Firma NeoCraft poluje na nasze dane osobowe wykorzystując bony Biedronki, Tesco i innych znanych marek

Zakupy Zbrodnia i kara dołącz do dyskusji (29) 04.04.2018
Firma NeoCraft poluje na nasze dane osobowe wykorzystując bony Biedronki, Tesco i innych znanych marek

Udostępnij

Rafał Chabasiński

Współczesność wymusza na nas ciągłą ostrożność. Na każdym kroku można natknąć się na osobników mających względem nas niekoniecznie czyste intencje. Szczególnie dotyczy to internetu, w którym względnie łatwo zacierać po sobie ślady czy zachować anonimowość. Bardzo ochoczo korzystają z tych możliwości ci, którzy najchętniej wyciągnęliby ręce po nasze dobra niekoniecznie dając przy tym cokolwiek w zamian. Tym razem na celowniku rozmaitych firm po raz kolejny znalazły się nasze dane osobowe.

Nie ma co się łudzić – jak zwykle w takich wypadkach, chodzi im tylko i wyłącznie o pieniądze. W tym przypadku dostaną je od innych przedsiębiorstw, które tylko czekają, żeby zalać nas falą reklam różnych mniej lub bardziej niechcianych towarów i usług. Łowcy danych wykorzystują w swoim procederze podstęp. Wykorzystują nazwy znanych sieci handlowych, takich jak Tesco, Biedronka czy Żabka. Obiecują nam nagrodę, niemałą. Wystarczy im tylko podać trochę informacji o sobie, by cieszyć się bonem o wcale niemałej wysokości. Tyle tylko, że to wszystko bujda. Co więcej, okazuje się być wierzchołkiem góry lodowej.

Firma NeoCraft poluje na nasze dane osobowe za pomocą podejrzanych konkursów.

Jak podaje Niebezpiecznik.pl, do Polaków rozsyłane są e-maile z adresu badaniakonsumenckie@wp.pl (choć, jak z kolei informuje Wirtualna Polska:adres ten w bazie WP jest zablokowany i został jedynie wpisany w pole „Od” przez oryginalnego nadawcę – wykorzystując właściwość protokołu SMTP umożliwiającą wpisanie w pole „Od” dowolnego adresu. Wiadomość nie została więc wysłana z serwerów WP). Informują one odbiorcę o tym, że został on „wybrany do możliwego odbioru bonu o wartości 750 zł”, możliwy do zrealizowania w sieciach Tesco, Biedronka i Żabka. Wiadomość zawiera stosowny kod oraz bardzo krótką „datę ważności” – sprowadzającą się do dnia, w którym została ona wysłana. Już na tym etapie otrzymujemy informację o tym, żeby koniecznie potwierdzić numer telefonu. Rzekomym powodem miałaby być wygoda kuriera InPostu.

Po kliknięciu na znajdujący się w e-mailu link, trafiamy na stronę bon-do-marketu.pl. Tam wybrać mamy sobie, której sieci bon chcemy dostać. Ponownie pojawia się tutaj informacja o „darmowych bonach zakupowych o wartości 750 zł.” oraz ostrzeżenie, że bonów zostało naprawdę mało. W moim przypadku były trzy. Ciekawe, czy ta liczba w ogóle ulega zmianie? Następny krok przewiduje wpisanie swojego imienia oraz podanie adresu mailowego. To tutaj znajdują się także ostrzeżenia. Obok zwyczajowej informacji o wykorzystywaniu plików cookies znaleźć możemy jedną ciekawostkę. Organizatorzy „programu” uprzedzają nas że nie mają z nim nic wspólnego sieci, których bony mamy otrzymać. Informacja ta znajduje się na samym dole strony, drobnym maczkiem i nieszczególnie czytelnym kolorem – jakże by inaczej?

Co więcej, to tutaj mamy zaakceptować regulamin, wyrazić zgodę na przetwarzanie danych osobowych oraz na używanie przez organizatora i jego partnerów „telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego w rozumieniu art. 172 ust. 1 ustawy prawo telekomunikacyjne.” Czyli, słowem, męczenie nas telefonami zachęcającymi do skorzystania z jakiejś kolejnej „wspaniałej oferty stworzonej specjalnie dla nas.” Żeby to zrobić musimy trzy razy kliknąć w przycisk „potwierdzam.”

