Meridian tax

Credeai că atunci când comanzi un taxi conversația ta nu rămâne înregistrată? Mai gândește-te.

12 minute • Ana-Maria Udriste • 20 august 2019


Sursa foto: Meridian Grup

Când comanzi un taxi prin dispecerat, te poți gândi că acea conversație vă rămâne înregistrată, chiar dacă nu îți spune cineva în mod expres acest lucru. Însă la Meridian Taxi lucrurile au mers un pic mai departe: toate convorbirile înregistrate au fost descoperite și ușor de accesat de către orice persoană din exterior. Vorbim despre date personale extrem de sensibile, precum nume, prenume, telefon, adrese. Toate reale. Acum poate că te gândești că mai bine dai o comandă pe site. Din păcate, site-ul http://www.meridiantaxi.ro/ nu este securizat nici măcar minimal, prin https, astfel încât datele pe care le transmiți sunt vizibile pe internet, nu sunt criptate și nici măcar nu ai certitudinea că ajung la Meridian sau la altcineva.

După ce săptămâna trecută am descoperit o breșă de securitate la cei de la Nemo Express prin care AWB-urile erau accesibile publicului, acum a venit rândul unei companii de taxi, MERIDIAN, să fie victima unei divulgări neautorizate a datelor personale.

Ieri, Cristian Iosub scria pe blogul său despre cum Meridian taxi a avut, acum 2 luni de zile, toate convorbirile telefonice ”descoperite” către publicul larg.

Mai exact,

Această vulnerabilitate se manifestă pe subdomeniul static, fiind expus public folderul ce conține înregistrările apelurilor telefonice din ultimele 5 zile. Mai jos este captura ecran cu ultimele înregistrări prezente la momentul transmiterii notificării către operator. În apelurile înregistrate se regăsesc date cu caracter personal precum nume, prenume, adresa , număr de telefon și cu un offline file browser puteau fi descărcate toate fișierele audio în format .mp3 în numai câteva minute. Fără niciun fel de protecție, token în url, user, parolă, nimic. Tot ce trebuia să facă un potențial atacator era să acceseze un site public.
cristianiosub.com
Sursa: cristianiosub.com

Altfel spus, toate apelurile telefonice care au ajuns într-o formă sau alta la dispeceratul Meridian (atunci când comanzi un taxi și dai nume, prenume, adresă, eventual și adresă de destinație) au fost expuse publicului larg și puteau fi accesate de oricine din afară (ceea ce reprezintă o breșă de securitate).

Crezi ca datele tale sunt în siguranță?

Când faci o comandă către un dispecerat pentru a comanda un taxi, în mod rezonabil, nu te aștepți ca respectiva conversație să poată ajunge în spațiul public, cu excepția cazului în care există o plângere și vrei să te adresezi autorităților competente sau instanței de judecată (dacă de exemplu mașina taxi cu care te deplasezi a fost implicată într-un accident, sau, mai frecvent, când uiți telefonul pe bancheta din spate și vrei să-l recuperezi).

Conform politicii de confidențialitate regăsite pe site, Meridian spune, în josul paginii că dacă îți dai acordul, compania poate înregistra și păstra convorbirile telefonice către/de la centralele telefonice (dispecerat).

Mai exact,

Cu acordul Clientului/persoanei vizate exprimat înainte de fiecare convorbire telefonică, MERIDIAN Taxi poate înregistra și păstra convorbirile telefonice către/de la centralele telefonice ale MERIDIAN Taxi. MERIDIAN Taxi urmează a utiliza aceste informații exclusiv în scopul investigării anumitor situații, pentru a face proba anumitor operațiuni/instrucțiuni/acorduri date de către Client/altă persoană vizată, pentru a le folosi ca probă în instanță în cazul unui litigiu sau la solicitarea unei autorități, precum și pentru îmbunătățirea serviciilor sale.
meridiantaxi.ro

MERIDIAN nu face dovada obținerii unui consimțământ valabil

Potrivit preambulului (32) din GDPR, ”Acesta [n.n. consimțământul] ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ.

Cu toate acestea, astăzi (20 august 2019, ora 12.40 AM), când am sunat la numărul de dispecerat 0219444, am fost întâmpinată de o voce automată care a spus ”Stimați clienți, vă informăm că toate apelurile sunt înregistrate. Continuarea acestei convorbiri reprezintă acceptul dvs.

Or, conform GDPR, consimțământul trebuie exprimat printr-o acțiune pozitivă, informată și neechivocă. Persoana care sună ar trebui:

  • să fie mai întâi informată despre această prelucrare și unde poate afla mai multe detalii;
  • să-și dea acordul pentru înregistrarea acestei convorbiri (cum ar fi de exemplu prin apăsarea unei taste în timpul convorbirii, până să înceapă înregistrarea).

Mergând mai departe pe GDPR, preambulul (42) devine clar: ”În cazul în care prelucrarea se bazează pe consimțământul persoanei vizate, operatorul ar trebui să fie în măsură să demonstreze faptul că persoana vizată și-a dat consimțământul pentru operațiunea de prelucrare.”

Modalitatea prin care MERIDIAN alege să dovedească obținerea consimțământului nu este conformă GDPR (pentru că nu avem un consimțământ conform) și nu se poate baza nici pe interesul legitim al companiei sau pe o obligație legală a acesteia din urmă.

Interesul legitim

Vrei să afli mai multe despre interesul legitim și cum îl poți folosi în mod corect ca temei pentru prelucrarea datelor? Descoperă produsul nostru.

De ce spunem asta?

Problema înregistrărilor telefonice în domeniul comunicațiilor are o lungă istorie în România, legile anterioare fiind de 2 ori declarate neconstituționale în ansamblul lor (prin Decizia nr. 1258/2009, respectiv Decizia nr. 440/2014 ale Curții Constituționale).[1]

Însă după adoptarea în anul 2015 a controversatei legi ”Big Brother”, am rămas doar cu cadrul general de reglementare, respectiv Legea nr. 506/2004.

Te-ar putea interesa și …

Ce prevede această lege?

Ascultarea, înregistrarea, stocarea și orice altă formă de interceptare ori supraveghere a comunicărilor și a datelor de trafic aferente sunt interzise, cu excepția cazurilor următoare:

  • se realizează de utilizatorii care participă la comunicarea respectivă;
  • utilizatorii care participă la comunicarea respectivă și-au dat, în prealabil, consimțământul scris cu privire la efectuarea acestor operațiuni;
  • se realizează de autoritățile competente, în condițiile legii.Această prevedere nu aduce atingere posibilității de a efectua înregistrări autorizate ale comunicărilor și datelor de trafic aferente, atunci când acestea se realizează în cadrul unor practici profesionale licite, în scopul de a furniza proba unui act comercial sau a unei comunicări realizate în scopuri comerciale.

Chiar dacă legea este anacronică și nu putem vorbi de un consimțământ obținut în scris în cazul acestei convorbiri telefonice, așa cum menționam anterior, MERIDIAN ar fi putut introduce 2 pași suplimentari:

  1. informarea persoanelor și indicarea locului unde pot citi mai multe despre prelucrare;
  2. o acțiune pozitivă (ca acea de apăsare a unei taste) pentru obținerea consimțământului.

Cât de sigure trebuie să fie datele?

Potrivit articolului 32 din GDPR, operatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător raportat la riscul pe care îl prezintă eventuală breșă de securitate pentru drepturile și libertățile persoanelor vizate.

Citește și: ce am învățat după o amendă pe GDPR – Ana-Maria Udriște, fondator avocatoo.ro

Printre măsuri se numără inclusiv capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.

În contextul în care datele personale au fost putut fi accesate public, de către orice persoană care ar fi putut ajunge pe acel site, putem trage concluzia că a fost compromisă confidențialitatea datelor.

Totodată,  la evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod (pentru mai multe detalii poți citi despe cazul Equifax).

Acesta este o detaliere a principiului integrității și confidențialității din art. 5 alin. (1) lit. f) din GDPR, care precizează că datele trebuie să fie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.Totodată, ne pune pe gânduri și faptul că MERIDIAN nu are pe platforma sa online prin care poți comanda un taxi o conexiune securizată cu https.

Lipsa unei conexiuni de tip https pe site înseamnă că datele pe care le transmiți nu sunt sigure și că nu este verificată identitatea operatorului site-lui respectiv (altfel spus, tu nu știi la cine ajung datele tale personale).

A notificat MERIDIAN persoanele vizate și ANSPDPC?

În cazul în care a avut loc o breșă de securitate, în conformitate cu GDPR, compania trebuie să notifice ANSPDPC și/sau persoanele vizate (după caz) în termen de maxim 72 ore de când a luat la cunoștință despre încălcare, menționând și acțiunile pe care le-a luat pentru remedierea acestei situații. Obligații asemănătoare regăsim și în Legea nr. 506/2004.

