• Telewizja
    Telewizja
  • Internet
    Internet
  • Telefonia stacjonarna
    Telefonia stacjonarna
  • Telefonia komórkowa
    Telefonia komórkowa

Facebook

Polecamy

 

 

 

Plus, Kruk i Buzdygan

Polkomtel, operator sieci Plus, wynajął agencję detektywistyczną Kruk (powiązaną z firmą windykacyjną o tej samej nazwie) do śledzenia Arnolda Buzdygana. Do sieci wyciekł raport przygotowany przez detektywów. Można się tylko domyślać, że za wyciekiem stoi pracownik jednej z tych dwóch firm.

O sprawie pisał m.in. serwis Niebezpiecznik.pl, a wcześniej tygodnik "NIE". Potwierdził ją sam Buzdygan na swoim blogu.

Arnold Buzdygan to postać na swój oryginalny sposób barwna, ciesząca się, delikatnie ujmując, niezbyt dobrą sławą w sieci. Wiele osób określa go mianem trolla za sprawą jego aktywności w usenecie, gdzie dał się poznać jako autor niezliczonej ilości wulgarnych i agresywnych komentarzy, zawierających m.in. groźby pobicia pod adresem dyskutantów. >>>>

Buzdygan uczestniczył głównie w dyskusjach na tematy związane z reżyserią, prawem autorskim, seksuologią i polityką. Założył również Stowarzyszenie Twórców Internetowych, Partię Niskich Cen i Partię Rozwoju. Ogłaszał też rozmaite inicjatywy gospodarczo-technologiczne. Twierdził m.in., iż wynalazł metodę produkcji syntetycznych diamentów metodą ściśnięcia plazmy. Procesował się z polskim oddziałem Wikipedii.

Buzdygan był abonentem sieci Plus. Jak wynika z jego wypowiedzi, współpracował też z tą firmą biznesowo. W pewnym momencie doszło do sporu, który trafił do sądu. To się oczywiście zdarza. Tu warto podkreślić, że sam abonent twierdzi, iż nigdy nie był dłużnikiem operatora. Polkomtel postanowił sprawdzić swojego adwersarza bardziej wnikliwie i w tym celu wynajął firmę detektywistyczną. To też się zdarza. Raport firmy wyciekł do sieci, co już zdarzać się nie powinno. Ciekawiej robi się, gdy wczytamy się w treść raportu.

Zacznijmy od tego, że z tego, co napisali sami detektywi, wynika, iż nie było to pierwsze tego rodzaju zlecenie, jakie firma Kruk dostała od Polkomtela, czyli śledzenie abonentów jest normalną praktyką tego operatora. Drżyjcie, abonenci Plusa.

Operator przekazał detektywom rozmaite dane, w tym koordynaty GPS. Łatwo domyślić się, iż chodzi o logowania telefony do stacji przekaźnikowych. Najprościej ujmując – gdy przemieszczamy się, np. po mieście, nasz telefon komórkowy, aby mieć zasięg, łączy się z najbliższą stacją przekaźnikową, co oczywiście jest odnotowywane. Zestawienie informacji o tym, do których stacji się zalogował nasz telefon, pozwala dość precyzyjnie określić, jaką trasą się przemieszczaliśmy.

Wykorzystanie danych geolokalizacyjnych budzi od dawna emocje. Polski rząd nie tak dawno zapowiedział zdecydowane ograniczenie wykorzystania retencji danych telekomunikacyjnych przez policję i służby specjalne. Okazuje się, że te same dane bez problemu operator przekazuje prywatnej firmie, żeby śledzić klienta.

Ciekawy jest również zakres pytań, jakie Polkomtel skierował do detektywów z Kruka. Operator pytał m.in. o kontakty Buzdygana z wymienionymi z imienia i nazwiska osobami (głównie prawnikami), jego relacje osobiste, aktywność biznesową i polityczną.

Ponieważ sprawa dotyczy działań typowo operacyjnych, poprosiliśmy o komentarz byłego oficera operacyjnego policji. Ze względu na charakter swojej dawnej pracy zastrzegł on sobie anonimowość.

Były oficer operacyjny policji

Spora część raportu to analiza ze źródeł otwartych, które można bez problemu wyciągnąć z sieci albo dostępnych zbiorów danych. Możliwe, że dodatkowo dział bezpieczeństwa Polkomtela przeprowadził jakieś analizy logowań – namierzanie komórek na swój użytek i na tej podstawie opracowali dokument analityczny – czyli mapę z punktami, a działania operacyjne w terenie powierzyli Krukowi.

To oczywiście spekulacja i jeden z możliwych scenariuszy. Tak czy inaczej za wiele danych nie wyszło z Polkomtela do Kruka, bo poproszono ich tylko o ustalenia terenowe dotyczące zaznaczonych punktów.

Czy mieli do tego prawo? Gdybyśmy poznali umowę pomiędzy Polkomtelem a firmą Kruk, widzielibyśmy jaki zakres danych jest im przekazywany i czy możemy mówić o inwigilacji abonenta.

