NFsec Logo

Kupujesz i po latach rekla(spa)mujesz

17/06/2016 w Techblog Brak komentarzy.  (artykuł nr 528, ilość słów: 773)

Z

acznijmy od początku. Społecznościówki (Google+, Facebook, LinkedIn), e-banki, e-płatności, e-commerce, hotele itp. – wszystkie wymagają podania adresu e-mail. Do prawie wszystkich można zalogować się w klasycznym układzie typu: e-mail / hasło. Nie trzeba już wymyślać sobie kozackiego, jedynego nicku, ponieważ serwisy zaczynają traktować adresy e-mail jako unikatowe identyfikatory użytkowników z którymi w ten sposób mogą prowadzić „bezpieczną” komunikację. Wszechobecne dzielenie się adresem e-mail z technicznego punktu widzenia nie jest złe, ale na dłuższą metę powoduje kilka irytujących problemów – spam, poznanie Twojego loginu do poczty przy wycieku danych itd. Niektóre z nich można rozwiązać lub uczynić znacznie prostszymi za pomocą aliasów pocztowych.

Wyobraźmy sobie opcję dzielenia się pojedynczym adresem e-mail w dzisiejszych czasach. Po kilku rejestracjach w takich serwisach, konkursach … zaczniemy otrzymywać niezamówione reklamy, a im więcej kont będziemy zakładać tym różne systemy będą je: sprzedawać, dzielić się z swoimi partnerami biznesowymi, a od czasu do czasu dojdzie do ich wycieku. Gdy już trafimy na jakąś listę to prawdopodobnie zostaniemy na niej do końca swojego życia lub skrzynki pocztowej. Z tego nie można się po prostu wypisać. Wiem. Próbowałem. W dodatku przy jednym adresie e-mail utrudniamy sobie również ewentualne dalsze dochodzenia własnych praw bo trudniej nam określić, gdzie nastąpił ewentualny wyciek? Są też inne problemy – bardziej związane z bezpieczeństwem. Każdy, kto zna Twój główny i jedyny adres e-mail może łatwo ustalić z jakich serwisów korzystasz („Ten adres e-mail jest już zarejestrowany”), próbować złamać Twoje hasło metodą brute force, wysyłać phishing lub w przypadku wycieku – dostać się do jedynego centrum odzyskiwania haseł z wszystkich serwisów.

Dlatego do każdego serwisu i usługi w prawdziwym życiu – gdzie jest wymagany w formularzu nasz adres elektroniczny lepiej stosować aliasy / skrzynki catch-all / wiele kont e-mail, które i tak mogą finalnie przekazywać wiadomości do jednego adresu – nikomu „z czarnego marketingu” nie znanemu. Tworzymy w ten sposób kilka skrótów z różnych miejsc Internetu do jednego folderu na naszym pulpicie. Ułatwiamy sobie też identyfikację potencjalnych wycieków oraz podejrzanych źródeł – np. jak dostaniemy na adres facebook@ wiadomość z banku – to od razu będziemy świadomi próby wyłudzenia – bo dla banku przewidzieliśmy inny adres.

Do brzegu – 24 maja 2016 r. otrzymałem na adres e-mail przeznaczony do komunikacji z portalem Allegro reklamę jednego z salonów samochodowych mówiącej o promocyjnej cenie jednego z ich modeli. I tutaj pojawił się problem, ponieważ adres ten nigdy nie został nigdzie publicznie podany oprócz wspomnianej platformy zakupowej, a treść i adres nadawcy nie sugerowały oraz nie zawierały informacji o tym, że jest to reklama realizowana w ramach bezpośredniej promocji produktów i usług Grupy Allegro. Powołując się na art. 10 pkt. 2 ustawy z dnia 18 lipca o świadczeniu usług drogą elektroniczną w odpowiedzi poprosiłem o przedstawienie mojej zgody na przesyłanie informacji handlowych (na mój prywatny, nigdzie publicznie dostępny adres) – przypominając, że zgodnie z art. 24 tej ustawy, kto przesyła za pomocą środków komunikacji elektronicznej niezamówione informacje handlowe, podlega karze grzywny od 20 do 5.000 zł. W odpowiedzi otrzymałem informację prawdopodobnie od osoby technicznej (programisty?), że już moja pozycja została „odznaczona” z kampanii marketingowych, a tak w ogóle to reklama została wysłana z powodu złego zapytania SQL i Pan nie jest w stanie określić skąd firma weszła w posiadanie moich danych osobowych – zasugerował, że może kiedyś kupiłem samochód, część lub usługę tej marki. I tutaj podjęcie tropu zasugerowanego przez rozmówcę i adresu e-mail przewidzianego dla Allegro okazało się poprawne – w styczniu 2013 roku kupiłem za pośrednictwem tej platformy zakupowej część do swojego samochodu od wspomnianej firmy. W odpowiedzi wytłumaczyłem Państwu, że w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2015 roku, poz. 2135 ze zm.), administratorem danych osobowych (ADO) użytkowników będących osobami fizycznymi jest Grupa Allegro, a moje dane mogły być wyłączenie wykorzystane do realizacji zamówienia (dostawa zakupionego towaru pod wskazany adres), a nie w celach marketingowych – nawet marketingu bezpośredniego, który przewiduje art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych – ponieważ przekazanie danych innym podmiotom odbywa się na podstawie umowy powierzenia przetwarzania danych. Podmiot, który otrzymał dane do przetwarzania zakupu jest tzw. procesorem i może je przetwarzać tylko w celach, dla których Allegro mu je powierzyło – inne przypadki wymagają naszej zgody. I tutaj należy oddać owej firmie bardzo honorowe podejście do sprawy, ponieważ bez żadnej dezaprobaty w ramach ugody i przeprosin została dokonała wpłata na wskazany przeze mnie cel dobroczynny.

Więcej informacji: podziękowania dla CyberLaw za konsultacje.

Kategorie K a t e g o r i e : Techblog

Tagi T a g i : , , , , , , , ,

Brak nowszych postów

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.