Amazon w tarapatach? Wysłał nagrania z Alexy niewłaściwej osobie

Niemiecki klient Amazona poprosił koncern o kopię swoich danych, do czego miał prawo zgodnie z przepisami RODO (GDPR). Po kilku miesiącach od złożenia wniosku otrzymał potężny plik ZIP z informacjami. Szybko się jednak przekonał, że otrzymane dane nie są tymi, o które prosił, a raczej były tylko nie były jego danymi. W pliku zawarte było bowiem 1700 plików dźwiękowych i pliki pdf z transkrypcją interakcji z Alexą, głosowym asystentem Amazona. Problem w tym, że ów niemiecki klient koncernu nigdy Alexy nie miał i nie używał.

Mężczyzna skontaktował się z obsługą klienta Amazona i powiadomił ich o błędzie. Nie otrzymał odpowiedzi, jednak Amazon zablokował możliwość pobrania plików. Nieco zbyt późno, bo te były już pobrane. Klient, występujący w całej historii pod pseudonimem Martin, skontaktował się wiec z niemieckim magazynem c’t i opowiedział o swoim zaniepokojeniu prywatnością klienta, którego dane trafiły w jego ręce i który mógł nawet nie zostać poinformowany o naruszeniu swojej prywatności. Magazyn c’t przesłuchał otrzymane pliki.

- Byliśmy w stanie nawigować po życiu kompletnie obcej osoby bez jej wiedzy. Niemoralna, trącąca o voyeryzm natura tego co robiliśmy stawiała nam włosy dęba – opisywali swoje doświadczenia dziennikarze magazynu c’t.

W nagraniach zawarte były bardzo prywatne szczegóły, łącznie z nagraniami ofiary wycieku danych biorącej prysznicy, szczegółami jego pracy, korzystania z środków komunikacji publiczne czy informacjami o jego dziewczynie, guście muzycznym czy imionach przyjaciół. Dziennikarze nie mieli problemów ze zidentyfikowaniem ofiary (nadano mu pseudonim Neil) i jego dziewczyny. Udało im się nawet skontaktować z Neilem i odkryli w ten sposób, że Amazon w żaden sposób nie powiadomił go o tym, że jego dane wyciekły.

Dziennikarze magazynu c’t skontaktowali się z Amazonem i zapytali czy koncern poinformował inspektorów ochrony danych w ciągu 72 godzin (jak wymaga tego prawo) o wycieku danych osobowych. Amazon dopiero po kilku dniach przesłał wytłumaczenie, że całe wydarzenie było „nieszczęśliwym nieporozumieniem” wynikającym z ludzkiego błędu. Firma deklarowała, że wdrożyła poprawione procedury, by podnieść bezpieczeństwo oraz rozwiązała sprawę z Martinem i Neilem.

Oczywiście dziennikarze natychmiast skontaktowali się z Martinem i Neilem by dowiedzieć się, jak rozwiązano sprawę. Okazało się, że do Martina Amazon zadzwonił z informacją, że dane innej osoby otrzymał wskutek błędu. Z kolei Neilowi Amazon powiedział, że jego dane zostały wysłane przez pomyłkę do złej osoby i Amazon odkrył błąd własnym sumptem. Neil otrzymał w ramach rekompensaty darmowe członkostwo Prime oraz Echo Dot i Spot (urządzenia stanowiące głosowy interfejs Alexy).

Magazyn c’t zapytał o opinię prawnika specjalizującego się w prawie ochrony danych osobowych. Doktor Carlo Piltz odpowiadając na pytania dziennikarzy, przypomniał, że Amazon był w takiej sytuacji zobowiązany do powiadomienia odpowiedniego urzędu ochrony danych osobowych w ciągu 72 godzin od odkrycia wycieku danych i powinien był bez zbędnej zwłoki powiadomić ofiarę (standardowo 14 dni, chyba że ryzyko szkód jest duże). Doktor Piltz nie chciał się wypowiadać o ewentualnych karach, dodał tylko, że odpowiednie władze powinny teraz przeprowadzić dochodzenie i zdecydować o ewentualnej karze.

- To był niefortunny przypadek ludzkiego błędu i jednostkowy przypadek. Rozwiązaliśmy problem z klientami dotkniętymi sprawą i podjęliśmy kroki, by usprawnić nasze procedury. Jesteśmy także w kontakcie z odpowiednimi władzami – powiedział dziennikowi „Forbes” Amazon.

Dziennikarz Forbes’a z jakiegoś powodu odłączył jednak swoją Alexę i poinformował o tym publicznie.

Za naruszenie przepisów GDPR (czyli RODO) firmom grozi kara do 20 mln euro lub nawet 4 procent światowego obrotu.

Pozostało 85% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj