do spamowania używa się specjalistycznych programów, chociaż można też “lekko” zmodyfikować Mailmana czy Ezmlm (żeby nie dodawał standardowych nagłówków list mailingowych).

    Inna sprawa, że spamowanie wymaga zazwyczaj opinii informatyka, a nie aktywności sekretarki czy marketingowca, który na pytanie, czy potrafi wysłać maila z ofertą do 200 klientów odpowie “aha”.

    Pozdro

    • A po co modyfikować Mailmana tak, żeby NIE wysyłał nagłówków listy mailingowej?
      List mający “po bożemu” wszystkie nagłówki listy mailingowej tak jak należy jest uznawany przez oprogramowanie antyspamowe za bardziej wiarygodny niż list, w którym przy nagłówkach coś majstrowano. Więc jeżeli chcemy wysłać mail do wielu użytkowników tak, by NIE został odrzucony przez filtry antyspamowe, to najbezpieczniej jest użyć w tym celu jak najbardziej regularnej listy mailingowej…

  16. 1. Prawo w tym zakresie jest złe. Za takie przewinienia osoba fizycznie wciskająca guzik send (czytaj: szeregowy pracownik) powinna otrzymać np mandat.

    2. Nie rozumiem dlaczego do odpowiedzialności w tej sytuacji została pociągnięta recepcjonistka. Tak – rozumiem jej współwinę, natomiast działała na zlecenie pracodawcy (zakładam, że to nie była jej własna inicjatywa). Używając narzędzi udostępnionych przez pracodawcę i po przeszkoleniu przez pracodawcę. W takim wypadku wydaje się, że większość winy w tej sytuacji ponosi pracodawca. Poza tym za działania pracowników i tak odpowiada pracodawca (chyba, że recepcjonistki robią tam na B2B :D ). Zatem ujawnienie danych nastąpiło przez firmę, a pracownik powinien ponieść odpowiedzialność na polu przepisów wewnętrznych firmy (upomnienie, etc.).

    3. Niby wszystko zgodnie z prawem, ale czy aby na pewno? Czy dane dotyczące zarobków małżonka oskarżonej mają tu jakiekolwiek znaczenie?

    4. Szkoda, że w polskiej administracji nie ma czegoś takiego jak odwaga cywilna. Przecież jednym, czy drugim korona by z głowy nie spadła, gdyby stwierdzili “Tak, przyznajemy, że sytuacja jest absurdalna i przepisy w tym zakresie są złe…”. No i zaproponowali jakieś zmiany w tym zakresie. Ale nie – to przecież nasz ukochany urzędniczy beton. Więc wszystko jest w porządku, bo przepisy tak mówią. Operacja się udała, pacjent zmarł.

    5. O kosztach całego tego cyrku nie wspominam. W końcu ta wyśmienita zabawa (włączając wysyłkę listem poleconym za potwierdzeniem odbioru do każdego pokrzywdzonego informację o poszczególnych krokach postępowania prokuratury i sądu) finansowana jest z naszych podatków.

    • A jeśli pracodawca pokazał papier, że procedury wewnętrzne, których przestrzegania zobowiązał się pracownik zakazywały w takich mailingach stosowania BCC?

    • No cóż… wystarczyłoby na serwerze pocztowym zablokować liczbę CC większą niż 5 (i BCC aby spam nie leciał, przy okazji też).

      a komentarz w kierunku mistrza który pozwolił wysłać te listy bez zaciemniania danych: KRETYN.

    • Święto prowda! Ino co z tego.