Chciałem tu zwrócić uwagę na badanie kontaktów z prawnikami. Operator działa w sposób dyskusyjny z punktu widzenia prawa, więc, jak sądzę, starał się wiedzieć, z kim ma walczyć.

Wygląda na to, że podjęte przez Polkomtel działania to stała procedura stosowana wobec uciążliwych dłużników, ale operator podciągnął działania "operacyjne" stosowane wobec dłużnika na osobę, która krytykuje firmę. Widać, że Polkomtel prowadzi swoją grę przeciwko, chyba nie tylko, Buzdyganowi, wykorzystując firmę i metody stosowane przeciwko dłużnikom.

Czy tylko p. Buzdygan był celem? Co zrobiono z kolejnymi ustalonymi osobami? Czy zostawiono ich w spokoju czy też zlecano dalsze działania? Co było powodem i jaki był cel tych czynności? Dlaczego, skoro było podejrzenie, że p. Buzdygan prowadził działania na szkodę spółki nie zgłoszono tego prokuraturze?

Ten raport i działanie operatora wpisuje się w dyskusję na temat wykorzystania danych billingowych w czynnościach operacyjnych. Bardzo wiele powiedziano już na temat wykorzystania tych danych przez policję i inne służby, ale dotychczas nigdy nie było powodu do dyskusji na temat wykorzystania danych przez samego operatora. Wydaje się, że jest to firma w pewnym sensie zaufania społecznego i w sposób szczególny powinna przestrzegać zasad właściwego zarządzania posiadaną wiedzą. Może to tylko odosobniony wypadek? Ale w interesie Polkomtela i jego klientów powinien być szczegółowo wyjaśniony.

Lektura raportu wskazuje, iż przedmiotem działań detektywów z firmy Kruk była między innymi sytuacja osobista, w tym rodzinna, Arnolda Buzdygana, jego działalność biznesowa, społeczna i polityczna oraz kontakty z prawnikami. Działania te dotyczą więc nie tylko danych osobowych jako takich, ale i tzw. danych wrażliwych.

Dlatego o komentarz poprosiliśmy Generalnego Inspektora Danych Osobowych dr Wojciecha Wiewiórowskiego, który przesłał nam swoje stanowisko. Zgodnie z umową publikujemy je bez żadnych ingerencji.

dr Wojciech Wiewiórowski
Generalny Inspektor Danych Osobowych

Kwestia zbierania za pomocą firm detektywistycznych danych osobowych klientów przez wielu przedsiębiorców nie jest obca Generalnemu Inspektorowi Ochrony Danych Osobowych.

Posuwając się do takiego sposobu „uzupełniania swej wiedzy" przedsiębiorcy zaczyna się od przekazania firmie detektywistycznej wszelkich informacji o kliencie, które przedsiębiorca posiada z nadzieją, że firma detektywistyczna potrafi wyłowić z nich nieoczywiste powiązania pomiędzy danymi, lub potrafi je użyć skuteczniej niż sam przedsiębiorca dla zebrania dodatkowych kwantów informacji. Z sytuacją taką spotykaliśmy się przede wszystkim w przypadku banków. Liczba skarg w tym zakresie nie była długa i z reguły GIODO nie udawało się udowodnić, że banki podejmowały działania polegające na przekazaniu danych w sposób niezgodny z obowiązującymi przepisami ale stale docierają do nas sygnały z zewnątrz co do stosowania takich praktyk. Najpoważniejszym problemem w takim przypadku jest właśnie jest udowodnienie, iż przekazanie danych miało miejsce i udowodnienie zakresu danych pozyskanych od detektywów.

Co do analizy prawnej, to nie podlega dyskusji, iż zakres danych, jakie mogą być zbierane przez operatorów telekomunikacyjnych i cele dla których dane mają zbierać wytycza prawo telekomunikacyjne. Ono również ściśle limituje krąg odbiorców danych, w tym danych geolokalizacyjnych, którym dane mogą być udostępniane. Nie znajdziemy w przepisach tego prawa legitymacji dla pozyskiwania szerszego zakresu danych (chyba że za zgodą) niż wynikający z treści norm prawa telekomunikacyjnego. Zakres musi zawsze być oceniany w kontekście celu, jakiemu służy zbieranie. Szczególnego znaczenia nabiera powyższe w związku z pozyskiwaniem danych wrażliwych. Prawo telekomunikacyjne kształtuje dalej idącą ochronę informacji. Art. 159 ust. 2 stanowi o zakazie wykorzystywania danych objętych tajemnicą telekomunikacyjną poza wymienionymi tak wyjątkami, m.in. w sytuacji gdy utrwalenie, przechowywanie, przekazywanie będzie konieczne z innych powodów przewidzianych ustawą lub przepisami odrębnymi.