To bardzo ważny, żebyś podał numer telefonu – bez tego ciężko byłoby cię zasypać SMSami reklamowymi

Warto podkreślić, że to te formalności dają „organizatorom i ich partnerom” jakiekolwiek umocowanie prawne do bombardowania nas potem reklamami. Powtórzmy raz jeszcze: to właśnie o to im chodzi! Oczywiście, najlepiej im go nie dawać. W tym momencie znają nasze imię oraz adres mailowy. Na następnej stronie mamy kolejny formularz do wypełnienia – wypełniamy go „aby odebrać nagrodę”. Tutaj podajemy nazwisko, adres, telefon komórkowy oraz datę urodzenia. Losowy ciąg liczb nie wystarczył, żeby przebrnąć dalej. Mimo najszczerszych chęci, dostawałem informację, jakobym miał koniecznie wpisać poprawny numer telefonu.

Z informacji Niebezpiecznika wynika, że następnym etapem jest podanie kolejnych informacji o sobie. Polega to na odpowiedzi na kilka pytań, takich jak: „Czy posiadasz nadwyżki finansowe, które chcesz zainwestować?”, „Czy jesteś typem inwestora, który lubi ryzyko i wysoki zysk?” oraz „Czy planujesz ubezpieczyć na życie siebie i swoich bliskich?”. Odbiorcom „organizatorów i ich partnerów” informacje te są potrzebne, by ułożyć właściwy profil „klientów”. Dla nas jest to z kolei potencjalna informacja o tym, z jakimi reklamami zetknąć się mogą potem ci, którzy przekazali swoje dane.

Muszę w tym momencie zaznaczyć, że w przeciwieństwie do Niebezpiecznika nie natrafiłem na jakże skomplikowane zadanie wskazanie firmy produkującej lody spośród dwóch znanych marek zajmujących się taką działalnością. Być może dlatego, że do „konkursu” trafiłem bezpośrednio wpisując adres w przeglądarce. Dlaczego piszę w tym momencie o jakimś „konkursie”, choć mieli rozdawać bony a do tej pory mowa była raczej o badaniu konsumenckim? Zajrzyjmy do regulaminu całego przedsięwzięcia.

Zręcznościowy konkurs polegający na wpisywaniu danych do pól, żeby uzyskać najlepszy czas, którego nikt nie mierzy

Już na wstępie mogę powiedzieć, że arcydzieło języka prawniczego to nie jest. Sprawia, oczywiście, określone wrażenie – podzielony jest na paragrafy, punkty i podpunkty. Zawiera najpierw stosowne definicje, którymi się posługuje a później opisuje przebieg „konkursu.” Cały regulamin napisany jest dość niedbale, w tym także w kluczowych fragmentach. Przykładem może być chociażby sama odpowiedź na pytanie na czym polega cały ten cały „konkurs”. Zgodnie z regulaminową definicją ma on charakter zręcznościowy. Cokolwiek by to nie miało znaczyć. Paragraf 15 regulaminu stanowi: „Zadanie konkursowe polega na jak wypełnieniu określonych pól Serwisu.” Na jak najszybszym? Jak najlepszym? Na wypełnieniu ich w ogóle?

Punkt 5 tego paragrafu w końcu, że doprecyzowuje jednak, że „ Pełne wykonanie zadania konkursowego wiąże się z podaniem prawdziwych danych – imienia, nazwiska, płci, daty urodzenia, adresu e-mail, numeru telefonu komórkowego, numeru telefonu stacjonarnego, adresu zamieszkania, a także pytań dodatkowych.” Nie zabrakło tu, nawiasem mówiąc, zastrzeżenia, że samo wypełnienie poszczególnych pól serwisu automatycznie wiąże się ze zgodą na przetwarzanie jego danych osobowych.

