O kuriozalnym komunikacie IAI informowaliśmy w ubiegłym tygodniu. Łatwo wysnuć z niego wniosek, że obroty sklepów są dla firmy ważniejsze niż bezpieczeństwo haseł klientów. Problem wydaje się poważny, bo mamy do czynienia z dużym graczem. Z usług IAI-Shop korzysta prawie 2000 sklepów i hurtowni internetowych, które generują łącznie ponad 350 tys. zamówień miesięcznie, osiągając sprzedaż na poziomie ponad 1 mld złotych w skali roku.

O komentarz w tej sprawie poprosiliśmy Generalnego Inspektora Ochrony Danych Osobowych. Odpowiedź otrzymaliśmy jednoznaczną. Przedkładanie biznesowych interesów e-sklepów nad potrzebę kodowania haseł użytkowników należy uznać za naruszenie obowiązków administratora danych wynikających z art. 36 ust. 1 oraz art. 38 ustawy o ochronie danych osobowych - napisała Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego GIODO.

- Zadaniem administratora danych jest zastosowanie takich środków, które zapewnią odpowiedni poziom bezpieczeństwa danych przetwarzanych w systemach informatycznych. Do środków tych należy zaliczyć w szczególności stosowanie kryptograficznej ochrony danych podczas ich przekazywania (transmisji) między komputerem użytkownika i serwerem administratora danych oraz stosowanie funkcji skrótu (nazywanej niekiedy funkcją mieszającą lub haszującą) do kodowania hasła dostępu użytkownika w bazie danych systemu - wyjaśniła rzeczniczka.

Czy administrator może znać nasze hasło?

Nie każdy wie, że definicję hasła znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100, poz. 1024). Otóż hasłem jest ciąg znaków literowych, cyfrowych lub innych, znany - jak podkreśla przedstawicielka GIODO - jedynie osobie uprawnionej do pracy w systemie informatycznym.

- Brak kodowania haseł użytkowników systemu w jego bazie danych sprawia, że hasła te mogą być poznane przez osoby administrujące systemem, co narusza zasadę i ideę zabezpieczania danych poprzez zastosowanie rozwiązań bazujących na identyfikatorze i haśle (sekrecie) służącym zabezpieczeniu informacji - poinformowała Kałużyńska-Jasak. - Należy dodatkowo mieć na uwadze, że w kontekście administratora danych znajomość hasła nie jest groźna z punktu widzenia ochrony poufności danych, gdyż administrator jest uprawniony do posiadania tych danych, ale jedynie z punktu widzenia zapewnienia rozliczalności i niezaprzeczalności w zakresie, kto i kiedy dane wprowadził lub zmienił.

W tym miejscu warto przypomnieć, że szyfrowanie nie stanowi dla administratora dużej przeszkody w poznaniu haseł użytkowników, ma on bowiem dostęp do klucza, który umożliwia ich odszyfrowanie. Na temat najgorszej z metod, czyli o przechowywaniu i przesyłaniu do użytkowników haseł otwartym tekstem, GIODO już wypowiadał się na naszych łamach - zob. Czy GG przechowuje hasła w postaci jawnej?

Jeszcze nie wiadomo, czy Generalny Inspektor podejmie kroki w sprawie naruszenia ustawy o ochronie danych osobowych przez IAI-Shop. Jeżeli ta historia będzie miała ciąg dalszy, nie omieszkamy poinformować o tym Czytelników.

Aktualizacja: 13.11.2012 godz. 7.32

Dziś rano, po konsultacji z GIODO, zmieniliśmy tytuł powyższego artykułu. Poprzedni tytuł, który został nadany artykułowi, czyli "IAI-Shop mocno skrytykowane przez GIODO", zawierał element subiektywnej oceny, na co zwrócił nam uwagę także przedstawiciel firmy IAI-Shop.

Aktualizacja: 18.01.2017

Przeczytaj: Wyrok sądu potwierdził rzetelność krytyki Dziennika Internautów