Skan dowodu - interesująca praktyka, ale chyba nie do końca słuszna
Znów sygnał od czytelnika. Chodzi o serwis "NumeryGG.pl". Tam m.in. informacja, że "Wszystkie informację z tego serwisu pochodzą z portalu społecznościowego nasza-klasa.pl". Jest też wskazówka jak się "wypisać". Sygnał czytelnika związany jest z próbą wypisania się właśnie. Pracownik serwisu w korespondencji z czytelnikiem stwierdził, że "pierwszym krokiem potrzebnym do usunięcia (...) danych jest przesłanie na cont@numerygg.pl skanu dowodu osobistego lub innego dokumentu potwierdzającego (...) tożsamość". Bez przesłania skanu dokumentów nie chcą reagować. Tyle, że jest jeszcze art. 14 ustawy o świadczeniu usług drogą elektroniczną i kwestia "wiarygodnej wiadomości"...
O zamieszaniu z serwisem Nasza-klasa.pl pisałem w kilku już notatkach, m.in. w tekstach Oko przygląda się waszej k(l)asie, Po konferencji prasowej GIODO na temat kontroli w portalu Nasza-klasa.pl czy O ryzyku związanym z odniesieniem sukcesu. Praktyka związana z pozyskiwaniem skanów dowodów osobistych była zaś jednym z elementów oszustwa z wykorzystaniem serwisów aukcyjnych. Tu odwołuje do tekstu Rozpoczyna się proces w sprawie przekrętów aukcyjnych. W tym ostatnim tekście relacjonowałem: "oskarżeni mieli stworzyć stronę internetową z ofertami pracy, pokrzywdzeni przesyłali im skany dowodów osobistych, skany wykorzystywano do zakładania kont bankowych, konta bankowe służyły do uzyskiwania pieniędzy za fikcyjne towary oferowane w serwisie aukcyjnym".
Tyle, tytułem wstępu.
Na stornie Numerygg.pl znaleźć można notę:
W celu ocenzurowania wpisu łączącego Cie z nazwiskiem, lub numerem gg prosimy o kontakt cont{at}numerygg.pl, po wysłaniu wiadomości informacyjnej zostanie rozpoczeta procedura cenzury wpisu o Twoim numerze GG, "nazwisku" lub "imieniu".
Czytelnik, przesłał mi korespondencję związaną z próbą usunięcia danych znajdujących się w powyższym serwisie:
Witam,
Pierwszym krokiem potrzebnym do usunięcia Państwa danych jest przesłanie na cont@numerygg.pl skanu dowodu osobistego lub innego dokumentu potwierdzającego Państwa tożsamość.
Po zweryfikowaniu Państwa danych zostanie rozpoczęty krok drugi procedury usuwania danych.
Pozdrawiamy
NumeryGG.pl
Czytelnik odpowiedział, że nie chce przesłać takiego skanu. W odpowiedzi otrzymał list o treści:
Witam,
Wysyłając dane do sieci Internet automatycznie zgadzamy się na ich publikację.
Skan dowodu jest potrzebny do wykonania pierwszego kroku identyfikacji Państwa osoby, w celu sprawdzenia poprawności danych które mają zostać usunięte.
Imię i nazwisko muszą się zgadzać z tym co jest wyświetlane w serwisie.
Jeżeli imię i nazwisko będzie zgadzało się z wpisem w bazie danych, zostanie wysłana do Państwa wiadomość przez komunikator gg z potwierdzeniem usunięcia.
Skan państwa dowodu zostanie natychmiast usunięty po prawidłowej lub błędnej identyfikacji.
Następnie czytelnik skontaktował się z prawnikiem (i nie chodzi tu o mnie ;). Informację o tym fakcie pracownik serwisu skomentował w sposób następujący:
Witam,
Przykro nam że nie zgadzają się Państwo na przesłanie dokumentu potwierdzającego Państwa tożsamość, w innym wypadku nie mamy możliwości zmiany jak i usunięcia danych.
By ułatwić zgłoszenie pozwu, proszę go skierować przeciwko następującym osobom/firmom:
- Marcin Pilśniak
- Google Poland Sp. z o.o.Które są w posiadaniu bazy danych z serwisu numerygg.pl
A jeśli chodzi o moją ocenę sytuacji, to uważam, iż do oceny powyższej korespondencji należy sięgnąć do art. 14 ustawy o świadczeniu usług drogą elektroniczną. Mowa tam o "wiarygodnej wiadomości". Ustęp pierwszy tego przepisu brzmi:
Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.