    • @Piotr – Moim zdaniem nie ma to żadnego znaczenia. Pracownik pod względem prawnym to trochę jak dziecko (niestety pod względem praktycznym bardzo często również). Za szkody spowodowane przez dzieci odpowiada rodzic. Za szkody wyrządzone przez pracownika – pracodawca. O ile zatem nie była to osoba “zatrudniona” na umowie o dzieło, czy czymś takim, to GIODO powinno skierować sprawę do prokuratury przeciw firmie, a nie osobie. Wspomniana przez Ciebie sytuacja może pomóc firmie w skutecznym ukaraniu pracownika (nagana, dyscyplinarka, kara finansowa, etc.), lub chociażby w próbie ratowania reputacji wśród wkurzonych klientów. Nie zdejmuje jednak z firmy odpowiedzialności za działanie jej pracowników.

    • Matja – kodeks karny dotyczy ludzi a nie firm. Pracownik oczywiscie odpowiada kodeksowo. Firma to tylko może byc stroną w procesie cywilnym.

    • @Piotr Konieczny

      Jeśli procedury w firmie ZAKAZYWAŁY użycia BCC, to tym bardziej kara należy się pracodawcy.

  17. Ciekawe czy temu kolesiowi co to rozkręcił zrobiło się głupio jak zobaczył wysokość pensji recepcjonistki.

  18. A ja nierozumie dlaczego klient poczty nie ostrzega przed wysłaniem takiego maila i nie sugeruje skorzystania z opcji BCC. Przecież wystarczyłoby dodać stosowny komunikat z informacją o zagrożeniu i ewentualną sugestią o kontakt z administratorem jeżeli nie jesteśmy pewni wykonywanej czynność. Dodatkowo zabezpieczyć polem, w którym należy wpisać “jestem świadom” czy “akceptuję ryzyko” i tematu by nie było. Na koniec możliwość wyłączenia opcji w ustawieniach i wszyscy byliby szczęśliwi.

    • Z tematów UX firendly dla świadomych użytkownikach zaproponowałbym pomarańczową obramówkę z hintem, że wysyłamy maila CC – tak na wszelki wypadek gdyby ktoś się zagapił ;-)

  19. “im bardziej Puchatek zaglądał do środka, tym bardziej tam Prosiaczka nie było.”
    A nie przypadkiem miodku?

    Btw.
    Prokuratura mogła by przekazać tej samej (lub innej fundacji) co recepcjonistka 205 * koszt wysłania pism. Chociaż nie… bo to znowu pójdzie z budżetu, czyli z publicznych pieniędzy… ech. kiedy urzędy (w tym prokuratury) zaczną odpowiadać swoim ograniczonym budżetem w takich sprawach. Może to dało by niektórym do myślenia: Przepraszam pani Marysiu, premii nie będzie bo musieliśmy wypłacić odszkodowanie za BCC.

  20. To jest przykład szerszego problemu po tytułem: Co wolno wojewodzie…
    Zwykły obywatel, a zwłaszcza firma musi mieć na wszystko pozwolenia, certyfikaty, kontrole a urzędy wszelakie biorą i robią co chcą. Na przykład, pozostając w temacie danych osobowych wszelakich, żeby cokolwiek sobie zapisać musi uzyskać zgodę, poinformować do czego te dane potrzebne, zapewnić ochronę, zgłosić do GIODO, dostać osobne pozwolenie żeby zadzwonić albo napisać do klienta… A państwo – różne urzędy itp. – gromadzi o nas ile chce danych nie tylko bez naszej zgody ale żąda ich od nas i od kogo się da (operator GSM ma obowiązek na nas donosić, ISP ma obowiązek na nas donosić, pracodawca ma obowiązek…).
    Niektórzy dostają bzika od tych wszystkich ustaw o ochronie danych, o ochronie prywatności, nic nie wolno, wszystko tajne a tymczasem cała masa danych (nie tylko kto jest kto i gdzie mieszka ale też jakie ma wykształcenie, gdzie pracuje, ile zarabia, na co chorował, gdzie bywał (zwłaszcza za granicą), do kogo dzwonił,…) krąży po urzędach i jak widać bywa nawet upubliczniana. Wszystko zgodnie z prawem.