Oznacza to zdaniem Generalnego Inspektora Ochrony Danych Osobowych, że włączenie do procesu przetwarzania danych firmy detektywistycznej musiałoby wynikać albo z prawa telekomunikacyjnego (a nie wynika) lub też z ustawy o usługach detektywistycznych. Tutaj warto przytoczyć art. 2 ustawy o usługach detektywistycznych. Zgodnie z ust. 1 przywołanego przepisu, usługami detektywistycznymi są czynności polegające na uzyskiwaniu, przetwarzaniu i przekazywaniu informacji o osobach, przedmiotach i zdarzeniach, realizowane na podstawie umowy zawartej ze zleceniodawcą, w formach i zakresach niezastrzeżonych dla organów i instytucji państwowych na mocy odrębnych przepisów, w szczególności: w sprawach wynikających ze stosunków prawnych dotyczących osób fizycznych, w sprawach wynikających ze stosunków gospodarczych dotyczących wykonania zobowiązań majątkowych, zdolności płatniczych lub wiarygodności w tych stosunkach, w sprawach związanych z nieuczciwą konkurencją itd.

Działalność detektywistyczna jest działalnością licencjonowaną (rejestr działalności detektywistycznej) o charakterze działalności gospodarczej. Dane pozyskiwane przez detektywa objęte są szczególną ochroną i tajemnicą, z której zwolnienie przewidują przepisy kpk. Zestawiając te dwa akty o równorzędnym charakterze i przewidzianych w nich szczególnych reżimach ochrony informacji należałoby się zastanowić nad następującymi kwestiami:

Czy ogólne przepisy ustawy o usługach detektywistycznych nawet ze szczególną rękojmią ochrony danych osobowych zbieranych na jej podstawie są wystarczającą podstawą do ujawnienia danych objętych tajemnicą telekomunikacyjną, w tym danych geolokalizacyjnych? (w tym zakresie GIODO ma co najmniej wątpliwości)
Czy ustawą o usługach detektywistycznych możemy dowolnie kształtować cele realizowane przez operatorów telekomunikacyjnych wraz zakresem danych osobowych (nawet wrażliwych) przy czym z analizy materiału nie wynika dokładnie o jakich celach mowa (możemy się ich tylko domyślać)?
Czy dane te gromadzone są w odrębnych zbiorach a jeżeli tak to jakich – zbiory takie, jak wydaje się, powinny być zgłoszone do rejestracji, czy też dane te znajdują się w zbiorach (systemach) dotychczas istniejących ale to wymagałoby kontroli GIODO najlepiej ze zbadaniem konkretnych danych osobowych. Klienci domyślają się, że tak może być ale administrator zaprzecza
Czy istniejące przepisy kształtujące zakres tajemnic prawnie chronionych zawierają wystarczające gwarancje ochrony danych. Wydaje się, że tak, choć można byłoby dyskutować nad tym zagadnieniem, biorąc pod uwagę powszechność korzystania przez przedsiębiorców z sektora usług bankowych, ubezpieczeniowych czy telekomunikacyjnych z szeroko pojmowanych tzw. wywiadowni gospodarczych.

Zagadnienia te nabierają istotnego znaczenia w kontekście postępującego kryzysu gospodarczego i poszukiwania przez przedsiębiorców wszelkich dodatkowych informacji o kliencie, zarówno przed nawiązaniem z nim relacji umownych, jak i na etapie późniejszym, tj przy poszukiwaniu wszelkich możliwości wyegzekwowania należności, na różnych etapach – przesądowym i sądowym.

Biuro GIODO bada sprawę na podstawie doniesień medialnych rozważając czy podjąć ją z urzędu. Wedle mojej wiedzy nie wpłynęła dotąd skarga w tej sprawie od osoby, której dane dotyczą, co oczywiście wszczęłoby odpowiednie postępowanie.

Fakt, że w ogóle o tej sprawie piszemy, świadczy o skrajnym nieprofesjonalizmie albo po stronie operatora albo firmy detektywistycznej. Raport z działań detektywistycznych nie miał wszak prawa wypłynąć do sieci. Jeśli wyciek nastąpił po stronie Kruka, to narusza to Ustawę o usługach detektywistycznych, która nakłada na detektywów obowiązek zachowania tajemnicy:

Art. 12. 1. Detektyw jest obowiązany zachować w tajemnicy źródła informacji oraz okoliczności sprawy, o których powziął wiadomość w trakcie wykonywania zlecenia.
2. Obowiązek zachowania tajemnicy ciąży na detektywie także po zaprzestaniu wykonywania działalności w zakresie usług detektywistycznych.
3. Detektyw może zostać zwolniony z zachowania tajemnicy na zasadach określonych w Kodeksie postępowania karnego.

Taki wyciek to na ogół wynik działania niezadowolonego pracownika. Ciekaw jestem, która z tych dwóch firm tak kiepsko zarządza swoim personelem. Cieszę się też, że nie jestem abonentem Plusa.

A gdyby ktoś miał ochotę, to zamieszczam pełną wersję raportu na temat Arnolda Buzdygana przygotowanego przez Kruka na zlecenie Polkomtela:

 

Źródło: http://bezpiecznyinternet.org/2012/12/plus-kruk-i-buzdygan/

Dane SAUT

Stowarzyszenie Abonentów
Usług Telekomunikacyjnych

KRS: 0000435104
NIP: 8381845499
Regon: 146324519

Meritum Bank:
47 1300 0000 2605 1400 7122 0001

Kontakt

Home
ul. Okrzei 19
96-300 Żyrardów
Email
Telefon: +48 505 000 505
Email: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.