DPP по ошибке сливал письма с личными данными случайному человеку

Например, на следующий день после Дня победы пара туристов в Праге получила штраф в размере 2 000 крон, потому что дважды прокомпостировала один и тот же 24-часовой билет на городской общественный транспорт.

«Такое правило меня, как для туриста, сбивает с толку, я не знал, что повторная валидация может вызвать проблемы», — оправдывался мужчина в электронном письме, которое он с фотографиями отправил в транспортную компанию в надежде, что штраф будет отменен.

Электронное письмо туриста, а также другие сообщения, которые люди присылали на info@dpp.cz, по странному стечению обстоятельств не дошли до Пражского транспортного предприятия (DPP).

При этом речь шла и о более конфиденциальной информации. Например, при потере кошелька с примерно 1 300 кронами пассажир указал не только свое имя и фамилию, но и номер телефона или банк, в котором открыта его платежная карта.

Или женщина жаловалась, что другой пассажир напал на нее в полупустом автобусе. Помимо личных данных и информации о своем маршруте она прислала фотографию пассажира, которого указала как предполагаемого нападавшего.

Все упомянутые электронные письма были по ошибке пересланы в рабочий ящик мужчины, который не работает в транспортном предприятии и не имеет к этому никакого отношения. В течение нескольких месяцев он безуспешно пытался обратить на это внимание DPP.

«Когда я последний раз разговаривал с ними, я сказал, что в случае необходимости обращусь в газету. А оператор ответила, что ничего не может сделать, и предложила мне отправить официальный запрос через форму. Я написал, но ничего не произошло», — рассказывает Якуб.

Якуб объясняет, что пересылаемые ему электронные письма раздражают его, и в то же время он считает их конфиденциальными. Поэтому год назад он решил разобраться в этом вопросе. Электронные письма приходят ему последние два года, когда он, вероятно, по ошибке попал в список рассылки.

«Люди, например, жалуются на поведение водителей автобусов, пишут, что с ними произошло. Это граничит с защитой GDPR, и я считаю, что это действительно нехорошо, и я уже не знаю, как с ними поступить», — говорит он.

Сначала Якуб несколько раз пытался привлечь внимание IT-специалистов транспортного предприятия. «Каждый раз, когда от них приходило уведомление, что они будут проводить профилирование серверов — которые, кстати, не должны были бы мне приходить, ведь я мог бы этим воспользоваться — я писал им на их IT-адрес, что я в списке рассылки, что мне приходят письма с infо и спрашивал, могут ли они это отменить. Ответа не поступало», — утверждает мужчина.

Затем он пытался позвонить в уже упомянутую службу поддержки и по рекомендации оператора написал через контактную форму — это было примерно два месяца назад.

Через несколько дней после уведомления Пражское транспортное предприятие ответило, что пересылка на этот адрес электронной почты была отменена.

«Транспортное предприятие Праги отправляло техническую оперативную информацию на сервисный адрес поставщика», — объясняет пресс-секретарь.

По словам Якуба, примерно восемь лет назад он работал над заказом Пражского транспортного предприятия, который касался информационных киосков в метро. Однако с тех пор они не поддерживают контактов, и он больше не выполнял заказов.

«В каждом электронном письме видно, что оно было адресовано info@dpp. Это остается в тексте электронного письма», — отмечает Якуб.

Неконтролируемая пересылка электронных писем — это не безобидная ошибка. По мнению юриста и исполнительного директора неправительственной организации Iuridicum Remedium Яна Воборжила, эречь может идти о нарушении безопасности персональных данных.

«В момент получения электронного письма они становятся администраторами персональных данных. Если они отправляют его кому-то не уполномоченному, это является явным нарушением GDPR. Если их неоднократно предупреждают об этом, а они ничего не делают, то это, конечно, более серьезное нарушение», — считает Воборжил.

Обработка данных контролируется Управлением по защите персональных данных, и верхний предел штрафа за такое нарушение составляет до 20 миллионов евро. «Конечно, в наших условиях это нереально, но штрафы уже выросли до сотен тысяч, миллионов крон. А транспортное предприятие — это не маленькая организация», — говорит юрист.

С этим согласен и представитель Управления по защите персональных данных. «Из вышесказанного следует, что пересылка электронных писем, содержащих персональные данные, неуполномоченным лицам может представлять проблему с точки зрения защиты персональных данных. Согласно GDPR, персональные данные должны обрабатываться законным и прозрачным образом и защищаться от несанкционированного доступа», — говорит представитель Милан Репка.