W poprzednim odcinku opisałem krótką potyczkę z wtedy jeszcze świeżo-powstałym Urzędem Ochrony Danych Osobowych i mojej skargi na przetwarzanie danych przez 2 spamerów: DBMS Sp. z o.o. oraz LoanMe Sp. z o.o. Wczoraj po prawie 21 miesiącach nastąpiło rozstrzygnięcie i wydanie ostatecznej decyzji przez PUODO.
Dla przypomnienia: firma LoanMe postanowiła zasypywać mnie swoimi świetnymi „ofertami” SMSami. Sęk w tym, że nie miałem z nią nigdy nic wspólnego, ani nie wyrażałem na to zgody. W ramach wyjaśnień zwalano winę na firmę DBMS i nieistniejący mechanizm „licencjonowania” bazy danych zawierającej dane osobowe w tym numer telefonu. DBMS w toku wyjaśnień twierdził, że dane podałem w 2012 rejestrując się w serwisie ekoFaktura (na co nie przedstawił żadnych dowodów oprócz adresu IP który nie był mój). Co ciekawe do korzystania z systemu do faktur niepotrzebny był adres mailowy którego twierdzili, że nie przetwarzali – ot taka ciekawostka.
Poprzedni odcinek zakończyliśmy ponagleniem na bezczynność organu. Po kolejnej interwencji w czerwcu 2019 roku UODO udzieliło odpowiedzi, że przyczyną braku decyzji jest konieczność uzupełnienia materiału dowodowego:
Prezes Urzędu ponownie zwrócił się do ww. podmiotu o nadesłanie załącznikówwskazanych przez Spółkę w swoich wyjaśnieniach z dnia 24 kwietnia 2019 r. stanowiących
dowody w powyższej sprawie, w związku z brakiem dołączenia ich. Powyższe dowody, są
niezbędne do wydania decyzji administracyjnej.
Na tym etapie mamy lekcję numer jeden: jeśli UODO zwraca się do Ciebie z żądaniem odpowiedzi przeciągaj temat, zapomnij przesłać załaczników lub odpowiadaj nie na temat.
W międzyczasie otrzymałem również informacje z UKE w trybie dostępu do informacji publicznej.
W roku 2018 do UKE wpłynęło 10 skarg na podmiot LoanMe Sp. z o.o. (w tym jedna skarga
Wnioskodawcy do Delegatury UKE w Poznaniu), natomiast w roku 2019 wpłynęła 1 skarga.
Urząd Komunikacji Elektronicznej nie prowadził w roku 2018 i 2019 postępowań wobec
podmiotu LoanMe Sp. z o.o
Przez grzeczność już nie zapytałem ile skarg jest niezbędnych do rozpoczęcia postępowania przez UKE bo zapewne odpowiedź brzmi nieskończoność.
W sierpniu kolejne ponaglenie do UODO i kolejna perełka w ramach odpowiedzi
Jednocześnie, w nawiązaniu do Pana pisma z dnia 27 sierpnia 2019 r., odnosząc się do Pana żądań, uprzejmie informuję, że niniejsza sprawa nie została załatwiona w terminie określonym w art. 35 Kpa, z uwagi na znaczny stopień skomplikowania sprawy. Ponadto, ze względu na ponowne niekompletne wyjaśnienia przez ww. podmiot Prezes Urzędu Ochrony Danych Osobowych nie miał możliwości wyjaśnienia sprawy i zakończenia jej, bowiem powyższe dowody są niezbędne do wydania decyzji administracyjnej. Powyższe stanowi okoliczność niezależną od organu i nie wlicza się do terminów przewidzianych w przepisach prawa dla dokonania określonej czynności
Innymi słowy po 9 miesiącach postępowania urząd stwierdza, że sprawa jest skomplikowana i nie potrafi uzyskać wyjaśnienia od oskarżonych stron. Ręce składają się do oklasków jak to dzielni pracownicy Urzędu siłą wyciągają informacje.
Jak się okazuje po analizie ostatecznego werdyktu – kłamali gdyż ostatnie wyjaśnienia na które urząd powołał się w decyzji pochodziły z 27 czerwca 2019
W lutym 2020 nastąpił przełom – zgromadzono wszystkie materiały i można się z nimi zapoznać, ale wyłącznie osobiście w siedzibie Urzędu. Wspaniały mechanizm utrudniający skarżącym możliwość realizacji ich praw. Mijają kolejne miesiące wraz z wstrzymaniem terminów w postępowaniach administracyjnych ze względu na COVID i 29 lipca 2020 wydana została decyzja.
Ostateczna decyzja UODO w sprawie ja vs. DBMS i LoanMe
Dla chętnych cały dokument jest do pobrania poniżej.
W ramach decyzji urząd przyznał rację skarżącemu (mi) defacto we wszystkich aspektach wskazując na bezprawność przetwarzania danych, brak odpowiedzi na pytania w terminie, nie usunięcie danych pomimo żądania, brak dostarczenia klauzuli informacyjnej.
W swoim rozstrzygnięciu urząd pominął fakt, że przedstawione dowody na rzekomą rejestracje w serwisie ekoFaktura rozmijają się ze stanem faktycznym i treścią mojej skargi. Z decyzji można też wywnioskować, że dane pochodziły z przetwarzania danych z CEIDG (stąd „zapomniany” załącznik w mailu od DBMS) gdyż w bazie prowadzonej przez tą firmę oprócz numeru telefonu znalazły się dane adresowe mojej działalności z 2012 roku. Pojawił się też trop hiszpański w postaci kolejnej wylęgarni spamerów w postaci ShakupMarket S.L. z siedzibą w Hiszpanii (Barcelona, Spain Carrer Torrent de l’olla 186 ENT 1).
Innymi słowy – firma DBMS najprawdopodobniej przetwarzała sobie na „lewo” dane setek tysięcy osób które miały działalność gospodarczą w czasie kiedy pewne ministerstwo nie potrafiło poprawnie zabezpieczyć bazy CEIDG przez automatycznym pobieraniem wszystkich danych oraz prezentowało w systemie również podany do kontaktu z urzędami numer telefonu. Dane te następnie sprzedawali spamerom takim jak LoanMe którzy naruszali w tym procederze nie tylko ustawę o ochronie danych osobowych ale również art. 172 prawa telekomunikacyjnego.
I na koniec uwaga: za wszystkie te zdarzenia obie firmy zostały ukarane przez Prezesa Urzędu Danych Osobowych – upomnieniem.
Morał z historii jest prosty – masz bazę emaili, telefonów – spamuj ile się da. Po 2 latach jeśli trafisz na jakiegoś upierdliwego człowieka dostaniesz od urzędu „upomnienie” albo patrząc na ostatnie decyzje PUODO karę o wartości jednej mikrokampanii spamowej.
W kolejnym odcinku zajmiemy się firmami VaBank i korzystaniem z danych pobranych z znanego serwisu ogłoszeniowego domiporta oraz moimi nowymi ulubieńcami korzystającymi z wykradzionych list emailowych Buy Together Polska sp. z o.o. oraz Salelifter Sp. z o.o. 🙂