Spam polityczny: ciekną dane z wrocławskiej urbancard
Rok temu odebrałem spersonalizowaną kartę ZTM z nadrukiem fundacji Panoptykon "Mam cię - bo muszę". Przy tej okazji przypomniałem stanowiska Zarządu Transportu Miejskiego w Warszawie, który argumentował, że "ZTM zbiera jedynie niezbędne dane osobowe". Mówiło się też, że dane będą dobrze zabezpieczone. Ale dziś już wiadomo, że - generalnie - nie ma kontroli nad danymi gromadzonymi przy okazji wyrabiania kart miejskich (chociaż oczywiście wrocławska URBANCARD to nie to samo co karta ZTM, ale...). Wiadomo, że wrocławska Prokuratura Okręgowa wszczęła z urzędu śledztwo w sprawie podejrzenia o "kradzież bazy danych użytkowników karty miejskiej". Sztab wyborczy Prezydenta Wrocławia twierdzi, że ze spamem wyborczym nie ma nic wspólnego. Rzecznik Mennicy Polskiej oświadczył w mediach, że "nie może zapewnić, że dane wrocławian są bezpieczne i że nie wyciekły z systemu, póki tego nie sprawdzą".
W serwisie Wykop.pl, przy "wykopie" Wyciek danych osobowych z Wrocławskiej Karty Miejskiej - Urbancard, znajduje się szereg linków do materiałów na temat wyborczego spamu kierowanego na adresy poczty elektronicznej pochodzące z bazy osób, które wyrobiły sobie Urbancard (kartę miejską).
Zaczęło się bodaj od tego pokazywarkowego doniesienia:
Drodzy posiadacze Wrocławskiej Karty Miejskiej (WKM), zwanej od nazwiska skarbnika "Urbancard", przed "chwilą" otrzymałem na swoją skrzynkę poczty elektronicznej spam polityczny. I co z tego? Spam jest o tyle nietypowy, że przyszedł na adres e-mail, który podałem przy składaniu elektronicznego wniosku o WKM. Specjalnie do tego celu stworzyłem osobny adres e-mail, ponieważ miałem wątpliwości co do bezpieczeństwa moich danych osobowych. Adres e-mail został wykorzystany jedynie w tym miejscu i tylko raz.
(...)
Chodzi o posłużenie się adresem spreparowanym specjalnie dla rejestracji przez dodanie do nazwy użytkownika dodatku, np. "+urbancard".
Do przesłania komunikatów wykorzystano konto w serwisie freshmail.pl (Freshmail to "kompleksowa obsługa działań e-mail marketingowych...").
Gazeta Wrocławska w tekście Wrocław: Wyborczy wyciek z bazy Urbancard. Będzie śledztwo informuje:
Prokuratura wszczęła śledztwo w sprawie podejrzenia o kradzież danych użytkowników karty miejskiej Urbancard. Sprawę "analizuje" też ABW.
Tam też informacja o tym, że mailing wysłano z konta jednej z wrocławskich firm, a cytowany w tekście Paweł Sala, dyrektor zarządzający Frashmaila, stwierdził: "Firma zapewniała mnie, że bazę danych, którą wykorzystano do rozsyłania wyborczych maili mają całkowicie legalnie".
Prokuratura wrocławska będzie badać, czy doszło do umożliwienia nieuprawnionej osobie dostępu do bazy danych osobowych, a więc czy doszło do popełnienia przestępstwa z art 51 ustawy o ochronie danych osobowych:
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
W drugiej odsłonie "pokazywarkowego" dokumentowania wrocławskich zdarzeń cytowane jest Biuro Obsługi Klienta Wrocławskiej Karty Miejskiej URBANCARD:
Informujemy, iż dane podawane we wniosku o wydanie URBANCARD nie były przez pracowników Biura Obsługi Klienta URBANCARD udostępniane osobom trzecim, ani w żaden sposób przetwarzane w innych celach niż wyprodukowanie karty.
Poruszana przez Pana sprawa jest sprawdzana przez naszą grupę techniczną.
Oficjalne stanowisko Mennicy Polskiej zostanie podane do publicznej informacji w najbliższym czasie.
