Społeczności i dane osobowe

Wszyscy już wiedzą, że serwis Grono.net był tak wykonany, że poufne dane użytkowników (jeśli jakieś takie dane wpisali) były dostępne w wynikach wyszukiwania Google. Grono przeprasza. Gadu-Gadu zaś wchodzi na giełdę, ale ja ostatnio „straciłem” „swój” numer i nie śledzę tego ingresu: "VaGla, słuchaj, na Twoim numerze odzywa się jakaś Justyna!". Owszem. Teraz to już numer Justyny, która potencjalnie może przechwycić korespondencję przeznaczoną wyłącznie dla mnie. Potencjalnie, bo z reguły moi rozmówcy wiedzą, że przez komunikator o pewnych sprawach się nie pisze (z tymi co nie wiedzą - nie warto się zadawać).

Zacznijmy od Grona. Nad stosowaniem reklamy kontekstowej w „zamkniętych” częściach serwisu Grona zastanawiał się już dawno temu Marcin Jagodziński w swoim blogu net to. Efekt przedstawiły Wiadomości 24 w tekście Grono.net – "zamknięta" społeczność ujawniona? z 15 stycznia, a za tym serwisem pociągnęły media głównego nurtu (np. Gazeta.pl, Rzeczpospolita).

Chodziło o to, że dane użytkowników (telefony, nazwiska, kontakty, treść forów tematycznych) jednak się w Sieci pojawiły, wbrew regulaminowi (cytowany jest §5. 2. regulaminu: "Gromadzone przez serwis dane nie będą udostępniane innym podmiotom, chyba, że po uzyskaniu uprzedniej zgody użytkownika"), wcześniejszym zapowiedziom operatora i - jak się wydaje - przepisom o ochronie danych osobowych.

Rzeczpospolita cytuje subtelną wypowiedź przedstawiciela Google: "O tym, czy jakieś strony są dostępne w wyszukiwarce, decyduje ich właściciel poprzez odpowiednią konfigurację strony - tłumaczy Artur Waliszewski, country Business Manager Google Polska"... Tak. Po przeczytaniu oświadczenia Zarządu Grono.net stanęła mi przed oczyma wizja osób przerzucających do siebie wzajemnie odbezpieczony granat:

Zarząd grono.net informuje, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania. Co istotne, poprzez Google dostępne były wyłącznie informacje, które są jawne dla wszystkich użytkowników grono.net. Dokładnie rodzaj wyświetlanych w Google informacji oraz przyczyny wyjaśniamy w załączonej informacji.

Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację. Pomimo, iż nie doszło do ujawnienia żadnych tajnych danych i bezpieczeństwo prywatności użytkowników nie było zagrożone, przyznajemy, że sytuacja ta nie powinna mieć miejsca.

Traktując kwestie bezpieczeństwa bardzo poważnie nie zlekceważyliśmy tej usterki. Zablokowaliśmy działanie wadliwego skryptu Google i na wszelki wypadek zwróciliśmy się o usunięcie w trybie ekspresowym z wyszukiwarki wszelkich informacji pochodzących z grono.net. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z Google. W zaistniałej sytuacji zarząd grono.net uznał jednak, iż najważniejsze jest dobro i zaufanie użytkowników.

Pewnie teraz GIODO zainteresuje się Gronem. Gdy zacznie się przyglądać temu kto i na jakiej podstawie administruje danymi pewnie przy okazji publiczność pozna wewnętrzne sprawy spółki…

Prędzej czy później GIODO zainteresuje się też pewnie innymi serwisami społecznościowymi, a także operatorami komunikatorów. Jak wspomniałem na wstępie Gadu-Gadu stosuje "recycling" swoich numerów. W efekcie nagle ktoś traci możliwość korzystania z wcześniej użytkowanego numeru, a ktoś inny staje się jego nowym, szczęśliwym użytkownikiem. A może być jak w tym, znanym już powszechnie dialogu, w którym w pierwszych słowach ktoś dziękuje Pawłowi za namiary na jedną Mariolkę, która dość luźno podchodzi do konwenansów życia intymnego (nie chcę cytować pierwszej linijki dialogu, więc stosuje eufemizmy). Po tych podziękowaniach dalsza wymiana komunikatów jest następująca:

<654xxxx> strasznie Cie chwalila, ze niezly ogier jestes :) mowila, ze dwa dni temu ostro szaleliscie u niej
<654xxxx> a tak ogolnie, to co slychac?
<pawel> Hej. Tu Aga – pewnie mnie nie znasz… Jestem z Pawłem od prawie roku. Nie ma go teraz, ale bądź pewien – przekaże mu, że pisałeś.

To klasyczny przypadek naruszenia zasad bezpieczeństwa (komunikator pewnie uruchamiał się przy uruchomieniu komputera i nie trzeba było za każdym razem się logować). Ale po recyclingu numeru dokonanym przez operatora komunikatora można sobie wyobrazić, że ktoś myśląc, iż na liście kontaktów pojawił się wreszcie dawno niewidziany korespondent zaczyna pisać do niego o sprawach, których nikt inny nie powinien wiedzieć.