Nie ponosi odpowiedzialności, gdy po wiarygodnej wiadomości niezwłocznie uniemożliwi dostęp... A contrario: jeśli po uzyskaniu wiarygodnej wiadomości nie podejmie działań...
Czy do uwiarygodnienia wiadomości wymagany jest skan dowodu osobistego? Wątpię. Czy informacje z naszej-klasy można sobie dowolnie przetwarzać również w innych serwisach? Hmm...
Co do samego serwisu NumeryGG.pl - nie ma tam ani regulaminu świadczenia usług (chociażby rozproszonego na kilka dokumentów, bo przecież regulamin nie musi nazywać się "regulamin", ale obowiązek informacyjny z ustawy o świadczeniu usług drogą elektroniczną, a i z obszaru ochrony danych osobowych powinny być spełnione). Myślę sobie też, że ten serwis to chyba próba wykorzystania danych osobowych dla potrzeb SEO. Mogę się mylić...
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Skan dowodu jest potrzebny
Skan dowodu jest potrzebny do skasowania danych, ale niepotrzebny do ich zamieszczenia? Chyba się sami proszą o problemy.
A druga sprawa że czytelnik zdaje się wychodzić ze słusznego założenia, że trzeba być durniem, żeby ujawniać komuś niezaufanemu więcej swoich danych, żeby pozbyć się problemu z ujawnieniem mniejszej ich ilości.
Dość podobny numer jak z Książka-Telefoniczna.com
tyle, że tam, aby się wypisać, trzeba przesłać kopię rachunku za telefon ;-)
--
Olgierd
Coż
mnie sie wydaje, ze oni na żywo pobieraja dane z wyszukiwarki na nasza-klasa.pl
nie widze, tu jakiegos przestepstwa - chcesz, zeby Twoje dane zniknely, to zrob sobie nr gg tylko dla znajomych w naszej klasie i po sprawie.
Opublikoanie nie oznacza wolnego dostępu.
Samo opublikowanie danych, nawet dający do nich dostęp każdemu nie oznacza zgody na ich gromadzenie i przetwarzanie.
Nawet pomijając ustawę o ochronie danych osobowych pobieranie danych z nasza-klasa.pl jest przestępstwem - prawa "autorskiego". Przetwarzanie bazy danych wymaga każdorazowej zgody jej właściciela, a zatem indeksując bazę na nasza-klasa.pl i kopiując numerygg.pl dopuszczają się przestępstwa (chyba, że mają zgodę właściciela bazy - w co wątpię). Kolejnym przestępstwem jest publikowanie tych danych.
Re:Opublikoanie nie oznacza wolnego dostępu.
Głupie wymagania dla tych którzy nie chcą być w bazie to jedno, ale postawione w ten sposób sprawy - przestępstwo tu, przestępstwo tam sprowadza pozostałe wymagania do granic absurdu. Ale cóż, żyjemy w świecie w którym zdanie:
"Opublikowanie nie oznacza wolnego dostępu." ma sens.
Poszukałem materiałów na te tematy i widzę, że już dawno temu Vagla dostrzegł ten problem i szczegółowo opisał
A ja na koniec dodam - a czy na pewno imię-nazwisko + nr gg to dane osobowe? Czy pozwalają one bez większych nakładów jednoznacznie ustalić człowieka? (to abstrahując od ochrony baz danych, bo to nie zależy od tego czy to baza danych osobowych czy czegoś innego)
Tu pojawia się (stare jak
Tu pojawia się (stare jak świat?) pytanie: Google przetwarza bez zgody właściciela bazę danych, jaką jest Nasza-Klasa, i nie robi tego w ramach dozwolonego użytku osobistego - jak to tak można...
re: tu pojawia się
Ale na to pytanie poniekąd odpowiedzi udzielił już sąd w Nevadzie, więc i w tym przypadku może być podobnie
> jeśli po uzyskaniu
> jeśli po uzyskaniu wiarygodnej wiadomości nie podejmie działań...
Działania zostały podjęte, w listopadzie kiedy serwis został uruchomiony ;)
Pozdrawiam
Przyznam, że nie zrozumiałem komentarza
Przyznam, że nie zrozumiałem powyższego komentarza, a zależy mi na tym, by sprawę przedstawiać rzetelnie. Czy mógłbym prosić o rozwinięcie powyższej myśli? "Działania zostały podjęte, w listopadzie kiedy serwis został uruchomiony". Czy mówmy o innych działaniach niż samo uruchomienie serwisu?
--
[VaGla] Vigilant Android Generated for Logical Assassination
Art. 14 U.s.u.d.e. tu nie ma zastosowania
Moim zdaniem Ustawa o świadczeniu usług drogą elektronicznych (art. 14) w tym wypadku nie ma zastosowania. Regulacja wyłączenia odpowiedzialności odnosi się bowiem jedynie do danych przechowywanych przez serwis na zlecenie użytkowników. W powyższej sytuacji dane (imiona, nazwiska i numery gg.) owszem zostały przekazane do przechowania, ale NIE TEMU SERWISOWI!. O żadnej "Wiarygodnej informacji" nie może być mowy. Numery gg. w serwisie NumeryGG.pl (niezależnie od oceny prawnej tego czy znalazły się tam legalnie, czy nie) są danymi własnymi tego serwisu i odpowiada on za nie bez żadnych ograniczeń, jako content provider. Serwis nie może się tutaj zasłaniać U.s.u.d.e. Proponowałbym zgłosić naruszenie do nasza-klasa.pl, bo to oni powinni być zainteresowani tym, żeby nikt nie pasożytował na ich dorobku.
Ochrona danych
Nie chcę wnikać w inne obowiązki wynikające z ustawy o ochronie danych osobowych typu udzielanie informacji o tym kiedy i komu się udostępniło te dane - ale już sposób usunięcia jest absurdalny!
Przecież najoczywistszym sposobem na potwierdzanie tożsamości osoby jest przyjmowanie zgłoszeń POPRZEZ gg i uznawanie że ktoś piszący z danego nr gg ma całkowite prawo żądania usunięcia informacji o nim. Dodatkowy hash i już można sprawdzać, że więcej takiego numeru nie należy dodawać.
Sam skan dowodu niczego nie potwierdza. To, że ktoś tak samo się nazywa nie oznacza, że akurat jego dane tyczą. Na dowodzie nie ma numeru GG.
Nie pobiera na żywo -
Nie pobiera na żywo - usunąłem dane z n-k i dalej moje dane pojawiają się w wynikach wyszukiwania numerów gg.
Pobiera do własnej bazy...
Dane mogą być pobierane z interfejsu użytkownika na zasadzie skanowania po numerach użytkownika n-k, zapewne są one narastające, a bot pamięta tylko najwyższy ostatnio skanowany numer użytkownika. Gdybym pisał skaner całej n-k właśnie tak to by wyglądało. Kolejny przykład, że odpublikowanie danych w internecie graniczy z niemożliwością.
Zastanawiam się, czy opublikowanie danych osobowych w internecie jest jednoznaczne z wyrażeniem zgody na ich przetwarzanie offline. Tzn. czy wraz z odpublikowaniem danych z oryginalnego źródła domniemana zgoda na przetwarzanie nie zanika. Pamiętanie źródła danych jest już obowiązkiem każdego administratora danych osobowych, więc nie powinno być problemów z weryfikacją.
Pisałem o numerygg.pl
Pisałem o numerygg.pl wczoraj: http://www.webstop.pl/2008/01/16/powstal-serwis-z-danymi-osobowymi-wykradzionymi-z-nasza-klasa/
Nie jestem prawnikiem, ale wydaje mi się, że jest to naruszenie ustawy o ochronie danych osobowych. Tłumaczenie, że umieszczając coś w internecie zgadzam się na cokolwiek jest śmieszne. Analogicznie można stwierdzić, że jeśli podałem swoje dane _komukolwiek_ to zgadzam się na to, żeby były w posiadaniu obcych osób, czyli przez każdego. Nieco śmieszny tok rozumowania.
Wymaganie przesłania kopii dowodu komuś anonimowemu jest równie śmieszne co i podejrzane.
Czy możesz Piotr skomentować moje wątpliwości odnośnie naruszenia ustawy o ochronie danych osobowych w tym przypadku? Szczegóły znajdziesz w linku powyżej. Dzięki. :)
Podanie na N-K swoich danych
Podanie na N-K swoich danych nie oznacza zgody na przetwarzanie ich w całym Internecie, ale zgodę na przetwarzanie ich w określonym portalu, którego użytkownicy zobowiązali się do przestrzegania określonego regulaminu tego portalu.
In GIODO we trust.