  21. Typ, który zgłosił to do prokuratury musi być wyjątkowo mściwym gościem. Gdyby chociaż mógł coś na tym ugrać to pomyślałbym, że to chciwy cwaniak. Trzeba być naiwnym, żeby myśleć, że nasze adresy e-mail nie są jeszcze znane w sieci – pewnie już kilka osób, którym sam podał adres dało pozwolenie Facebookowi czy innym serwisom lub aplikacjom w smartfonie, na dostęp do tego adresu. Po drugie kogo z przypadkowych 100 osbó może obchodzić jego adres? Już nie raz dostałem listę adresów od jakiegoś znajomego czy nawet kontrahenta, ale co miałbym niby z nimi zrobić?
    A może koleś się wkurzył bo miał adres JanKowalskizPcimiaUlMickiewicza_2_10_tel123123123@jakaspoczta.pl ? ;-)

    • Może gość po prostu unikał wycieku maila i X czasu po tej korespondencji zaczął dostawać spam? Sam miałem maila przez długie lata, na którego nie przychodził nigdy spam do momentu wycieku bazy CDP. Trochę mnie to wkurzyło, szczególnie, że przychodzą nie mailingi ale afrikan princes, exclusive offers and olgas from russia.

    • Od czasu kiedy automaty spamerskie brute-forcują część adresu przed @ i próbują wysyłać maile na wszystkie możliwe – istniejące bądź nieistniejące – adresy w danej domenie, “unikanie wycieku” e-maila nie ma sensu.
      Tylko dobry filtr antyspamowy. A jak taki masz, to możesz się nie przejmować spamem i podawać maila gdzie chcesz.

    • W tekście nic nie ma o tym że to ten “gość” zgłosił sprawę do prokuratury. On tylko poskarżył się GIODO, i to GIODO pchnęło sprawę dalej w stronę tego absurdu. Jak wy ludzie dbacie o swoją prywatność, jak nawet czytać ze zrozumieniem nie potraficie (komentarzy osób które nie ogarnęły kto zgłosił sytuację do prokuratury jest tutaj co najmniej kilka)?

      Swoją drogą to ironia losu że zgłoszenie do GIODO naruszenia ochrony danych osobowych może skutkować jeszcze większym ujawnieniem danych. To jak pójść na komisariat żeby zostać okradzionym :D

  22. Gdybym miał się stawić w sądzie jako świadek w tym postępowaniu to bym pozwał wszystkich którzy się do tego przyczynili – używam publiczne spamerskiego adresu e-mail do odbioru i nie życzę sobie aby ktokolwiek mnie na siłę po nim identyfikował, mail dla mnie nie jest daną osobową, to alias.

  23. Ja miałem inną sytuację. Jest sobie blok, w nim ok. 200 mieszkań a grunt pod blokiem znajduje się w użytkowaniu wieczystym. Właściciele mieszkań składają wnioski, aby użytkowanie wieczyste przekształcić i aby stali się współwłaścicielami gruntu. Sprawa trafia do sądu i co robi sąd? Do każdego mieszkańca bloku wysyła gruby stos papierów, w którym znajdują się pełne dane osobowe pozostałych 200 mieszkańców! W tym tak wrażliwe dane jak PESEL czy nr dowodu osobistego (nie pamiętam już co dokładnie). Jak to zobaczyłem to pół dnia nie mogłem szczęki z podłogi pozbierać. Pozostaje mieć nadzieję, że żadna z tych osób nie spóbuje wziąć kredytu na sąsiada ;)

    • Mam nadzieję, że nie widziałeś nigdy zawartości dostępnych publicznie ksiąg wieczystych – dopiero byś zawału dostał :)

  24. Taka drobna uwaga: “Będzie to dobre i dla was i dla budżetu państwa” – to zdanie jest błędne logicznie :) Nie jest możliwe żeby zyskał i budżet i my bo budżet zasilają nasze portfele. Im więcej w budżecie tym mniej w naszych kieszeniach i odwrotnie. Przepraszam że się czepiam ale na takim portalu takie błędy nie pasują :)

    • Tyle tylko, że budżet państwa to nie jest abstrakcyjna czarna dziura, w której pieniądze znikają bez śladu, tylko w ostatecznym rozrachunku służą właśnie nam wszystkim, bo finansują rzeczy, z których wszyscy korzystamy. Twoja prymitywna korwinistyczna teza jest prymitywna i błędna :)

    • Jeśli budżet zostanie wydany na jakieś bzdury, to tracisz i ty i budżet – budżet bo nie ma pieniędzy, a ty bo nic z pieniędzy które zostały ci zabrane nie skorzystałeś, a mogłeś mieć nowiutki przystanek w okolicy.

  25. Ustawa może łamać inną ustawę bo to jest akt prawny takiej samej rangi. Przykład: mamy publicznie dostępne dane (w tym PESEL-e) właścicieli nieruchomości lub członków zarządu spółek. Jak to możliwe skoro mamy ustawę o ochronie danych osobowych? Możliwe, bo działalność KW i KRS też regulują ustawy! Kodeks postępowania karnego to też ustawa.

    • Ale przecież nikt tu nie twierdzi, że działanie prokuratury było niezgodne z prawem. Wręcz przeciwnie, w artykule jest kilkakrotnie podkreślone, że wszystko jest zgodne z prawem. Natomiast chodzi o to, że jest niezgodne z logiką i zdrowym rozsądkiem – a to już zupełnie inna sprawa…

    • Oj, chyba kolega nie zrozumiał. Nie chodzi o to, że prokuratura działała niezgodnie z prawem tylko prawo, na podstawie którego działała, jest niezgodne np. z ochroną danych osobowych. A może być niezgodne bo to też jest ustawa.

    • Czyli na przykład można by stworzyć dwie ustawy zaprzeczające sobie nawzajem i wykorzystywać je w sądach w zależności jak lepiej? A gdy obie te ustawy zostaną wykorzystane przez strony, to która ze stron wygra?

  26. Przydało by się jeszcze pozwać autorów programów pocztowych, że nie informują jak to działa. Nie-informatyk nie musi wiedzieć co to UDW, gdyby domyślne działanie po wlejeniu kilku adresów było inne nie byłoby takich problemów.

    • Skok z 6 pietra kończy się najczęściej źle! Czy to dobry powód do tego, by zakazać budowy budynków powyżej 5 piętra? A jak ktoś skoczy, to za to ma odpowiadać gość, który ten budynek wybudował? Albo czy niech odpowiada gość na którego zlecenie ten budynek wybudował?

      Nie przesadzajmy! Ktoś może chcieć mieszkać wysoko, bo np. na wyższych pietrach nie ma komarów, czy przez idiotów mamy zaprzestać budowy tak wysokich budynków? A jak już jakiś kretyn zakaże, to co zrobić z tymi budynkami, które są? Rozburzyć? Pałac Kultury i Nauki w Warszawie też rozbiorą? A może zamknąć, zapieczętować i nie używać?

      A takie paranoje już są uchwalane! Czego przykładem może być marihuana, takie niewinne ziółko, które niektórzy ludzie lubią palić, a wielu zażywa jako lekarstwa! Choć wiele tysięcy ludzi umiera z powodu alkoholu, który de facto nie jest zakazany, a taka trawka nikogo nie zabiła, wręcz wielu pomogła! Czy przez głupich ludzi, którzy nie potrafią cieszyć się dobrem natury, reszta ma tracić?

      Dziękuję bardzo, ale niech każdy zajmie się sobą, żyje jak chce i pozwoli na to samo innym. Takie jest moje zdanie. A prawo, kodeksy i zasady mają pomagać mądrym ludziom rozwiązywać ludzkie problemy, a nie być źródłem zrzucania odpowiedzialności i karania ludzi.

