Po kilku dniach zadzwoniła do niego pracowniczka Alior Banku z ofertą kredytową. Na pytanie, skąd kobieta ma numer telefonu, bloger usłyszał, że od klienta. Gdy przycisnął bardziej, okazało się, że z… aukcji internetowej.
– Z ogłoszenia. Czy to Pana numer 606-xxx-xxx? I to Pan sprzedaje Macbooka?
– Tak.
– No to mam stąd.
– To świetnie, czyli chce pani kupić ode mnie Macbooka?
– Nie, nie chcę. Do widzenia.
Z telefonu, z komputera, z aukcji…
Zgodnie z ustawą o ochronie danych osobowych firma nie może w ten sposób pozyskiwać danych osobowych. Firmy mogą odkupywać od siebie bazy danych, ale gdy to robią, muszą spełnić tzw. obowiązek informacyjny, czyli powiadomić każdą osobę z danej bazy o tym, że właśnie tę bazę kupiły. Niestety, często dane krążą między firmami także nielegalnie. O tym, jak je wykradać, opowiadał niedawno w „Wyborczej” Piotr Konieczny, szef zespołu bezpieczeństwa w serwisie Niebezpiecznik. Informacje pozyskiwane są z zainfekowanych wirusami komputerów czy odzyskiwane ze sprzętu kupionego na rynku wtórnym – dzięki temu, że poprzedni właściciel nieodpowiednio usunął dane z dysku sprzedawanego laptopa czy telefonu. – Nie należy również zapominać o danych świadomie wykradanych przez pracowników konkretnych firm mających wgląd w bazy klientów. Można kupić dostęp do danych (np. billingów czyjejś osoby) od pracowników salonów GSM albo uzyskać dane osobowe właściciela pojazdu od urzędnika czy policjanta – mówi Konieczny.
Alior: przepraszamy, jednorazowy incydent
Poprosiliśmy Juliana Krzyżanowskiego, rzecznika prasowego Alior Banku, o komentarz w tej sprawie. Zapewnił on, że firma korzysta wyłącznie z legalnych baz danych. – Podjęliśmy działania mające na celu wyjaśnić opisaną sprawę. W przypadku stwierdzenia naruszenia przez pracownika procedur obowiązujących w banku, zostaną wyciągnięte wobec niego stosowne konsekwencje – zapowiedział Krzyżanowski.
Gdy Michał Jędrzejkowski opisał całą sprawę na blogu, odezwała się do niego Joanna Grynfelder, oficer ds. zgodności regulacji w Alior Banku. „Incydent miał charakter jednorazowy. Bankierka została zobowiązana do ponownego zapoznania się z regulacjami wewnętrznymi banku w zakresie danych osobowych – zasadach przetwarzania danych w celach marketingowych, w szczególności ich pozyskiwania” – napisała w mailu. Jak twierdzi autor bloga, obiecała też publiczne przeprosiny, ale tej obietnicy już nie spełniła.
Jak wypisać się z bazy danych
Każdy, kto dzwoni do nas z ofertą handlową, ma obowiązek poinformować nas – jeśli go o to zapytamy – skąd ma nasze dane. Każdy administrator takiej bazy danych ma też obowiązek wypisać nas z niej na nasze wyraźne żądanie. Najprościej jest to zrobić za pomocą maila. Oto wzór takiego pisma:
Szanowni Państwo,
na podstawie art. 32 ust. 1 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 Nr 133 poz. 883 z późn. zm.) żądam zaprzestania przetwarzania moich danych osobowych oraz ich usunięcia. Proszę o poinformowanie mnie o tym fakcie na podany adres/adres e-mail.
Na podstawie art. 33 wspomnianej ustawy zwracam się również z wnioskiem o udzielenie informacji, z jakiego źródła pozyskali Państwo moje dane osobowe.
Z poważaniem
2 comments for “Pracowniczka Aliora nielegalnie pozyskała dane. Bank przeprasza”