De la Cristian Iosub aflăm că vulnerabilitatea a fost descoperită de raportor de 18.06.2019, când li s-a cerut celor de la MERIDIAN să securizeze acele directoare cu convorbiri telefonice. Până în 20.06.2019 nu s-a luat nicio măsură în acest, sens, raportorul revenind cu un e-mail. Abia în 24.06.2019 directorul adjunct Meridian Taxi a confirmat recepționarea emailului și transmiterea acestuia către departamentul de dezvoltare web.

Într-adevăr, la momentul scrierii acestor articole, conexiunile sunt securizate. Dar cine știe cât a durat efectiv până ce acestea au fost închise?Mai mult, având în vedere natura informațiilor extrem de sensibile cuprinse în convorbirile telefonice, compania ar fi trebuit să notifice ANSPDCP și, în opinia noastră, inclusiv persoanele care au fost parte la convorbire (fiind vorba despre date menite să ridice un risc ridicat de vulnerabilitate asupra persoanelor, întrucât se pot afla adrese de domiciliu, cu nume și prenume), despre această breșă, în conformitate cu art. 33 din GDPR.

A avut cineva acces la datele respective?

Știți vechea dilemă: dacă un copac cade într-o pădure, dar nu este nimeni să-l audă, mai produce un zgomot?

Din păcate, aici nu se aplică – există o breșă de securitate indiferent dacă cineva a avut efectiv acces sau nu la datele respective. Dar întrebarea încă rămâne: în perioada cât au fost disponibile publicului, conversațiile respective au fost accesate de persoane din exterior?

Ce e de făcut?

GDPR are drept scop tocmai preîntâmpinarea situațiilor de acest gen – când datele personale devin publice, deși nu ar fi trebuit să fie.

Companiile care prelucrează date personale trebuie să se asigure că au identificat corect temeiul legal pentru prelucrare și că sunt respectate toate cerințele acestuia și să implementeze măsuri de securitate care să sporească încrederea persoanelor vizate, a clienților și partenerilor în brandul respectiv.

O atitudine proactivă față de persoane este încurajată – suntem conștienți că nu există un sistem impenetrabil și că erorile (indiferent că sunt de natură umană sau tehnică), vor continua să apară. Însă în virtutea principiului responsabilizării, companiile care prelucrează date personale ar trebui să adopte o atitudine față de persoanele vizate și datele personale ale acestora, ceea ce în final, pe termen lung, va contribui la consolidarea încrederii în brandul respectiv.

Pentru exercitarea dreptului la replică, vă rugăm să trimiteți un e-mail la ana@avocatoo.ro.

Dacă ai întrebări despre GDPR și implementarea lui, sau dacă ai un business și nu știi cu ce să începi să aplici prevederile GDPR, aici, pe avocatoo.ro găsești ghidul complet pentru asta.


[1]
Inițial,
domeniul era reglementat de Legea nr. 298/2008 privind reținerea datelor generate sau prelucrate de furnizorii
de servicii de comunicații electronice destinate publicului sau de rețele
publice de comunicații, precum și pentru modificarea Legii nr. 506/2004 privind
prelucrarea datelor cu caracter personal și protecția vieții private în sectorul
comunicațiilor electronice – Parlamentul României, declarată neconstituțională
prin Decizia nr. 1258/2009 referitoare la admiterea excepției de neconstituționalitate a
prevederilor Legii nr. 298/2008 privind reținerea datelor generate sau prelucrate
de furnizorii de servicii de comunicații electronice destinate publicului sau
de rețele publice de comunicații, precum și pentru modificarea Legii nr.
506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții
private în sectorul comunicațiilor electronice.
Ulterior, a fost adoptată Legea nr. 82/2012 privind reținerea datelor generate sau prelucrate de furnizorii
de rețele publice de comunicații electronice și de furnizorii de servicii de
comunicații electronice destinate publicului, precum și pentru modificarea și
completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal
și protecția vieții private în sectorul comunicațiilor electronice, în vigoare
de la 21 iunie 2012 până la 19 octombrie 2014, fiind abrogată de Decizia nr. 440/2014 referitoare la excepția de neconstituționalitate a dispozițiilor
Legii nr. 82/2012 privind reținerea datelor generate sau prelucrate de
furnizorii de rețele publice de comunicații electronice și de furnizorii de
servicii de comunicații electronice destinate publicului, precum și pentru
modificarea și completarea Legii nr. 506/2004 privind prelucrarea datelor cu
caracter personal și protecția vieții private în sectorul comunicațiilor
electronice și ale art. 152 din Codul de procedură penală.

În prezent, avem doar cadrul general de reglementare, reprezentat
de Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și
protecția vieții private în sectorul comunicațiilor electronice.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *