Mýliť sa je ľudské. Svoje o tom vie aj člen tímu marketingovej spoločnosti Sprint Education, ktorá pôsobí v sektore vzdelávania. Na jej webovej stránke je uvedené, že spoločnosť ponúka stratégie, ktoré sú v súlade s nariadením GDPR. Paradoxne však toto nariadenie porušila, keď hromadne rozposlala ľudom e-mailové správy, kde ich žiadala o aktualizáciu svojich e-mailových preferencií.
V zdĺhavej správe sa uvádza, že spoločnosť Sprint zhromažďovala informácie o ľuďoch podľa podmienok nariadenia GDPR a odvoláva sa pritom na oprávnený záujem.
Nevyžiadaná pošta?
Jeden z príjemcov tejto elektronickej pošty však tvrdil, že to bol jeho prvý kontakt akéhokoľvek druhu so spoločnosťou, a preto sa jednalo o nevyžiadanú poštu. Všimol si však, že URL adresa na aktualizáciu preferencií obsahuje reťazec čísel. Následnou úpravou jednej z číslic sa dostal k osobným informáciám každého zo zoznamu, na ktorý boli hromadné e-maily rozposlané.
V súčasnosti už odkaz nezobrazuje osobné informácie, ale presmerúva ľudí na tzv. Opt-out stránku, kde sa používateľ môže odhlásiť zo spomínanej služby.
Ochranca osobných údajov?
Riaditeľ firmy Sprint Education, Guy Lewis, potvrdil, že vždy predtým ako začnú aktívne spracovávať údaje svojich zákazníkov, zašlú e-maily obsahujúce informácie o zbere a spôsobe ich spracovania. Zákazníci potom môžu upraviť svoje GDPR preferencie v Preferenčnom centre. Tým sa firma snaží prezentovať ako spoločnosť, ktorá berie ochranu údajov a súkromia s najväčšou vážnosťou.
Dodal, že údaje, ktoré mohli byť zobrazené, boli a aj sú verejne dostupné. Ako príčinu tohto incidentu uviedol nepozornosť člena tímu, ktorý hromadne odosielal e-maily a a zabudol vypnúť „sledovanie klikov” pre linky odkazujúce na ich Preferenčné centrum. Hneď ako si tím túto chybu všimol odosielanie bolo zastavené. Predpokladá sa, že takýto e-mail bol doručený menej ako 250 zákazníkom.
Udelia pokutu?
Toto zlyhanie však umožnilo niekomu prezerať údaje iných ľudí, čo by mohlo byť v rozpore s Článkom 32 nariadenia GDPR. Ako argument môže spoločnosti slúžiť aj to, že ak šlo skutočne o verejné údaje, úroveň bezpečnosti bola primeraná tomuto riziku, pretože riziko spojené s odcudzením údajov, je veľmi nízke. Zatiaľ nie je jasné, či niektorý regulačný úrad bude tento incident preverovať.