Kalifornijski organ regulacyjny ds. ochrony prywatności nałożył na brokera danych z Teksasu grzywnę w wysokości 45 000 dolarów i zakazał mu sprzedaży danych osobowych mieszkańców Kalifornii po tym, jak sprzedał dane pacjentów cierpiących na chorobę Alzheimera. Według Kalifornijskiej Agencji Privacy (CPPA) teksańska firma Rickenbacher Data LLC, działająca pod nazwą Datamasters, kupowała i odsprzedawała nazwiska, adresy, numery telefonów i adresy e-mail osób cierpiących na poważne schorzenia.
W ostatecznym postanowieniu CPPA przeciwko Datamasters stwierdzono, że firma posiadała bazę danych zawierającą 435 245 adresów pocztowych pacjentów cierpiących na chorobę Alzheimera. Ale to nie wszystko. W bazie znajdowały się również dane 2 317 141 osób niewidomych lub niedowidzących oraz 133 142 osób uzależnionych. Sprzedawano również dane 857 449 osób z problemami z kontrolowaniem pęcherza moczowego.
Dane dotyczące zdrowia nie były jedyną kategorią, którą zajmowała się firma Datamasters. Sprzedawała ona również informacje związane z pochodzeniem etnicznym, w tym tzw. „listy latynoskie” zawierające ponad 20 milionów nazwisk, a także „listy seniorów” oparte na wieku oraz wskaźniki wrażliwości finansowej. Na przykład sprzedawała dane osób posiadających kredyty hipoteczne o wysokim oprocentowaniu.
A jeśli kupujący chcieliby uzyskać dane dotyczące innych prawdopodobnych cech i zachowań klientów, takich jak to, kto jest raczej liberałem, a kto prawicowcem, również mogliby je otrzymać dzięki 3370 „modelom prognozowania zachowań konsumentów”, obejmującym preferencje motoryzacyjne, aktywność finansową, korzystanie z mediów, przynależność polityczną i działalność non-profit.
Datamasters oferuje bezpośredni zakup danych z krajowej bazy danych konsumentów, która według firmy obejmuje 114 milionów gospodarstw domowych i 231 milionów osób. Klienci mogą również wykupić subskrypcję aktualizacji.
Kalifornijskie organy regulacyjne rozpoczęły dochodzenie w sprawie firmy Datamasters po odkryciu, że nie zarejestrowała się ona jako broker danych w tym stanie, zgodnie z wymogami kalifornijskiej ustawy Delete Act. Ustawa ta nakłada na brokerów danych obowiązek rejestracji od 31 stycznia 2025 r.
Firma początkowo zaprzeczała, że prowadzi działalność w Kalifornii lub posiada dane dotyczące mieszkańców tego stanu. Twierdzenie to jednak upadło, gdy organy regulacyjne znalazły na stronie internetowej arkusz kalkulacyjny Excel zawierający 204 218 rekordów dotyczących studentów z Kalifornii.
Firma Datamasters najpierw stwierdziła, że nie przefiltrowała swojej krajowej bazy danych w celu usunięcia danych mieszkańców Kalifornii. Po zatrudnieniu prawnika zmieniła jednak swoje stanowisko, twierdząc, że faktycznie odfiltrowała dane mieszkańców Kalifornii. Nie przekonało to jednak CPPA.
Organ regulacyjny przyznał, że firma Datamasters próbowała przestrzegać kalifornijskich przepisów dotyczących ochrony prywatności, ale że
„nie posiadało wystarczających pisemnych zasad i procedur zapewniających zgodność z ustawą Delete Act”.
Kara nałożona na Datamasters uwzględnia również fakt, że firma nie zarejestrowała się w stanowym rejestrze brokerów danych. Brokerzy danych, którzy nie zarejestrują się, podlegają karze w wysokości 200 dolarów dziennie, a nieusunięcie danych konsumentów skutkuje karą w wysokości 200 dolarów dziennie za każdego konsumenta.
Od 1 stycznia 2028 r. brokerzy danych zarejestrowani w Kalifornii będą również zobowiązani do poddawania się niezależnym audytom zgodności przeprowadzanym przez strony trzecie co trzy lata.
Dlaczego sprzedaż szczególnie wrażliwych danych klientów jest tak niebezpieczna?
„Historia uczy nas, że niektóre rodzaje list mogą być niebezpieczne”.
Michael Macko, szef organów ścigania CPPA, zwrócił uwagę.
Badania wykazały, że pacjenci cierpiący na chorobę Alzheimera są szczególnie narażeni na wyzysk finansowy. Jeśli uważasz, że oszuści nie poszukują takich list, pomyśl jeszcze raz – okazało się, że przestępcy mieli dostęp do danych pochodzących od co najmniej trzech brokerów danych w przeszłości. Chociaż nie ma żadnych dowodów na to, że firma Datamasters świadomie sprzedawała dane oszustom, wydaje się, że zakup list brokerów danych jest łatwy.
Nie trzeba mieć doktoratu, żeby zrozumieć, dlaczego wiele z tych danych (które, pamiętajmy, firma przechowuje na temat ludzi z całego kraju) może być szczególnie wrażliwych w obecnej sytuacji politycznej w USA.
W grę wchodzi tu również szersza kwestia prywatności. Chociaż wielu Amerykanów może zakładać, że federalna ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) chroni ich dane dotyczące zdrowia, ma ona zastosowanie wyłącznie do podmiotów świadczących usługi opieki zdrowotnej. Co zaskakujące, brokerzy danych nie podlegają jej zakresowi.
Co więc możesz zrobić, aby się chronić?
Pierwszym krokiem powinno być zapoznanie się z przepisami dotyczącymi ochrony danych obowiązującymi w danym stanie. W tym roku Kalifornia wprowadziła system Data Request and Opt-out Platform (DROP) w ramach ustawy Delete Act. Jest to system rezygnacji, dzięki któremu mieszkańcy Kalifornii mogą nakazać wszystkim brokerom danych zarejestrowanym w rejestrze usunięcie danych na ich temat.
Jeśli nie mieszkasz w kraju, który poważnie traktuje kwestię danych wrażliwych, masz bardziej ograniczone możliwości. Możesz się przeprowadzić – na przykład do Europy, gdzie ochrona prywatności jest znacznie silniejsza.
Nie tylko informujemy o prywatności danych - pomagamy usuwać dane osobowe.
Ryzyko związane z cyberbezpieczeństwem nigdy nie powinno wykraczać poza nagłówek. Z Malwarebytes Personal Data Removermożesz skanować, aby dowiedzieć się, które witryny ujawniają Twoje dane osobowe, a następnie usunąć te poufne dane z Internetu.
