Firma Candy Rheaume zajmująca się likwidacją roszczeń sprzedawała prywatne informacje, które łączyły tablice rejestracyjne klientów z ich adresami domowymi
Sąd w Kolumbii Brytyjskiej odrzucił apelację ICBC po tym, jak uznano ją za odpowiedzialną za pracownika, który sprzedał dane osobowe dziesiątek klientów – informacje, które później wykorzystano do atakowania klientów w strzelaninach i podpaleniach.
Candy Riom, likwidator szkód, sprzedawał prywatne informacje, które łączyły tablice rejestracyjne klientów z ich adresami domowymi. Sędzia okręgowy Susan Griffin powiedziała, że wielu z tych klientów stało się następnie celem ataków.
W odwołaniu ICBC stwierdziło, że sędzia popełnił błąd, uznając, że informacje są prywatne.
„Nie akceptuję argumentu ICBC, że dane osobowe były jedynie danymi kontaktowymi bez obawy o prywatność” – powiedział Griffin.
Podtrzymując odpowiedzialność ICBC w tej sprawie, sędzia Sądu Apelacyjnego Kolumbii Brytyjskiej powiedział, że utrzyma zachęty dla pracodawców do tworzenia środowisk pracy, które chronią przed niewłaściwym wykorzystaniem informacji prywatnych. Griffin powiedział, że orzeczenie zniechęci pracodawców do luźnego nadzoru nad prywatnymi informacjami, które gromadzą i przechowują elektronicznie.
Sprzedawane dane osobowe prowadzą do łańcucha podpaleń, strzelanin i aktów wandalizmu
Według sędziego w 2011 r. Rheaume uzyskał dostęp do danych osobowych 78 klientów bez wyraźnego powodu biznesowego.
Likwidator roszczeń ICBC przeszukiwał dane osobowe klientów, sprawdzając numery tablic rejestracyjnych dostarczone mu przez Aldorino Morettiego. Następnie Riom Moretti sprzedawał każdy numer rejestracyjny za 25 dolarów lub więcej.
„Nie było monitorowania dostępu personelu do danych osobowych w bazie danych w czasie, gdy pani Ryom była zaangażowana w te działania” – powiedział Griffin.
Między kwietniem 2011 a styczniem 2012 informacje uzyskane od Rheaume zostały wykorzystane do namierzenia domów i pojazdów 13 klientów. Griffin powiedział, że Vincent Eric Jia Huaqiong, Turman Runli Tafe i inni wykorzystali ujawnione informacje w serii celowanych strzelanin, podpaleń i aktów wandalizmu.
W sierpniu 2011 roku policja badająca ataki skontaktowała się z ICBC i zgłosiła agencji działania Ryoma.
ICBC uruchomiła go w następnym miesiącu. Ryom przyznał się później do uzyskania usługi komputerowej w drodze oszustwa i został skazany na karę więzienia w zawieszeniu z dziewięciomiesięcznym okresem próbnym.
Inni zaangażowani również zostali oskarżeni i skazani za różne przestępstwa.
Ofiary miały „uzasadnione oczekiwania co do prywatności”
Sprawa rozpoczęła się od proponowanego pozwu zbiorowego wniesionego przez Ufuka Ariego przed sędzią Sądu Najwyższego Kolumbii Brytyjskiej. W pozwie zarzucano ofiarom naruszenie prywatności na mocy ustawy o ochronie prywatności. Roszczenie zostało zatwierdzone jako pozew zbiorowy w 2017 roku.
Sędzia w tej sprawie miał za zadanie ustalić, czy Rheaume naruszył prywatność członków klasy, uzyskując dostęp do ich danych osobowych.
„ICBC argumentowało, że informacje nie wzbudziły uzasadnionych oczekiwań co do prywatności” – powiedział Griffin. Sędzia odrzucił ten argument.
Griffin powiedział, że istnieje uzasadnione oczekiwanie, że ICBC wykorzysta te informacje wyłącznie do swoich uzasadnionych celów biznesowych – ubezpieczenia i rejestracji pojazdów.
„Analityk. Nieuleczalny nerd z bekonu. Przedsiębiorca. Oddany pisarz. Wielokrotnie nagradzany alkoholowy ninja. Subtelnie czarujący czytelnik.”