A co z ustawą o ochronie baz danych?
A co z ustawą o ochronie baz danych? Czy nasza-klasa nie powinna wykorzystać tej ustawy, w końcu sam twórca numerygg przyznał że dane pochodzą z tego serwisu. A przy okazji korzystając z samego gg często można powiązać daną osobę z nr gg (oczywiście jeśli ta osoba podała swoje dane)
GIODO
Zgłosiłem ten serwis, jako ewidentnie podpadający do GIODO parę dni temu.
Zero reakcji.
Może Piotra czytają chociaż?
Mam wrażenie, że hałas
Mam wrażenie, że hałas wokół naszej-klasy.pl faktycznie jest elementem jakiejś walki pomiędzy właścicielami dużych portali. Natomiast to, że jakaś mała firma trzecia wykrada, zbiera dane i jeszcze żąda nie wiadomo czego w zamian za łaskę usunięcia danych, jakoś nikogo nie interesuje.
Kruczkiem może być jednak to, że numery GG powiązane z nazwiskiem, jawne są również na naszej-klasie.pl. Ktoś pomyślał "po polsku" i doszedł do wniosku, że skoro ktoś kradnie (wg jego mniemania) to i ja mogę.
GIODO? Raczej prokurator
Przecież to działanie ewidentnie podpada pod art. 49 ustawy, skoro właściciel tego serwisu nie jest uprawniony do przetwarzania danych tych osób.
Pytanie Do Pana Waglowskiego
Mam pytanie do Pana Piotra Waglowskiego wg mnie to jest nie tylko zlamanie prawa: fakt udostepnilismy nasze dane... ale w ograniczonym zakresie zwiazanym z dzialalnoscia n-k, w zwiazku z czym nikt inny nie ma prawa do obrotu i gromadzenia ich. Chyba ze zakupic Portal ewentualnie N-K sprzeda swoje bazy danych.
Wydaje mi sie ze wlasciciela portalu gromadzacego nasze dane wbrew nam mozna oskarzyc o swiadome i celowe narazenie zycia, zdrowia i majatku uzytkownikow nk bo wystarczy nr gg zeby wlamac sie na kompa i wydobyc wszytko co sie chce albo stworzyc siec zombie i wykorzystac do roznych celow a przeciez azdy moze teraz wejsc i sprawdzic te dane albo posluzyc sie prostym programem podajacym najbardziej popularne imiona i nazwiska zeby zebrac dane z numerowgg, a zmiana profilu niewiele da jesli te dane juz tam sa...
Zaznaczam ze prawnikiem nie jestem a tutaj bywam z zainteresowania roznymi zmianiami w prawie sieciowym i kwestiach edokumentu i epodpisu. Z gory dziekuje za odpowiedz.
ustawa o ochronie danych osobowych
Ciekaw jestem ile jeszcze problemów musi się pojawić, żeby wreszcie ktoś przyznał, że jeśli z ustawą są same problemy to winny jest ktoś inny niż przysłowiowy Cygan. Na marginesie: kilka milionów Polaków bez oporu podaje swoje dane osobowe w NK wiedząc, że będą publicznie dostępne. Pytanie: czy osoby uznające "demokratyczny system wartości" nie powinny uznać, że spora częsć (kto wie czy nie większość) społeczeństwa (w końcu suwerena w tym ustroju) nie życzy sobie nadmiernej ohrony ich danych osobowych?
Przepraszam ja czesto ludzi nie rozumiem, a moderatora....
Przepraszam ja czesto ludzi nie rozumiem, a moderatora, nasza-klasa.pl to zupełnie pojąć nie mogę. Może ja jestem INNY i jak mnie ktoś o coś prosi, a nie jest to skomplikowane i powodujące moje straty (finansowe, moralne...) poprostu robie.
Poprosiłem więc moderatora nasza-klasa.pl o usuniecie podpisu (imienia i nazwiska mojego) spod zdjecia klasowego na tym portalu. Myslałem że, normaly człowiek poprostu usunie i bedzie po sprawie. Mam jakieś osobiste powody ku temu.
Napisałem 1,2,3...e-mail tłumacząc o co chodzi, nie dostałem odpowiedzi, zadzwoniłem 1,2,3 raz, Bez skutecznie! po kilku tygodniach dostałem e-mail, że podpisu nie usuną, że nie odpowiadają za umieszczone treści, a ponadto nie są to dane osobowe.