Nagrodą w „konkursie” jest bon o wartości 739 złotych. Zgodnie z §14 pkt. 3 regulaminu, nagroda zostanie wydana zwycięzcy zgodnie z obowiązującymi przepisami ustawy o podatku dochodowym od osób fizycznych. Co ma w ogóle z tym wszystkim wspólnego podatek dochodowy? Zgodnie z art. 21 ust. 1 pkt 68, od podatku dochodowego wolna jest wartość nagród związanych ze sprzedażą premiową towarów lub usług, jeżeli jednorazowa wartość tych wygranych lub nagród nie przekracza kwoty 760 zł. Najwyraźniej organizatorzy nie zauważyli, że zmieniła się wysokość kwoty wolnej od podatku z tego tytułu. I to nie pierwszy raz – od 2018 r. obowiązuje wynosi ona 2000 zł.

Czy przypadkiem w tym szaleństwie nie kryje się jakaś metoda?

Należałoby w tym momencie zapytać, czy ktoś w ogóle zobaczy te bony na oczy. Jeśli wierzyć wspomnianemu wyżej ostrzeżeniu, są przynajmniej trzy. Lektura regulaminu budzi we mnie pewne wątpliwości. Przede wszystkim, kryteria w nim określone są wewnętrznie sprzeczne. Zgodnie z §18 pkt 1 podpunkt b, warunkiem koniecznym otrzymania nagrody jest „osiągnięcie najlepszego czasu w wykonaniu zadania konkursowego”. Nikt do tej pory w żadnym momencie nie uprzedzał nas, że cokolwiek musimy robić na czas, nigdzie naszego czasu nie zobaczyliśmy. Nie mam żadnej pewności, czy jakikolwiek czas jest jakkolwiek mierzony. Na szczęście, zaraz potem, w podpunkcie d organizatorzy informują nas, że uczestnik musi być wylosowany. Spośród kogo? Spośród tych, którzy spełnili warunki określone w punkcie 1 regulaminu. Kto je spełnia? …Nie wiadomo. Losowania odbyć się mają trzy tygodnie po od zakończenia danego wydania konkursu. Obecne trwać ma rzekomo od 2.01.2018 do 30.06.2018.

Zgodnie z art. 919c kodeksu cywilnego, na który się powołują organizatorzy, ten, kto przez ogłoszenie publiczne przyrzekł nagrodę za wykonanie oznaczonej czynności, zobowiązany jest swojego przyrzeczenia dotrzymać. No chyba, że nie było zastrzeżenia, że takie przyrzeczenie jest odwołalne. Jak się łatwo domyślić, nasi organizatorzy nie pozostawili wiele pola do interpretacji. W §13 regulaminu zawarli zastrzeżenie, że konkurs zawsze może być częściowo lub całkowicie przerwany – chociażby w przypadku problemów technicznych, wirusów, czy… wad prawnych. Czyżby kompletny chaos odnośnie warunków uczestnictwa i wygranej w rzekomym konkursie wcale nie były błędem, na który na pierwszy rzut oka wyglądają?

Czym właściwie jest NeoCraft sp z o.o?

Regulamin, oczywiście, podaje organizatora całego przedsięwzięcia. Jest nim spółka NeoCraft sp. z o.o. z siedzibą we Wrocławiu. Działa ona od 13 października 2010 r. Wpis do Krajowego Rejestru Sądowego uzyskała 18 lutego 2012 r. Firma na swojej stronie internetowej chwali się współpracą z takimi znanymi markami, jak Polskie Linie Lotnicze Lot, Toyota, UPC, Avans, Avon, T-Mobile, Plus, Orange,Tchibo, Empik i wiele innych. Swoją działalność opisuje w następujący sposób:

Przedsiębiorstwo prowadzi swoją działalność w zakresie portali internetowych oraz pozostałej działalności usługowej w zakresie technologii informatycznych i komputerowych. Od początku istnienia w Spółce rozwijane były dwie główne gałęzie działalności tj. gromadzenie na własność i dystrybucja baz danych oraz pośrednictwo w sprzedaży usług kurierskich.

Ta pierwsza część działalności przedsiębiorstwa to część, która nas interesuje. Odpowiada za nią marka NeoBazy. Polega ona na niczym innym, jak na gromadzeniu danych osobowych oraz preferencji konsumenckich poszczególnych osób a potem na odpłatnym udostępnianiu zdobytych informacji rozmaitym firmom. Nie jest trudno znaleźć w internecie opinie osób, które miały okazję zetknąć się z nią bliżej. W przypadku konsumentów zasypywanych reklamami, nie są one zbyt pochlebne. Drugą część działalności przedsiębiorstwa to platforma Sprintero, współpracująca z takimi firmami kurierskimi jak chociażby UPS, FedEx czy Raben. Spółka tworzy również trzecią gałąź, NeoCraft Software. Niewiele o niej, póki co, wiadomo – łatwo się jednak domyślić, że ma się ona zajmować tworzeniem oprogramowania.

