Czy fala roszczeń zaleje sklepy internetowe?

Składając zamówienie w sklepie internetowym udostępniamy mu swoje dane osobowe w celu realizacji zamówienia. Przedsiębiorstwo będące właścicielem sklepu internetowego, jest zobowiązane do ochrony naszych danych osobowych. Ochrona ta ma być realizowana zgodnie z obowiązującym prawem, w zakresie przechowywania i przetwarzania danych. Powszechną praktyką jest wysyłanie wiadomości e-mail z potwierdzeniem realizacji naszego zamówienia. Wiadomość ta często zawiera nasze dane osobowe podane w czasie składania zamówienia. Pisaliśmy już o aspektach bezpieczeństwa poczty e-mail w artykule Jak bezpieczna jest poczta e-mail?. Z prawnego punktu widzenia wiadomości e-mail zawierającej dane osobowe, należy zapewnić poufność.

Przypominamy iż z punktu widzenia technologii, jedyną możliwością zapewniającą poufność korespondencji jest szyfrowanie a ustawa o ochronie danych osobowych wymaga zapewnienia poufności. Zapytaliśmy więc generalnego inspektora ochrony danych osobowych, czy sklep internetowy powinien zapewniać poufność korespondencji e-mail kierowanej do klientów? Zapraszamy do zapoznania się z odpowiedzią inspektoratu:

Osobiście nie spotkałem się ze sklepem internetowym oferującym swoim klientom szyfrowanie korespondencji e-mail. Czy mamy więc do czynienia z notorycznym łamaniem ustawy o ochronie danych osobowych przez sklepy internetowe? Wygląda na to, że tak. Nasze obawy potwierdził GIODO.

Ustawa ta nakłada również na usługodawcę obowiązek zabezpieczenia (np. zaszyfrowania) danych przesyłanych pocztą elektroniczną.

A co z instytucjami przesyłającymi nam faktury za pośrednictwem poczty e-mail? Operatorzy telefonii komórkowej, dostawcy prądu i gazu, firmy wodociągowe to instytucje które masowo oferują swoim klientom elektroniczne faktury. Czy firmy te proponują swoim klientom zaszyfrowanie korespondencji e-mail? Osobiście nie spotkałem się z taką propozycją.

Administrator przekazujący dane drogą elektroniczną jest zobowiązane do zastosowania odpowiednich środków ochrony poufności danych osobowych. Takie działanie jest jego obowiązkiem, a żądanie podmiotów, których dane są przetwarzane o ich zastosowanie jest działaniem zbędnym.

Z przepisów prawa wynika, że to administrator (a więc sklep internetowy lub dowolna firma komunikująca się z klientami za pośrednictwem poczty e-mail) ma obowiązek zabezpieczyć pocztę elektroniczną! Klient powinien zostać poinformowany o konieczności zaszyfrowania korespondencji. Można pokusić się nawet o bardziej rygorystyczną interpretację przepisów: zgodnie z literą prawa korespondencja podlegająca ochronie zgodnie z ustawą o ochronie danych osobowych, w ogóle nie powinna być przesyłana przez sieć publiczną Internet bez zastosowania kryptografii.

Praktyka pokazuje coś zupełnie innego. Z doświadczenia wiem, iż bardzo mało firm dba o poufność poczty e-mail. Czy więc możemy oczekiwać fali spraw sądowych skierowanych przeciwko sklepom internetowym i firmom dostarczającym faktury elektroniczne swoim klientom? Myślę, że w najbliższym czasie możemy się spodziewać precedensowych wyroków w tej sprawie.

—————————————————————————————————————————————————-

Na problem zwrócił uwagę właściciel strony: Strefa Prywatności. Dziękujemy za udostępnienie artykułu

Krypto Polak

Może Ci się również spodoba

9 komentarzy

  1. John napisał(a):

    „Operatorzy telefonii komórkowej, dostawcy prądu i gazu, firmy wodociągowe to instytucje które masowo oferują swoim klientom elektroniczne faktury. Czy firmy te proponują swoim klientom zaszyfrowanie korespondencji e-mail?” Jedyne z czym się spotkałem to możliwość włączenia szyfrowania wyciągów w mBanku przesyłanych na maila

  2. z napisał(a):

    Szyfrowanie SSL/TLS (dość popularne) na poziomach:
    – klient pocztowy -> serwer przyjmujący pocztę
    – serwer pocztowy nadawcy -> serwer pocztowy odbiorcy (ale tu już dużo gorzej bo mało które egzekwują poprawność certyfikatów)
    – serwer odbiorcy -> klient pocztowy odbierający pocztę
    istnieje i jest używane. Czy to wystarcza? Raczej powinno.

    Problem, że powyższe (może za wyjątkiem początkiem łańcucha) często jest poza gestią sklepu internetowego – zależy od właścicieli serwerów po drodze jak i woli odbiorcy (czy sam używa SSL/TLS) itd.

    Na koniec istnieje proste rozwiązanie – nie przesyłać danych osobowych pocztą elektroniczną. Takie dane można wystawiać dopiero po zalogowaniu się na konto w sklepie internetowym.

    Szkoda też, że GIODO odpowiedziało standardową drogą, a nie elektroniczną via email – zobaczylibyśmy w jaki sposób sami zabezpieczają maile.