W oświadczeniu Jarosława Krauze, Pełnomocnik KWW Rafała Dutkiewicza:
Oświadczamy, że KWW Rafała Dutkiewicza nie zamawiało i nie realizowało mailingu do wyborców o omawianej w sieci treści.
O sprawie pisze również Olgierd Rudak w trzech tekstach:
- Wyciek adresów email z systemu Urbancard i spam wyborczy
- Sztab Dutkiewicza zaprzecza by zamawiał spamerski mailing
- Zbiór danych użytkowników Urbancard źródłem adresów do spamu
A ja przywołam jeszcze tekst Spam polityczny z 2004 roku.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
A co po szkodzie?
No, dobrze - dane wyciekły, sprawca, załóżmy, zostanie ujęty, wyciek zatamowany. I co z tego? Co uciekło, to uciekło. Dane dostały się, jak zacytowano, do legalnie nabytej bazy danych. Do ilu takich baz się dostały? W ilu miejscach się znajdują? W jaki sposób prawo przewiduje realną możliwość naprawienia szkody, to jest usunięcia danych?
Owszem, prawo zapewnia nam uprawnienia do edycji i usuwania własnych danych osobowych. Oczywistym jest jednak, że dane te możemy usunąć tylko z tych baz, o których wiemy. A zgadzając się na "przekazywanie danych osobowych firmom trzecim" (częsta klauzula) lub padając ofiarą "kradzieży danych osobowych" nie mamy zielonego pojęcia kto, gdzie, kiedy i w jakim celu nasze dane osobowe przetwarza.
Nie wiem jak Pan, Panie Piotrze, ale ja w tym świetle wielkiego sensu w ustawie o ochronie danych osobowych nie widzę.
Pozdrawiam i dziękuję za świetny serwis internetowy!
Jak zwykle
Jak podała Wyborcza za wyciek odpowiada osoba z biura Dutkiewicza. Czyli dane były chronione przed wszystkimi, tylko nie przed ich adminami. Oczywiście winny się znalazł, został zwolniony z pracy itd. Ciekawe tylko, czy odpowiedzialny za przeciek liczył, że nie zostanie złapany, czy po prostu udostępnienie danych i dyscyplinarka mu się zwyczajnie opłaca.
Z drugiej strony miasto zbiera (nieledwie przymusowo - nie podasz, nie masz miesięcznego) dane swoich mieszkańców pod pozorem wyrobienia biletu miesięcznego kupę danych, a potem one prawie od razu tak se wyciekają.
Podejrzewam, że akcję
Podejrzewam, że akcję przeprowadził urzędnik niechętny Dutkiewiczowi. Spam plus reakcja mediów, gdy wyciek się wydał (a musiał się wydać - jednorazowe maile to nie taka rzadkość, wśród tysięcy użytkowników Urbancard musiało się trafić kilka) mógł tylko zrazić wyborców.
A sama karta miejska od początku ma we Wrocławiu złą opinię. Raz - zagrożenie prywatności, bilet papierowy kupuje się anonimowo i dopiero potem "personalizuje" podpisem. Dwa - duże komplikacje: mało punktów wydających, kolejki. A już dla osób przyjeżdżających np. na tydzień, kupno biletu okresowego graniczy z niemożliwością. Trzecie i najważniejsze - brak jakiejkolwiek wartości dodanej dla użytkowników. Poza obietnicami, że w przyszłości urbancard będzie też kartą parkingową, biletem do muzeum itp. a dla studentów będzie zintegrowana z legitymacją. Już kilka razy przesuwano termin wycofania papierowych biletów okresowych pod naciskiem opinii publicznej. Może się znowu uda.
może zwyczajnie brak świadomości
Jako, że pracował u Dutkiewicza już parę lat - wątpię w ten sposób sabotował pracę ekipy. Sądzę, że zwyczajnie nie był świadom swoich błędów związanych z ochroną danych z Urbankarty.
Warto zauważyć, że rzekomo adres e-mail nie był w tym przypadku daną osobową, jednakże faktycznie w mailach odnoszono się do prawdziwych imion użytkowników więc ktoś kłamie ;]