Tego typu sytuacje rodzą następujące pytania:
- Czy możemy w jakiś sposób wykorzystać adresy poczty elektronicznej, które ktoś do nas prześle przez pomyłkę?
- Czy możemy z takich adresów zbudować listę adresową?
- Jak postąpić, jeżeli to nam, zdarzy się popełnić błąd i wyślemy wiadomość, z adresami w polu DW zamiast UDW?
O odpowiedzi na te pytania poprosiliśmy ekspertów.
Zobacz również
Problem możemy rozpatrywać na dwóch płaszczyznach
Jarosław Żabówka – popularyzator zagadnień ochrony danych. Budowniczy polskiej społeczności ABI. Właściciel firmy www.proInfoSec.pl, działającej w obszarze bezpieczeństwa informacji i ochrony danych.
Zdarza się, że rozsyłając wiadomość do większej ilości osób, ktoś omyłkowo wkleja adresy do pola DW (CC), zamiast do pola UDW (BCC), ujawniając tym samym adresy odbiorców wiadomości.
Jak w takiej sytuacji powinien postąpić sprawca?
Z pewnością został nadszarpnięty wizerunek – „Kogo oni tam zatrudnili? Nie stać ich już na lepszego pracownika?”. Na pewno nie należy chować głowy w piasek i liczyć, że nikt nie zauważy wpadki. Jak najszybsze wysłanie wiadomość z przeprosinami to podstawa. Spotkałem się też z propozycją rabatu przy zakupach albo bezpłatnego dostępu do usługi. Takie zachowanie może z pewnością zmniejszyć złe wrażenie. Odradzam zrzucanie winy na błędnie działający system. W to chyba nikt nie uwierzy. A jeżeli nawet, to jak można zaufać komuś, kto ma tak zawodne systemy?
Movember/Wąsopad: jak marki zachęcają do profilaktyki męskich nowotworów [PRZEGLĄD]
Możemy spotkać się również z roszczeniami natury prawnej. Czy możemy tu jeszcze coś zrobić? Będzie trudno. „Mleko się wylało” i już udostępniliśmy dane osobom nieupoważnionym.
Słuchaj podcastu NowyMarketing
Pamiętajmy jednak, że zakładamy, że ujawnione adresy są danymi osobowymi. Nie zawsze musi tak być.
Jeżeli sprawa będzie odpowiednio nagłośniona lub ktoś z poszkodowanych poinformuje o zdarzeniu Generalnego Inspektora Ochrony Danych Osobowych, możemy spodziewać się kontroli, a przynajmniej konieczności udzielenia wyjaśnień i określenia działań, które zostaną podjęte w celu uniemożliwienia zaistnienia takiej sytuacji w przyszłości.
Co jakiś czas, spotykamy się prośbami o pomoc, ze strony firm spodziewających się kontroli GIODO. Przygotowanie wymaganej przepisami prawa dokumentacji wymaga jednak nieco czasu i bardzo żałujemy, że przedsiębiorcy nie pomyśleli wcześniej o uporządkowaniu tego obszaru – byłoby taniej i na pewno spokojniej.
Innym zagrożeniem związanym z ujawnieniem adresu poczty elektronicznej może być powództwo cywilne. Wydaje się mało prawdopodobne, żeby groziły nam z tego powodu wypłaty wysokich odszkodowań. Jednak każdy przypadek należałoby rozpatrywać indywidualnie, a uciążliwość takich pozwów będzie z pewnością wysoka.
Jak powinna postąpić osoba, która dostała taką wiadomość?
Najpierw musimy wiedzieć, czy jest ona świadoma, że otrzymała listę adresów e-mail i że zostały one rozesłane z naruszeniem prawa. Jak jednak postąpić, gdy już o tym wiemy. Wydaje się, że nie powinniśmy rozsyłać uprzejmej informacji do wszystkich osób z listy. Wyobraźmy sobie, że ktoś omyłkowo rozesłał wiadomość do 1000 osób i każda z tych osób postanowiła poinformować pozostałe osoby z listy, że ma ich adres. Każdy dostaje dodatkowe 999 wiadomości! Nie róbmy sobie tego. Uważam jednak, że powinniśmy usunąć te adresy z naszej książki adresowej.
Warto zauważyć przy okazji. Że zgodnie z planowanym rozporządzeniem UE, które ma w przyszłości zastąpić częściowo naszą ustawę o ochronie danych osobowych, w wypadku „wycieku” danych osobowych, administrator będzie miał obowiązek poinformować o tym wszystkie osoby, których dane zostały ujawnione.
Czy otrzymane w takich wiadomościach adresy e-mail mogą nam posłużyć do zbudowania własnej bazy adresowej? Tak, jak stwierdziliśmy przed chwilą, konieczne jest założenie, że nie mamy świadomości, że adresy te zostały nam udostępnione z naruszeniem przepisów prawa. Nie zapominajmy jednak o obowiązku informacyjnym! Jeżeli budujemy z tych adresów bazę, zobowiązani jesteśmy do dopełnienia obowiązku informacyjnego, w tym poinformowaniu skąd mamy dane. Jeżeli nie zamierzamy wykorzystać ich do marketingu własnych produktów (prowadzić marketing produktów, które nie są nasze, udostępnić bazę innym podmiotom, itd.), musimy również otrzymać zgodę na ich przetwarzanie.
Polacy są coraz bardziej świadomi swoich praw związanych z ochroną danych osobowych. Wydaje się, że zapominanie przez przedsiębiorców o prawach swoich klientów coraz częściej przynosi więcej szkody niż korzyści. Na szczęście, coraz więcej firm to dostrzega i opracowuje wymaganą ustawą o ochronie danych osobowych, dokumentację. Szybko okazuje, że mądre jej przygotowanie służy również rozwojowi organizacji. Nie tylko zapewniając zgodność z obowiązującym prawem, ale przede wszystkim kontrolę nad własnymi zasobami informacyjnymi.
Co na to przepisy prawa?
Odpowiada Michał Sztąberek – prawnik i audytor, partner zarządzający w iSecure Sp. z o.o., firmie specjalizującej się w doradztwie w zakresie ochrony danych osobowych.
Właściwie myśląc o takich przypadkach, sięgnąć należałoby po co najmniej 2 – 3 ustawy. Będą to, moim zdaniem, następujące akty prawne: ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) oraz ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (UZNK). Warto też pamiętać o ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
Obowiązki i konsekwencje
Spójrzmy najpierw na pierwszą z ww. ustaw. Przede wszystkim powinniśmy zdać sobie sprawę z tego, że adresy e-mail mogą stanowić dane osobowe, a te zgodnie z UODO należy chronić. Wynika to wprost z art. 36 ust. 1 UODO, zgodnie z którym „Administrator danych [podmiot, który pozyskał dane dla określonego przez siebie celu – przyp. MSz] jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”. Odbiorca mailingu nie będący jego adresatem (a więc np. jedna z wielu osób wrzucona do tzw. „DW” a nie „UDW”) i mający wgląd w całą listę innych nie ukrytych adresatów (przy założeniu, że nie było to działanie celowe, a efekt pomyłki czy działania w złej wierze) niewątpliwie będzie osobą nieupoważnioną. Tego typu działania, zgodnie z UODO, są zagrożone sankcją karną, przy czym warto podkreślić, że bez znaczenia jest tu fakt czy ktoś działał w złej wierze czy tylko nieumyślnie. Chodzi mianowicie o art. 51 UODO, gdzie mowa jest o tym, że „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” i dalej „Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.
Wydaje się też, że bazę kontaktów można potraktować jako tajemnicę przedsiębiorstwa, a zatem jej udostępnienie osobom postronnym można uznać za czyn nieuczciwej konkurencji, którego popełnienie również może wiązać się z sankcją karną. Zgodnie bowiem z art. 23 UZNK „Kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.
Wysłaliśmy i co dalej
Wyobraźmy sobie jednak, że omawiane tu działanie tj. wysłanie maila do wielu odbiorców nastąpiło przez pomyłkę, przypadkiem. Pracownik nie chciał naruszyć w ten sposób poufności danych osobowych, ani tajemnicy przedsiębiorstwa. Co wówczas można zrobić? W tym zakresie prawo oczywiście milczy, ale w moim przekonaniu warto, by firmy zadbały o procedurę postępowania w sprawach związanych z wyciekiem danych. Taka procedura może zakładać różne działania – od przeprosin czy propozycji jakiegoś drobnego zadośćuczynienia, skończywszy na zawiadomieniu organów ścigania o popełnieniu przestępstwa i postępowaniu dyscyplinarnym wobec sprawcy. Warto też pomyśleć wówczas o jakiś działaniach PR, które poprawią wizerunek firmy (o ile oczywiście tego typu sytuacja została ujawniona w mediach).
Rozporządzanie danymi
Na koniec zastanówmy się jeszcze, czy osoba, która otrzyma maila, w którym pojawiają się adresy do innych osób (nie zostały przez nadawcę ukryte) może nimi dowolnie rozporządzać. W świetle tego co zostało wskazane wyżej (adres e-mail jako dana osobowa) odpowiedź będzie negatywna. Żeby móc przetwarzać dane osobowe, muszą zostać spełniona przynajmniej jedna z przesłanek z art. 23 ust. 1 UODO, gdzie mowa jest m.in. o zgodzie na przetwarzanie danych albo usprawiedliwionym celu administratora danych. Wymieniam tylko te dwie, bo w zasadzie tylko one mogą być w omawianym przypadku brane pod uwagę. Co do zgody, sprawa jest oczywista – należy ją uzyskać w taki sposób, by wyrażający ją miał pełną świadomość tego na co się godzi. Jeśli chodzi o usprawiedliwiony cel administratora danych, to na pierwszy rzut oka wydaje się, że to łatwiejsza do spełnienia przesłanka niż zgoda – w końcu nie musimy się o nic nikogo pytać. Ale – tu uwaga – konieczne jest dopełnienie obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 UODO, czyli musimy przekazać osobie, której dane przetwarzamy pewien zestaw informacji, w tym w szczególności poinformować ją o źródle pozyskania danych, a także o tym, że ma prawo wnieść sprzeciw na przetwarzanie danych oraz możliwość żądania zaprzestania przetwarzania danych. Abstrahując od powyższego, wątpliwy jest w ogóle sam fakt zalegalizowania – poprzez działania wymagane UODO – bazy danych pozyskanej w drodze przestępstwa.