Kto tak naprawdę będzie administrować danymi osobowymi zbieranymi w ramach „konkursu”? Sprawdziliśmy!

W regulaminie konkursu podani są również partnerzy, którym przekazane mają być nasze dane osobowe. Tutaj już znane przedsiębiorstwa nie przewijają. Są to:

Rankomat Sp. z o.o. Sp. k – spółka stojąca za porównywarką ubezpieczeń rankomat.pl.

Jednocześnie, jak donosi zainteresowana spółka:

„Rankomat sp. z o.o. sp. k. nie jest organizatorem opisanego konkursu, nie miał też wpływu na jego kształt i przebieg, a sugerowanie odpowiedzialności spółki za kształt i przebieg prowadzonych przez NeoCraft sp. o.o. działań jest mijaniem się z prawdą,

W dniu dzisiejszym Rankomat sp. z o.o. sp. k. wezwała NeoCraft sp. z o.o. do natychmiastowego zaprzestania używania nazwy Rankomat sp. z o.o. sp. k. w jakichkolwiek działaniach pod rygorem odpowiedzialności prawnej. Wedle naszej wiedzy NeoCraft sp. z o.o. dokonała już stosownych zmian w Regulaminie.”

Salelifter Sp. z o.o. – przedsiębiorstwo specjalizujące się w marketingu mailowym oraz tzw. „monetyzacją baz danych”, czyli ich sprzedażą innym podmiotom.

MobileB2B Sp. z o.o. – spółka zajmująca się kampaniami mailowymi, telefonicznymi oraz SMSowymi.

Internovus Ltd – przedsiębiorstwo zajmujące się marketingiem, z siedzibą w Bułgarii.

IT Investments Sp. z o.o. – spółka z dziedziny nowoczesnych technologii, zajmująca się między innymi testami aplikacji mobilnych oraz robotyzacją procesów operacyjnych. Zgodnie z informacjami zawartymi na jej stronie, do grona klientów zaliczyć może głównie firmy ubezpieczeniowe i banki.

Tarsago Polska Sp. z o.o – firma specjalizująca się w marketingu bezpośrednim oraz wydawca książek i magazynów. Zgodnie z informacją zawartą na jej stronie, spadkobierca wydawnictwa Reader’s Digest Przegląd.

Leadr Sp. z o.o. – spółka zajmująca się marketingiem bezpośrednim.

Finansowysupermarket.pl sp. z o.o. – stoi za internetową porównywarką produktów finansowych.

E-GENETIX LTD – przedsiębiorstwo zarejestrowane w Londynie, jednak będąca własnością osoby o swojsko brzmiącym nazwisku.

Advertise-me Sarl – francuska firma zajmująca się marketingiem internetowym.

AJA Media Sp. z o.o. – spółka zajmująca się prowadzeniem kampanii reklamowych w internecie, w szczególności dla banków.

Doradcafinansow.pl sp. z o.o. – firma będąca właścicielem między innymi za strony internetowej monitoringfinansowy.pl.

To wcale nie jest ani pierwszy, ani jedyny „konkurs” organizowany przez NeoCraft, wśród partnerów także PZU SA

Okazuje się, że wszystkie te firmy przewijają się także w innych „konkursach” organizowanych przez NeoCraft. Za pomocą wyszukiwarki internetowej bardzo łatwo znaleźć inne tego typu przedsięwzięcia. Strona testclub.pl oferuje dużo ciekawsze nagrody. Do wyboru jest konsola x-box, tablet Samsung Galaxy Tab S2 czy zegarek Timex Expedition ETide Temp Compass. Kolejny „konkurs” to twoja-przegladarka.pl oferująca bony o wartości raptem 500 zł., za to w sklepach Media Markt, Saturn oraz RTV Euro AGD. Strona darmowybon.com.pl specjalizuje się w ubraniach – tutaj do wyboru mamy bony marek CCC, House oraz Reserved.

