Wyciek z Fit and eat – krytyczna ocena prawna.

Dwa dni temu naj­pierw Nie­bez­piecz­nik, a chwi­lę póź­niej Zaufa­na Trze­cia Stro­na poin­for­mo­wa­ły o wrzu­ce­niu na forum ToRe­pu­blic danych oso­bo­wych z przed­się­bior­stwa ofe­ru­ją­ce­go usłu­gi die­te­tycz­ne Fit and eat. Wyciek obej­mu­je dane bar­dzo zna­nych osób, w tym ich adre­sy, kody do fur­tek na klat­ki, infor­ma­cje o prze­by­tych cho­ro­bach czy ura­zach. Wczo­raj na TVN24 mogli­śmy prze­czy­tać wypo­wie­dzi wła­ści­cie­li, któ­rzy prze­pra­sza­ją i dekla­ru­ją iż zmie­nią dostaw­cę usług IT, któ­ry miał dbać o bez­pie­czeń­stwo danych klien­tów. Całe to tłu­ma­cze­nie, para­fra­zu­jąc kla­sy­ka, to bul­szit kom­plet­ny. Win­ni roz­my­dla­ją spra­wę, uży­wa­jąc pija­row­skie­go zabie­gu pró­bu­ją wyjść z twa­rzą i uciec od odpo­wie­dzial­no­ści (w poczu­ciu spo­łecz­nym). Dziś przed­sta­wię spoj­rze­nie praw­ne na to, kto tak napraw­dę pono­si odpo­wie­dzial­ność za zaist­nia­łą sytu­ację, pobież­ną ana­li­zę tego kto i jak może odpo­wia­dać za popeł­nio­ne błę­dy a tak­że czy Fit and eat zro­bi­ło cokol­wiek by dane oso­bo­we klien­tów chro­nić, bo mam ku temu bar­dzo poważ­ne wątpliwości.

Na wstę­pie jed­nak wyja­śnię dla­cze­go moja oce­na jest tak rady­kal­na. Po pierw­sze wąt­pię, by jaki­kol­wiek poważ­ny dział IT wdro­żył w fir­mie roz­wią­za­nie, w któ­rym dane oso­bo­we były­by gro­ma­dzo­ne w pli­ku sta­no­wią­cym arkusz kal­ku­la­cyj­ny. To raczej hałup­ni­cze roz­wią­za­nie opra­co­wa­ne przez laika, któ­re naj­praw­do­po­dob­niej tutaj jed­nak było wyko­rzy­sty­wa­ne (chy­ba, że opu­bli­ko­wa­ny plik jest jakimś backupem-eksportem z bazy?). Moja oce­na wyda­je się zbież­na z tym, co napi­sa­ła Zaufa­na Trze­cia Stro­na. Po dru­gie dostaw­ca IT nie bie­rze na sie­bie odpo­wie­dzial­no­ści za ochro­nę danych oso­bo­wych prze­twa­rza­nych w orga­ni­za­cji sam z sie­bie. Zgod­nie z obo­wią­zu­ją­cy­mi prze­pi­sa­mi robi to Admi­ni­stra­tor Danych Oso­bo­wych, (ew. Admi­ni­stra­tor Bez­pie­czeń­stwa Infor­ma­cji) któ­ry na pod­sta­wie usta­wy ist­nie­je w każ­dej fir­mie prze­twa­rza­ją­cej dane oso­bo­we. Ale by taki Admi­ni­stra­tor dzia­łał legal­nie trze­ba się posta­rać i po pro­stu zadbać w fir­mie o zgod­ność z usta­wą o ochro­nie danych oso­bo­wych. Oczy­wi­ście może mieć miej­sce sytu­acja, w któ­rej ktoś z IT peł­ni obo­wiąz­ki ADO, a nawet cały dział  jako wyod­ręb­nio­na jed­nost­ka orga­ni­za­cyj­na reali­zu­je taką rolę. Ale to zawsze podział wewnętrz­ny, umow­ny. Usta­wa nie pozwa­la prze­nieść funk­cji ADO na kogoś umow­nie. Prak­ty­ka nato­miast pod­po­wia­da, że jeśli ktoś serio pod­cho­dzi do ochro­ny danych oso­bo­wych to kon­sul­tu­je to z praw­ni­kiem, powo­łu­je zespół, usta­la regu­ły, iden­ty­fi­ku­je ADO. Mniej­sza jed­nak o to wszyst­ko, skup­my się na przy­pad­ku Fit and eat.

Z czy­stej cie­ka­wo­ści posta­no­wi­łem spraw­dzić, czy pro­wa­dzą­cy swój biz­nes pod szyl­dem Fit and eat posia­da­ją zare­je­stro­wa­ny zbiór danych oso­bo­wych, a jeśli go posia­da­ją, to kto jest jego admi­ni­stra­to­rem. Jak wska­zy­wa­łem w jed­nym z poprzed­nich wpi­sów moż­na to zro­bić za pośred­nic­twem spe­cjal­nej wyszu­ki­war­ki przy­go­to­wa­nej przez GIODO. Wrzu­ci­łem więc w wyszu­ki­war­kę zbio­rów róż­ne kom­bi­na­cje, w tym nazwi­ska wspól­ni­ków spół­ki cywil­nej, któ­ra pro­wa­dzi to przed­się­bior­stwo i nie zna­la­złem zare­je­stro­wa­nych zbio­rów, któ­re moż­na by powią­zać z Fit and eat. Na to samo zresz­tą wska­zu­je cyto­wa­na już Zaufa­na Trze­cia Stro­na. Oczy­wi­ście za reje­stra­cją zbio­rów danych oso­bo­wych u GIODO cze­ka się cza­sem baar­dzo dłu­go (jeden z moich klien­tów cze­ka od lute­go i.… jesz­cze się nie docze­kał) i Fit and eat mogło­by znaj­do­wać się w takiej sytu­acji, lecz… doświad­cze­nie kaza­ło mi spraw­dzić, kie­dy wpis doty­czą­cy reje­stra­cji w GIODO zna­lazł się po raz pierw­szy na stro­nie www przed­się­bior­stwa i dotar­łem do daty 21 kwiet­nia 2012 roku. Tak więc wariant ocze­ki­wa­nia zbio­ru na reje­stra­cję odpa­da, bo nie jest moż­li­we, by pro­ces reje­stra­cji zgło­sze­nia trwał dwa lata. Sądząc po tre­ści tego co wycie­kło, Fit and eat prze­twa­rza­ło wraż­li­we dane oso­bo­we (doty­czą­ce sta­nu zdro­wia), a te moż­na zacząć prze­twa­rzać dopie­ro po zare­je­stro­wa­niu. Tego więc komen­to­wać chy­ba już nie muszę.

Pod­su­mo­wu­jąc tą część – Fit and eat zda­je się nie posia­dać zare­je­stro­wa­ne­go zbio­ru danych oso­bo­wych. Co wię­cej, po medial­nych infor­ma­cjach nt. wycie­ku, kolej­nych komu­ni­ka­tach, nagle zmie­nił się zapis w regu­la­mi­nie doty­czą­cy ochro­ny danych oso­bo­wych przez przed­się­bior­stwo. Nie wiem kie­dy to się sta­ło, ale zapew­ne po publi­ka­cji przy­wo­ły­wa­ne­go już arty­ku­łu Zaufa­nej Trze­ciej Stro­ny, bo ten cytu­je jesz­cze sta­re brzmie­nie klau­zu­li. Obec­nie wyglą­da ona nie­co ina­czej (zdję­cie po prawej)

i jest nie­co bar­dziej zgod­na z GIODO, choć i tak zawie­ra wie­le bra­ków. Zna­la­zły się w niej imio­na i nazwi­ska ADO Fit and eat. Oso­bi­ście obsta­wiam, że na sku­tek wycie­ku Fit and eat posta­no­wi­ło zwięk­szyć zgod­no­ści z prze­pi­sa­mi doty­czą­cy­mi ochro­ny danych oso­bo­wych i wska­za­li admi­ni­stra­to­rów wraz z ich adre­sa­mi. Tak więc Fit and eat samo prze­czy temu co mówi w TVN24 – z tego co widzi­my dziś na stro­nie – za za ochro­nę danych oso­bo­wych odpo­wia­da­ją wspól­ni­cy spół­ki, a nie dostaw­cy IT…

Nagłe poja­wie­nie się w regu­la­mi­nie nowej klau­zu­li zaty­tu­ło­wa­nej poli­ty­ka pry­wat­no­ści nie zmie­nia jed­nak fak­tu, iż nadal utrzy­mu­je się w niej cała masa błę­dów. Cho­ciaż­by zapis wska­zu­ją­cy na to, iż dane nie będą uży­cza­ne, ani udo­stęp­nia­ne oso­bom trze­cim i będą uży­wa­ne wyłącz­nie w celach mar­ke­tin­go­wych po pro­stu zaprze­cza rze­czy­wi­sto­ści. Sko­ro fir­ma ta korzy­sta z hostin­gu w home​.pl, to musi powie­rzać dane oso­bo­we cho­ciaż­by hostin­go­daw­cy i to w celu inny­mi niż mar­ke­tin­go­wy. Zresz­tą sam wyciek pocho­dzi z ser­we­ra FTP innej fir­my obsłu­gu­ją­cej Fit and eat – fak­tycz­nie więc prze­twa­rza­ją­cej powie­rzo­ne jej dane. Co wię­cej, na stro­nie Fit and eat znaj­du­je się for­mu­larz kon­tak­to­wy, w któ­rym poda­je się dane oso­bo­we. For­mu­larz nie umoż­li­wia wyra­że­nia zgo­dy na prze­twa­rza­nie danych oso­bo­wych, któ­ra w świe­tle prze­pi­sów nie może być dorozumiana.

Te wszyst­kie rze­czy, o któ­rych tutaj napi­sa­łem, mogą być dla Cie­bie bar­dzo przy­dat­ne jeśli zamie­rzasz docho­dzić swo­ich rosz­czeń od Fit and eat. Ale zapew­niam, że to nie wszyst­ko, co w tej kwe­stii jest po ich stro­nie nie tak jak być powin­no. W tym miej­scu musisz mi po pro­stu wyba­czyć, ale część z tych rze­czy zosta­wiam na wyłącz­ność dla moich Klientów.

Nie wszy­scy zda­ją sobie też spra­wę z tego, iż usta­wa o ochro­nie danych oso­bo­wych wpro­wa­dza cały sze­reg prze­pi­sów kar­nych. Przykładowo:

Kto prze­twa­rza w zbio­rze dane oso­bo­we, choć ich prze­twa­rza­nie nie jest dopusz­czal­ne albo do któ­rych prze­twa­rza­nia nie jest upraw­nio­ny (…) jeże­li czyn (…) doty­czy (…)  danych o sta­nie zdro­wia (…) pod­le­ga grzyw­nie, karze ogra­ni­cze­nia wol­no­ści albo pozba­wie­nia wol­no­ści do lat 3.

Kto admi­ni­stru­jąc dany­mi naru­sza choć­by nie­umyśl­nie obo­wią­zek zabez­pie­cze­nia ich przed zabra­niem przez oso­bę nie­upraw­nio­ną, uszko­dze­niem lub znisz­cze­niem, pod­le­ga grzyw­nie, karze ogra­ni­cze­nia wol­no­ści albo pozba­wie­nia wol­no­ści do roku.

Kto będąc do tego obo­wią­za­ny nie zgła­sza do reje­stra­cji zbio­ru danych, pod­le­ga grzyw­nie, karze ogra­ni­cze­nia wol­no­ści albo pozba­wie­nia wol­no­ści do roku.

W przy­pad­ku Fit and eat w mojej oce­nie mogło dojść do popeł­nie­nia jesz­cze innych czy­nów zabro­nio­nych. Co cie­ka­we, nie jest to koniec tego w jaki spo­sób wspól­ni­cy – Pań­stwo Brze­ziń­scy – mogą zostać pocią­gnię­ci do odpo­wie­dzial­no­ści przez poszko­do­wa­nych klien­tów. Pozo­sta­je jesz­cze pole rosz­czeń cywil­nych, a to wyda­je się mieć spo­ry poten­cjał. Wypły­nę­ły wraż­li­we dane, sta­no­wią­ce czę­sto new­ral­gicz­ne dobra oso­bi­ste, ale też cho­ciaż­by kody do bra­mek, któ­re pew­nie admi­ni­stra­cja musi zmie­nić, co wią­że się z kosz­ta­mi. Jeśli ktoś się uprze, to może napraw­dę spo­ro na tej spra­wie ugrać (rów­nież pieniędzy).

Uwa­żam, że poszko­do­wa­ni powin­ni się ubie­gać o swo­je – po pierw­sze przy­czy­ni się to do zwięk­sze­nia świa­do­mo­ści spo­łecz­nej wśród przed­się­bior­ców doty­czą­cej koniecz­no­ści ochro­ny danych oso­bo­wych i poczu­cia, że (cza­sa­mi celo­wa) igno­ran­cja w tym zakre­sie może być po pro­stu bar­dzo kosz­tow­na. Po dru­gie stra­ty finan­so­we i wize­run­ko­we Fit and eat mogą być w pew­nym sen­sie zadość­uczy­nie­niem dla kon­ku­ren­tów, któ­rzy zain­we­sto­wa­li w ochro­nę danych oso­bo­wych. W takich sytu­acjach po pro­stu wycho­dzi komu zale­ży na praw­dzi­wym dobru ich klien­tów, oraz kto chce po pro­stu być uczci­wym i prze­strze­gać obo­wią­zu­ją­ce nas prawo.