  27. A ja już dawno temu powiedziałem i napisałem, że to wszystko o czym mówią komentarze i sam wpis nie miałoby miejsca, gdyby twórcy systemów poczty w końcu wprowadzili taki ficzer: w polu DO jest więcej niż jeden (dwa, trzy – zależne od konfiguracji) adres -> przenosimy go automatycznie do BCC (lub blokada wysyłki, żądanie potwierdzenia, whatever). Gdyby odbywało się to po stronie serwera poczty, to problem by dawno zniknął.

  28. Durny ten świat. Głupi ludzie. Dziw, że ani jedna osoba nie napisała, że tak jest dobrze! Że to jest mądry sposób postępowania! Że tak trzeba! Wszyscy się z tego śmieją! Wszyscy zwracają uwagę na to, że to paradoksy są! Skoro tak, to czemu ten świat jest jaki jest? Gdzie są ci ludzie, którzy tworzą te idiotyzmy! Bo ja już nic nie rozumie. Bóg każe ludziom tak żyć i tworzyć tak głupie, denne prawo? A może to prawnicy są głupi, albo cwani i to oni psują ten świat? Kto za tym stoi? Jak na ziemi żyje ponad 7 miliardów ludzi, to jaka grupa ludzi jest w stanie ogłupiać te 7 miliardów? Nie wierze! Coś tu jest nie tak. To nie jest świat ludzi, tylko głupich, nic nie wartych robocików…

  29. Well, this is embarrassing…

    Jak to możliwe, by w odpowiedzi na wyciek danych spowodować jeszcze większy wycieka danych? Czy oni myślą? Czy to było celowe? Czy kraj, o którym tu mowa, to już stan umysłu?

  30. A ponieważ sprawy sądowe są nagrywane – teraz pozwana może sobie wyciągnąć z akt sprawy kopię płyty i ma nie tylko nazwiska, imiona i pesele świadków – ale nawet ich pełny wizerunek – nie tylko twarzy.

  31. mi dziś w nocy z mojej skrzynki na moją skrzynkę został wysłany zip ale w wysłanych nie ma :D

    • onet

    • czesc zmieniłem na xxxxReceived: from mx.poczta.onet.pl (unresolved [10.174.34.83]:41966)
      by ps19 (Ota) with LMTP id xxDF4F9F6D31
      for ; Sat, 5 Aug 2017 03:35:33 +0200 (CEST)
      Received: from ttknet.ru (unknown [31.163.36.162])
      by mx.poczta.onet.pl (Onet) with SMTP id xxxRFJ4Vx8zDRRDSW
      for ; Sat, 5 Aug 2017 03:35:32 +0200 (CEST)
      Content-Disposition: attachment
      Importance: High
      Content-Transfer-Encoding: base64
      Content-Type: application/zip; name=”INFO_27562873238_xxxx.zip”
      Message-ID:
      Subject:
      From:
      To:
      Date: Sat, 05 Aug 2017 01:35:29 -0000
      MIME-Version: 1.0
      X-ONET_PL-MDA-SEGREGATION: 0
      X-ONET_PL-MDA-Version: 1.0.25
      X-ONET_PL-MDA-Info: 019 31454 xxDF4F9F6D31 0.654337
      X-ONET_PL-MDA-From: xxxx@ttknet.ru
      X-ONET_PL-MDA-Spam: NO
      X-EsetResult: clean (cleaned), contained a variant of JS/Danger.ScriptAttachment trojan
      X-EsetId: xxx66E2CF58D1E653C7E3130A79218656671617CF7

  32. for ; Sat, 5 Aug 2017 03:35:33 +0200 (CEST)

    Message-ID:
    Subject:
    From:
    To:

