Niewinny komentarz czy wpadka inFaktu?

28.01.2025 12:30 | 6 min czytania

W social mediach (szczególnie tych biznesowych — takich jak LinkedIn czy Wykop 🙃) pojawiały się ostatnio wpisy na temat wpadki inFaktu. Firmę tę wiele osób może kojarzyć z Radkiem Kotarskim i pytaniem co to znaczy infaktować? Jednak ostatni szum wokół marki nie ma raczej wiele wspólnego z reklamą. O co właściwie chodzi? Dziś postaram się temu przyjrzeć.

Preludium, czyli podwyżka

Rozwiązania oferowane przez inFakt szybko zyskiwały na popularności, bo przyciągały klientów atrakcyjnymi cenami. Z początkiem nowego roku sytuacja uległa jednak zmianie. Ogłoszono podwyżkę cen, która 5 zł za miesiąc zmienić miała na 75 zł. To wzrost o 1400%. Nie było więc dziwnym, że klienci chętnie komentowali zapowiadane zmiany.

Zwrot akcji, czyli komentarz

8 stycznia br. jeden z użytkowników Facebooka wyraził swoje niezadowolenie z podniesienia cen usług. Na jego komentarz odpowiedziała sama firma. I to niejeden raz.

Zrzut ekranu komentarzy pod wpisem inFakt na Facebooku - użytkownik Michał wyraża niezadowolenie z podniesienia cen, a oficjalny profil firmy udziela odpowiedzi dopisując jakie faktury najczęściej wystawia dany użytkownik

Na odpowiedź inFaktu zareagowali również inni komentujący.

Zrzut ekranu komentarzy pod wpisem inFakt na Facebooku - inni użytkownicy dziwią się odpowiedzi firmy

Na koniec opublikowano oświadczenie, w którym ogłoszono obniżenie nowych cen i gwarancje dla dotychczasowych klientów. Firma nie odniosła się jednak do pechowego wątku z P. Michałem.

Zrzut ekranu komentarza pod wpisem inFakt na Facebooku - oświadczenie firmy o zmianie zapowiadanych podwyżek i utrzymaniu cen dla dotychczasowych klientów

Co jest nie tak

Mogłoby się wydawać, że informacja zawarta w komentarzu nie ma charakteru wrażliwej i nie odtajnia istotnych szczegółów działalności autora komentarza. To jedynie wskazanie najczęściej wykorzystywanego modułu aplikacji. I faktycznie, ten konkretny komentarz wcale nie musi być szkodliwy i niebezpieczny. Tu chodzi o coś większego.

Niedawno przeczytałem książkę Kevina Mitnicka i Williama L. Simona Sztuka podstępu. Łamałem ludzi, nie hasła. Można powiedzieć, że jej motywem przewodnim jest wykorzystywanie z pozoru mało istotnych informacji do zdobywania tych ważniejszych i robienia innych gorszych rzeczy. Nie mam zamiaru twierdzić, że komentarz inFaktu stanowi daną, którą można użyć w taki sposób — problemem jest fakt, że (jakakolwiek) informacja o kliencie pojawiła się w publicznym wątku na Facebooku.

Dygresja: wątki na Facebooku wcale nie są publiczne, ale z tego śmiałem się już w innym artykule.

Zresztą inFakt to nie serwis do publikowania śmiesznych obrazków — klienci powierzają firmie dane finansowe spółek czy działalności, które prowadzą, a także wszystkich swoich kontrahentów. Podmiot przetwarzający takie informacje powinien poświęcać szczególną uwagę ich bezpieczeństwu, poufności i integralności.

Otwartym pozostaje pytanie, kto udzielił odpowiedzi na ten komentarz. Jeśli był to pracownik działu marketingu, zastanawiać powinno, do jakich informacji miał wgląd w wewnętrznym systemie. Nie dziwi mnie sytuacja, w której jako podsumowanie widział podstawowe informacje o wykorzystywanych usługach (np. obliczenia spełniania limitów dla poszczególnych planów cenowych). Czym innym jednak jest wgląd w szczegółową aktywność klienta w aplikacji.

Dane te mogą oczywiście być przez inFakt gromadzone, a użytkownicy są o tym informowani w regulaminie usługi. Nie wiemy jednak, kto dokładnie ma do nich dostęp i co z nimi robi. Jeśli komentarz napisał pracownik z większymi dostępami, czy na pewno wniosek z przeglądu konta klienta powinien znaleźć się na Facebooku?

Pozostaje jeszcze kwestia bezpieczeństwa i uwierzytelnienia klienta. Skąd wiemy, czy autor komentarza jest faktycznie osobą, której imię i nazwisko ma w profilu? Co w sytuacji, gdy atakujący przejmie konto ofiary na Facebooku? Przecież ktoś może przykładać dużo mniejszą wagę do zabezpieczeń prywatnego konta na portalu społecznościowym, a traktować poważnie system, w którym przechowuje dane finansowe swojej firmy.

Tak naprawdę nie wiemy, która z sytuacji tutaj zaistniała — w końcu komentarz mógł napisać:

faktyczny klient, o którym informacja jest teraz dostępna dla każdego,
inna osoba, podająca się za klienta o danym imieniu i nazwisku, aby zdobyć o nim informacje,
osoba o takim nazwisku, niebędąca klientem inFaktu (albo będąca jednym z kilku klientów o takim imieniu i nazwisku) — w tej sytuacji dostała informację o innym kliencie.

Nie podejrzewam, by nastąpiła po drodze jakaś weryfikacja (w postaci bezpośredniego kontaktu z klientem), bo gdyby firma taki kontakt zrealizowała, to raczej nie zamieszczałaby swojej odpowiedzi w komentarzu na Facebooku.

Co na to RODO?

W mojej ocenie zamieszczony komentarz ma charakter informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (definicja danych osobowych, art. 4 pkt 1 RODO). Jednak ze względu na charakter tej informacji, mało prawdopodobne jest, by jego opublikowanie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Przy takiej interpretacji administrator danych nie ma obowiązku zawiadomienia UODO (jako organu nadzorczego) ani osoby, której dane dotyczą.

To jednak tylko moja prywatna opinia, oparta jedynie na informacjach dostępnych publicznie (nie jestem prawnikiem). Taki stan rzeczy może sugerować co najwyżej ewentualne niedopatrzenia w polityce ochrony danych osobowych i wewnętrznych procedurach (np. w zakresie przyznawania dostępów do danych klientów). Zasadna byłaby tutaj analiza przeprowadzona wewnątrz struktur firmy.

Poufność na poziomie ministerialnym

W 2023 roku ówczesny minister zdrowia Adam Niedzielski ujawnił, że lekarz Piotr Pisula, który publicznie mówił o problemach z dostępem do recept, przepisał na siebie określone leki. We wpisie na Twitterze/X podał imię i nazwisko lekarza.

Zrzut ekranu wpisu Adama Niedzielskiego na Twitterze/X - informacja o receptach wystawionych przez lekarza — *Źródło: cowzdrowiu.pl*

Sąd skazał byłego ministra na trzy miesiące pozbawienia wolności w zawieszeniu na dwa lata oraz zasądził 5000 zł zadośćuczynienia. Oprócz tego Urząd Ochrony Danych Osobowych nałożył na ministra zdrowia (jako organ — administratora) karę w wysokości 100 000 zł.

Oczywiście jest to już zupełnie inna skala, bo mowa o informacjach dotyczących zdrowia — czyli o szczególnych kategoriach danych (art. 9 ust. 1 RODO). Podaję tę sytuację jako przykład tego, co dzieje się gdy takowe zostają ujawnione. W przypadku inFaktu nie ma mowy o takim naruszeniu.

Epilog, czyli podsumowanie

Finalnie inFakt nie wprowadził zmian w pierwotnym kształcie, zapewniając także dotychczasowych użytkowników o utrzymaniu cen. Niemniej jednak cała sytuacja pokazała niejasności w udzielaniu dostępów do danych klientów, co może negatywnie wpłynąć na ich zaufanie. W tym przypadku mówimy o zupełnie nieinwazyjnej informacji, jednak sama możliwość jej zdobycia jest niepokojąca w kontekście innych przetwarzanych przez firmę danych. Mam nadzieję, że inFakt wprowadzi zmiany, które pozwolą uniknąć podobnych wpadek w przyszłości.