Ustawa o ochronie danych osobowych
UODO Dz.U. 1997 nr 133 poz 883
Ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowych
"Art. 6.1) 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań."
Pod wszystkim podpisał sie pan Maciej P.
NIGDY NIE ZAKŁADAŁEM SWOJEGO PROFILU NA PORTALU NASZA-KLASA.PL, ktoś z byłej klasy umiescił tam zdjecie, ktoś inny podpisał (w formie 2 z lewej w 2 rzędzie imie nazwisko)
Co wiecej osoba umieszczająca ten podpis teraz też tego wykasować nie może.
Taka reakcja nasza-klasa.pl zdenerwowała mnie, zgłosiłem sprawę do GIODO i na Policję.
Działanie te spowodowały pewne koszty, nie mówić już o straconym czasie.
Fakty te mają również odniesienie do innych aktów prawnych np.KC.
A przecież mozna było INACZEJ, usunąć podpis i nie było by sprawy.
PRZEPRASZAM JA LUDZI NIE ROZUMIEM, może mi ktoś to wyjaśni
pozdrawiam
Ustawa jednak potrzebna
Mnie nie obchodzą dane osobowe innych osób, ale gdyby nie było ustawy o ochronie danych osobowych to każdy mógłby pozyskać dane w dowolny sposób i je przetwarzać (vide numerygg).
Dzięki ustawie nie mam problemów z nachalnymi telemarketerami, jeżeli ktoś do mnie dzwoni z super ofertą pytam się o nazwę firmy, NIP i skąd wzięli moje dane. Następnym pytaniem jest, czy do zaprzestania przetwarzania moich danych wystarczy telefon, czy są jedną z tych firm, które nie zważają na interesy klientów. W przypadku braku ustawy mogliby mi powiedzieć "terefere, nie ma pan podstaw do żądania od nas usunięcia pana danych".
Umieszczanie swoich danych do publicznej wiadomości nie jest chyba nawet explicite ujęte w ustawie. Pozostaje tylko pytanie o obowiązku informowania o tym, komu nasze dane będą pokazywane. Postaram się niedługo sprawdzić świadomość społeczeństwa o tym ile o sobie opublikowali.
No i serwis NumeryGG zniknął...
Jak w tytule.
Policja frontem do dawnych kolegów i koleżanek ze szkoły
Gazeta Wyborcza informuje o policjancie, który na forum szkoły podstawowej w portalu nasza-klasa zaoferował możliwość odszukania dawnych kolegów i koleżanek w związku z posiadanym dostępem do bazy PESEL.
Jakiś czas temu w Internecie pojawiły się podobne doniesienia o wykorzystywaniu dostępu do rządowych baz danych do przeglądania profili sławnych ludzi.
Zastanawiam się skan jakiego dokumentu należy wysłać i gdzie, żeby wypisać się z bazy danych PESEL :-)
Jak tu ufać Policji?
Mnie bardziej przeraża ta wypowiedź pani rzecznik KPP w Grodzisku Mazowieckim:
Jeżeli byłby to wybryk niedoświadczonego szeregowego policjanta to rozumiem, postępowanie dyscyplinarne, niska szkodliwość, upomnienie, informacja dla innych, że tak się nie robi i koniec, ale rzecznik KPP w oficjalnej wypowiedzi? Czy to oznacza, że mamy kilkuset policjantów w KPP i KMP ,czy jeszcze innych jednostkach, z dostępem do bazy PESEL, którzy nie tylko nie wiedzą jaka ciąży na nich odpowiedzialność, ale jeszcze są wspierani przez swoich przełożonych?
Myślałem, że po sprawie przekazania Henrykowi Stokłosie listy osób, które zgłaszały doniesienia o popełnieniu przez niego przestępstw, Policja bardziej dba o dane osobowe... myliłem się. Powraca temat "watching the watchmen". Od razu pytanie do osób, które widziały interfejs systemu PESEL: czy jest tam obowiązkowe pole na sygnaturę akt sprawy/dochodzenia, w związku z którym wykonuje się zapytanie do bazy?
Dlatego oprogramowanie
Dlatego oprogramowanie internetowych baz danych wykorzystywane np. przez służbę zdrowia zawiera klauzulę w rodzaju "wszelkie przypadki korzystania z systemu są odnotowywane w systemie". Być może nawet istnieje pewna podbaza danych osób publicznych, co do której wysłanie zapytania powoduje wszczęcie "alarmu".