W tych trzech przypadkach na liście partnerów, którzy otrzymają nasze dane osobowe, wymienione jest również PZU SA – największa polska firma ubezpieczeniowa. To jedyne istotne różnice między nimi. W pozostałych aspektach są one właściwie identyczne. Nawet regulamin jest w zasadzie za każdym razem taki sam. Co więcej, proceder ten nie jest, jak się okazuje, niczym nowym. Nie trzeba było długo szukać, by znaleźć ślad takiego „konkursu” organizowanego przez NeoCraft z 2011 roku.

Warto podkreślić, że – mimo najszczerszych chęci – nie mogę nazwać tej praktyki ani oszustwem, ani „złodziejstwem”, ani wyłudzeniem. Niestety, jest ona legalna. Jest też dość często spotykana. Nie zmienia to faktu, że jest ona równocześnie wysoce nieetyczna. Najlepszym dowodem na poparcie tej tezy jest sam mechanizm ich działania. Ofiara wabiona jest wygraną, nazwami znanych marek. W rzeczywistości ma jedynie mglistą i niepewną możliwość wzięcia udziału w losowaniu. Zaryzykowałbym stwierdzenie, że celem są osoby na tyle łatwowierne, by nie przeczytać dokładnie regulaminu.

Trzeba też podkreślić jasno, że wszystkie te „konkursy” są niczym innym, jak pułapką, obliczoną na pozyskanie danych osobowych do baz danych rozmaitych firm. Te dane z kolei są towarem. Co więcej, bezpośrednim skutkiem oddania naszych danych osobowych za mglistą obietnicę możliwości wygrania nagrody będzie zalew reklamami. Nie ulega wątpliwości, że między specami od marketingu bezpośredniego a posiadaczami kont mailowych oraz telefonów istnieje sprzeczność interesów.

Nie wszystko, co jest nieetyczne jest nielegalne. A może w tym przypadku jednak powinno?

Skoro wszystkie te konkursy są legalne, to w jaki sposób się przed nimi bronić? Najprostszym sposobem jest zdrowy krytycyzm wobec treści znajdujących się w internecie. Nie wszystko, co jest w internecie jest prawdziwe. W szczególności dotyczy to wszelkiej maści losowań, do których nigdy się nie zgłaszaliśmy. Jeśli ktoś wyśle do nas taką informację, to śmiało możemy założyć, że ma wobec nas nieczyste intencje. Kolejną wskazówką, że ktoś chce coś najpewniej ugrać naszym kosztem są zawsze regulaminy. Zawsze warto się dokładnie z nimi zapoznać. Nawet jeśli ktoś nie jest prawnikiem, to i tak może zauważyć pewne charakterystyczne, dziwne na pierwszy rzut oka, zapisy. Wreszcie: jeśli coś jest zbyt piękne by było prawdziwe, to w internecie najpewniej prawdziwe nie jest.

Jeśli już popełniliśmy ten błąd i przekazaliśmy nasze dane osobowe firmom marketingowym, nie jesteśmy do końca bezbronni. Przede wszystkim, skoro wyraziliśmy zgodę na przetwarzanie naszych danych osobowych, możemy ją po prostu cofnąć. Co więcej, ustawa o ochronie danych osobowych daje nam możliwość zażądania wniesienia do administratora naszych danych sprzeciwu wobec ich przetwarzania, w tym także dla celów marketingowych. Najlepiej zrobić to w formie pisemnej, zwłaszcza jeśli dodzwonienie się do danego podmiotu staje się problematyczne.

Warto jednak podkreślić, że administrator nie ma obowiązku przekazać stronom trzecim informacji o wycofaniu zgody czy wniesionym sprzeciwie. W przypadku NeoCraftu i jego partnerów, musimy wysłać pisma do każdego z tych wskazanych podmiotów. Należy wspomnieć także o tym, że art. 32 ust. 1 ustawy o ochronie danych osobowych daje każdemu prawo do kontroli przetwarzania danych, które go dotyczą. Katalog form, w jakich to prawo może się przejawiać ma charakter otwarty – te wprost wskazane w ustawie nie są bynajmniej jedynymi dopuszczalnymi.