  3. admin napisał(a):

    to jest jakiś absurd! pozwać można wszystkich, zaczynając od operatorów sieci komórkowych, allegro, dostawców prądu, wszystkich. Nigdzie, nigdy nie widziałem szyfrowanej wiadomości przez PGP czy innego typu szyfrowanie asymetryczne. To jest totalna bzdura, że to firma ma byc odpowiedzialna za zabezpieczenie treści maila przed niepowołanym dostępem osoby trzeciej na serwerze pocztowym klienta?
    Na 100% jestem przekonany, ze nawet GIODO nie miałoby pojęcia gdyby dostali maila z prosbą o swoj klucz publiczny PGP, lub prosbe o korespondencje przy pomocy szyfrowania PGP posługując się dołączonym kluczem publicznym.
    Moze z 5% polskich internautów (statystyka mocno zawyżona przez ludzi z security i przestepców, którzy na poufnosc korespondencji zwracają uwagę) w ogóle wie co to jest szyfrowanie asymetryczne i w jaki sposób można się tak komunikować.
    Gdyby nagle allegro zaczeło wymagac od ludzi deszyfracji wiadomosci wysylanych do nich po zakupie, to obroty by im spadly conajmniej o polowe do czasu az by wycofali takie posunięcie.
    O własną skrzynkę mailowa każdy powinien dbać sam, natomiast firmy niech zabezpieczają właściwie swoje serwery z bazami danych gdzie przetrzymywane sa te dane. ma to sens i byłem przekonany od lat że właśnie taki obowiązek leży po stronie administratora danych. Jak widac mocno się myliłem (i zapewne 90% innych adminów).

  4. Amadek napisał(a):

    z: SSL nie wystarczy.

    admin: rzeczywiście masz rację, że obowiązek zapewnienia bezpieczeństwa danych leży po stronie administratora danych. Ale administrator ma tylko władzę nad infrastrukturą w firmie. Jeśli dane wychodzą poza firmę do sieci publicznej (Internet) to w tym momencie z danymi może stać się wszystko. Snowden pisał o systemie PRISM i przestrzegał przed inwigilacją poczty e-mail i gromadzeniu metadanych.

    Moim zdaniem prawo jest dobre. Chroni nasze dane prywatne. Producenci oprogramowania i ludzie niestety nie zwracają uwagi na ochronę prywatności. Pisałem już, że „rzeczywistość cyfrowa niestety pozwala ograniczać wolność w sposób przez nas niezauważalny”. W klasycznej poczcie zauważylibyśmy każde uszkodzenie paczki lub listu. W cyfrowym świecie można wykonać kopie danych bez uszczerbku dla oryginału. Dlatego jeśli dostaniemy uszkodzony list to idziemy z reklamacją na pocztę. Jeśli dostaniemy e-mail który wcześniej został przeczytany przez PRISM lub administratora serwera pocztowego lub w inny sposób została naruszona prywatność korespondencji to nawet tego nie zauważymy.

    Czekam więc na wyroki sądu. Pozywajmy więc firmy i sklepy internetowe w imię poprawy prywatności. Zobaczcie jak było z ciasteczkami. Wprowadzono obowiązek informowania użytkowników i każda strona internetowa się do tego dostosowała. Tutaj będzie podobnie. Biznes się dostosuje i myślę, że szybko wprowadzi GPG dla swoich klientów.

    Życzę wszystkim wesołych świąt i silnej ochrony prywatności!

  5. Konrad napisał(a):

    Czy moglibyście opublikować także treść Waszego zapytania? Myślę, że to pozwoliłoby szerzej się odnieść do problemu. A póki co, jako kamyczek do dyskusji dorzucam, że Facebook (sic!) daje możliwość wysyłania wiadomości e-mail zaszyfrowanych wskazanym kluczem PGP już od dłuższego czasu.

  6. Adrian napisał(a):

    Jak 20 lat temu była moda kiedy ktoś na drodze przyłożył ci w tyłek – by robić na tym biznes, tak 5-10 lat temu weszła moda by robić biznes na wszystkich odszkodowaniach. A z tego co widzę po Twoim artykule, wkrótce wejdzie modna na robienie biznesu zwyczajnie kupując w internetowych sklepach. To, że jest to chore – to druga sprawa, to że przeciętny sklep nie będzie miał pojęcia jak się zabezpieczyć, to jeszcze inna. Ciekaw jestem co z tego wyniknie, ale zapewne masz rację, że coś wyniknie.

  7. aaa napisał(a):

    bicie piany. „Przetwarzanie danych” i obowiazki z tym zwiazane przeniesiono na przesyłanie. Przyjdzie czas, ze jeszcze niektórym czkawką sie odbije oczekiwanie od naszego Państwa regulacji na rynku. Kwestia czasu …a zacznie sie raportowanie przez ABI o zbiorach …tak jak obecnie jest z „jednolitym plikiem kontrolnym”.a

  8. MH napisał(a):

    Wydaje mi się że jeśli cały ruch jest szyfrowany przez TLS (www, email) to jest to odpowiedbie zabezpieczenie – mail trafia na serwer użytkownika w bezpieczy sposób.

  9. Amadek napisał(a):

    Sklepy internetowe mogą bardzo łatwo ustrzec się potencjalnych spraw sądowych i odszkodowań. Wystarczy zaimplementować w firmie GPG lub S/MIME i upublicznić klucze publiczne na swoich stronach internetowych. Informacja o stosowaniu kryptografii w poczcie e-mail musi się również znaleźć w regulaminie sklepu. Jeśli klient nie zastosuje się do wymogu to już jego problem. Sklep jest czysty ponieważ umożliwił klientowi skorzystanie z kryptografii. Nawet jeśli liczna klientów którzy skorzystają z kryptografii będzie niewielka to sklep oczywiście musi się liczyć z faktem iż wąska grupa klientów z niej skorzysta. Muszą być oni obsłużeni prawidłowo. Reasumując sklepy powinny upubliczniać swoje klucze publiczne i powinny potrafić obsłużyć klientów którzy z nich korzystają.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *