CHIP: kto stoi za wyciekiem danych klientów T-Mobile?

Do wielu klientów tuż przed końcem umowy abonamentowej dzwonią konkurencyjne firm, proponując zmianę operatora. Takie sygnały znalazły się pod naszym niedawnym artykułem na temat wycieku. Policja zatrzymała pracowników firmy marketingowej oraz jednego call center, których przyłapała na próbie kradzieży danych klientów sieci T-Mobile. Incydentem zajmuje się też Generalny Inspektor Ochrony Danych Osobowych, badając czy nie doszło do handlu chronionymi informacjami.
call center
call center

Operatorzy dzwonią do klientów konkurencji

— Według naszych ustaleń tego typu telefony nie są przypadkowe i na pewno niebawem będziemy je weryfikować — podkreśla w rozmowie z CHIP-em Agnieszka Świątek-Druś, rzecznik prasowy GIODO. Zaznacza jednak, że na tym etapie nie można przesądzić, czy kontakt ze strony konkurencyjnych operatorów jest skutkiem opisywanej przez nas kradzieży danych T-Mobile.

Konkurencyjne telekomy wiedzą, kiedy kończy ci się umowa (fot. Adrianna Calvo)

Pytamy operatorów

Komenda Główna Policji poinformowała, że firma marketingowa przekazywała systematycznie dane  jednemu z konkurentów T-Mobile, za co otrzymywała wynagrodzenie. Była to zapłata za “działalność reklamową”. Postanowiliśmy zapytać sieci komórkowe o ten przypadek. Firmy Orange i Play podkreślają, że nie są stroną postępowania i nie chcą bezpośrednio odnosić się do niego. Marcin Gruszka z Playa wyjaśnia:

— O sprawie wiem z komunikatu prasowego policji, który moim zdaniem nie jest precyzyjny. Mam nadzieję, że służbom uda się sprawę wyjaśnić do końca i wszyscy winni zostaną surowo ukarani — zaznacza Gruszka.

Plus nie odpowiedział na nasze pytanie.

Policja zatrzymała podejrzanych o kradzież danych osobowych (fot. Komenda Główna Policji)

Skarga do GIODO

Pamiętajmy, że każdy może raz na pół roku poprosić operatora o udzielenie informacji, kiedy i jakie dane zostały przez niego pozyskane, komu je udostępnił, w jakim zakresie i w jakim celu je przetwarza. Odpowiedź powinniśmy dostać w ciągu 30 dni. Warto zażądać też odpowiedzi na piśmie. Jeśli operator przetwarza nasze dane osobowe bezprawnie, możemy zażądać ich usunięcia. Możemy też sprzeciwić się wykorzystywaniu danych osobowych w celach marketingowych. Wzór takiego wniosku znajdziecie na stronie GIODO. Jeśli operator nie zastosuje się, jest jeszcze skarga do Generalnego Inspektora Ochrony Danych Osobowych.

Jedno call center i wielu operatorów

Często bywa tak, że telekomy wynajmują zewnętrzne firmy do obsługi call center. Jedna firma może obsługiwać kilku operatorów, ale zawsze jest zobowiązana do przestrzegania ustawy o ochronie danych osobowych. Zazwyczaj operatorzy zabezpieczają się zapisanymi w umowie wysokimi kwotami odszkodowania na wypadek wycieku informacji o klientach.

— Zgodnie z artykułem 31 ustęp 2 podmiot, któremu powierzono przetwarzanie danych, może wykorzystywać je wyłącznie w zakresie i celu przewidzianym w umowie — tłumaczy Agnieszka Świątek-Druś z biura GIODO.

Call center mogą obsługiwać kilku operatorów komórkowych naraz (fot. PGBS)

Zarządzanie danymi osobowymi w polskich firmach

A my pytamy ekspertów z zakresu bezpieczeństwa IT o jakości zabezpieczeń w polskich firmach pod kątem ochrony danych osobowych.

— Duże firmy i instytucje mają rozbudowane działy odpowiedzialne za ochronę danych osobowych — podkreśla Przemysław Krejza z Mediarecovery. — Oczywiście bezpieczeństwo nie jest procesem zamkniętym i stale trzeba nad nim pracować.

Gorzej jest natomiast w przypadku małych i średnich firm oraz administracji samorządowej. Tutaj brakuje często zarówno wiedzy jak i odpowiednich zaawansowanych technologii.

W maju 2018 roku zacznie obowiązywać nowe europejskie prawo – ogólne rozporządzenie o ochronie danych osobowych, czyli RODO (fot. Counselling)

Sytuację poprawi RODO?

Ekspert Mediarecovery przekonuje, że od przyszłego roku sytuacja powinna wyglądać lepiej. W maju zostanie wprowadzone unijne rozporządzenie o ochronie danych osobowych. RODO wymusza na firmach poważne potraktowanie kwestii ochrony danych. Jeśli w przedsiębiorstwie dojdzie do wycieku, musi liczyć się z karą nawet do 20 milionów euro lub 4 procent swojego rocznego obrotu, w zależności od tego, która kwota będzie większa. | CHIP