Oczywiście Gadu-Gadu w regulaminie swojego programu pisze:

Użytkownik zobowiązany jest do korzystania z usług komunikatora Gadu-Gadu wyłącznie na zasadach opisanych w niniejszym Regulaminie oraz wynikających z Licencji. Korzystanie przez Użytkownika z usług komunikatora Gadu-Gadu z naruszeniem tych zasad traktowane będzie jako podstawa do podjęcia przez Operatora działań mających na celu uniemożliwienie Użytkownikowi korzystania z usług komunikatora Gadu-Gadu w szczególności poprzez usunięcie jego konta oraz pozbawienie go możliwości korzystania z Numeru Użytkownika, przy czy po dokonaniu takich czynności Numer Użytkownika może zostać przez Operatora przyznany innej osobie.

A na końcu regulaminu:

Operator zastrzega sobie prawo rozwiązania umowy o korzystanie z usług komunikatora Gadu-Gadu w jakimkolwiek czasie z jakiejkolwiek przyczyny lub bez podania przyczyny, zaś Użytkownikowi nie przysługują w stosunku do Operatora jakiekolwiek roszczenia z tym związane.

Czy rzeczywiście? Ja tam o numer kruszył kopii nie będę, gdyż głównie korzystam z jabbera, jednak może się zdarzyć, iż ktoś postanowi sprawdzić jak bardzo operator nie ponosi odpowiedzialności w przypadku np. naruszenia prawa do prywatności.

Tymczasem "w budowie księgi popytu na akcje Gadu-Gadu będą mogli brać udział także inwestorzy indywidualni", "z komunikatora Gadu-Gadu korzysta około 6 milionów osób. Szczegóły oferty Gadu-Gadu utajnione do poniedziałku" - pisze dzisiejszy Parkiet. Tak więc sprawa jest delikatna.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

A czy ktoś wie, jak wygląda sprawa

Maltan's picture

"recyclingu" w przypadku tzw. prepaidów. Przez dłuższy okres od 6 do 12 miesięcy nie dzwonił do kolegi. Miałem sprawę, więc zadzwoniłem. I tu słyszę...głos starszej Pani. Po przedstawieniu się i zapytaniu czy mogę prosić znajomego, uzyskałem odpowiedź, że to pewnie pomyłka, ona nie zna nikogo takiego. Hm...kilka razy sprawdzałem numer. Ten sam, jakby nie było.

Za chwilę oddzwoniła do mnie ta Pani, pytała się skąd mam ten numer. Po krótkim wytłumaczeniu, że taki numer miał mój kolega, i mieszkam pod Warszawą, ona gdzieś 500 km dalej i kartę z numerem kupiła przed 3 miesiącami, zakończyliśmy rozmowę. Ona była nie mniej zdziwiona.

W końcu spotkałem znajomego i pytam się, czy komuś sprzedawał kartę (z numerem). Na co on mi odpowiedział, że faktycznie zmienił numer, ale stara karta leży w domu...

I jak to rozumieć?

Wojciech

proporcje!

chciałbym tylko zwrócić uwagę na kwestię "ilościową", o której tu trochę zapominamy. otóż, jeśli wierzyć wyjaśnieniom przedstawicieli grona, dane które wyciekły, były dostępne dla ok. miliona użytkowników grona.

tu raczej się rodzi inne pytanie: czy w ogóle sprawa ta jest w kompetencjach giodo (czy dane dostępne dla miliona osób nie są danymi publicznie dostępnymi).

możesz to skomentować (nie jestem prawnikiem)?

GIODO

VaGla's picture

Kompetencje Generalnego Inspektora Ochrony Danych Osobowych są wymienione w ustawie o ochronie danych osobowych, w szczególności w art. 12 tej ustawy, a ten artykuł brzmi:

Do zadań Generalnego Inspektora w szczególności należy:

  1. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  2. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
  3. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
  4. opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
  5. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
  6. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Grono.net w GIODO

No to w takim wypadku sprawa oczywista w kontekście tylko pierwszego punktu!

Przypomnę, że regulamin Grono.net wyraźnie stanowi (par. 5 punkt 1):

(...) Administratorem powyższych danych osobowych jest Brandlay Sp. z o.o. z siedzibą w Zielonej Górze, Plac Słowiański 13 - właściciel i administrator serwisu grono. net. Zgoda obejmuje przetwarzanie danych osobowych w przyszłości, przez następców prawnych firmy Brandlay Sp. z o.o. z siedzibą w Zielonej Górze, Plac Słowiański 13

Natomiast w GIODO zapisane jest:

Nazwa zbioru: Grono.net, Nr zgłoszenia: 001269/2004, Nr księgi: 063298, Administrator: LUXORNA SP Z O.O., Miejscowość: Warszawa.

Żeby było jeszcze dokładniej to w bazie GIODO w ogóle nie figuruje firma Brandlay, nie mam pojęcia czym jest Grono.net firmy Luxorna, ale wygląda na to firma Brandlay nigdy nie zgłosiła do GIODO żadnej bazy danych, a takową dysponuje.

I dalej z regulaminu (par. 5 punkt 2):

Gromadzone przez serwis dane nie będą udostępniane innym podmiotom, chyba, że po uzyskaniu uprzedniej zgody użytkownika.

Dane te bez zgody użytkowników zostały udostępnione firmie Google, pomijając już, że ustawa dokładnie precyzyjnie jakie konsekwencje niesie nawet nieświadome ich udostępnienie.

I dla pełnej jasności - regulamin Grono.net wyraźnie mówi o wymogu, w tym kontekście obowiązku(par. 3 punkt 1):

Rejestracja oprócz konieczności podania otrzymanego ciągu klucza rejestracyjnego, wymaga także podania następujących danych osobowych: imienia, nazwiska oraz działającego adresu poczty elektronicznej e-mail.

A są to bez wątpienia dane osobowe.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>