    X-ONET_PL-MDA-From: xxxx ‘@ ttknet.ru

    musiałem rozstawić bo usuwa treść

  33. Message-ID:
    Subject:
    From: mój @
    To: identycznie mój @

  34. Message-ID: krzaki @ ttknet.ru

  35. dziękuję adm za utrudnianie wklejki…

  36. Ale ja nie rozumiem jednego – z jakiego przepisu bylo to naruszenie?? Ja rozumiem rozsylanie niezamowionej korespondencji.. ale to zupelnie inne okolicznosci.. BCC nie ma tu nicndo rzeczy.. jaki przepis definiuje adres email jako dane osobowe?? A jezeli nie dane osobowe to jaki inny przepis to reguluje??

  37. Kilka lat temu też byłem w hotelu w Katowicach i później, po jakimś czasie dostałem maila z hotelu z jakąś promocją, wysłaną do kilkudziesięciu adresatów, jawnie. No cóż, odpowiedziałem grzecznie do wszystkich (skoro i tak już widzieli adresy innych), że to podpada pod GIODO i że nie życzę sobie więcej takich praktyk. Zaraz zaczęli odpisywać inni i grozić hotelowemu pracownikowi prokuraturą. Pracowniczka przeprosiła wszystkich ale chyba rozeszło się po kościach bo inaczej dostałbym info z prokuratury, jak w opisanej historii z artykułu ;)

  38. Czegoś tu nie rozumiem.
    Czy nie jest tak ?
    Akta spraw dzielone są na części, a w jednej z nich są dane osobowe świadków i pokrzywdzonych. Dane osobowe nie odnotowuje się bezpośrednio w sposób umożliwiający nieuprawnianym ich odczytanie.
    Ktoś zapomniał o ustawie o ochronie pokrzywdzonych i świadków, która znowelizowała przepisy kodeksu karnego?
    A może, dane pokrzywdzonych i świadków są anonomizowane, a w treści protokołów nie umieszcza się danych pozwalających na ustalenie adresu i miejsca pracy świadka i udostępnia się je na wniosek art. 156 a kpk.
    Do wniosku o warunkowe umorzenie dołącza się odrębna listę z danymi pokrzywdzonych i świadków art. 336 par. 4 kpk.
    Dziwna ta odpowiedź GIODO i prokuratury.

  39. Kolejny gotowy materiał na skecz kabaretowy lub odcinek serialu komediowego. xD

  40. Ale dzięki opublikowaniu odpowiedzi z prokuratury wiemy już o jaki hotel chodziło. Co ciekawe wcześniej w artykule miejsce pracy zostało zaczernione. :)

  41. Przecież adres e-mail nie jest informacją jednoznacznie identyfikującą człowieka, więc prokuratura powinna ten temat zamknąć od razu.

  42. A najlepsze jakby 1 konto e-mail było zhakowane i wiadomość rozeszła by się po całej Sieci :)

  43. […] (są i takie przypadki). O jednym z takich właśnie przypadków możesz przeczytać w artykule na portalu niebezpiecznik.pl Pamiętaj proszę -sprawdź 3 razy. Wtedy Twoja głowa będzie spokojna, kieszeń zasobna a ja nie […]

  44. A może skoro już mamy wszechobecne komunikaty o RODO na stronach, gdy w treści maila wpiszemy załącznika a go nie dodamy to jest ostrzeżenie, to może dodać coś do klientów poczty tak aby było trudniej zrobić taki błąd.

  45. […] Wygląda na to, że cała ta sytuacja nie wynika z błędu, usterki czy ataku. Po prostu system Ministerstwa Sprawiedliwości został tak zaprojektowany i działa najwyraźniej zgodnie z prawem. Przypomina nam to trochę sytuację, w której prokuratura rozesłała (też zgodnie z prawem) dane osobowe wszystkich podejrzanych wszystkim podejrzanym (Wysłała pocztę bez BCC, została pozwana, policja ustaliła dane osobowe poszkodowanych, sąd ją…). […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: