Na stronie Sony Mobile przez pewien czas dostępne były prywatne informacje części klientów. Sprawdzamy jakie konsekwencje może ponieść koncern.
O całej sprawie dowiedział się od czytelnika Spider’s Web i opisał ją w artykule w serwisie. Zachęcamy do lektury tamtejszego materiału w celu zapoznania się z technicznymi szczegółami, opisującymi jak konkretnie wyciekły dane oraz w jakiej formie były udostępniane. Na łamach Bezprawnik.pl skupimy się za to na aspekcie prawnym – podpowiemy czy i co według prawa mogą zrobić ci, których prywatność została naruszona.
Przybliżmy sprawę w telegraficznym skrócie – firma Sony postanowiła każdemu nabywcy smartfona Sony Xperia M4 Aqua ofiarować selfie stick, czyli kij z uchwytem na telefon ułatwiający robienie zdjęć z fotografem w roli głównej. W celu umożliwienia przesłania nagrody, konieczne jest jednak podanie kilku oczywistych danych osobowych, takich jak adres korespondencyjny i dowód zakupu sprzętu, który objęty jest promocją. Co ciekawe, niezbędne jest także podanie numeru PESEL.
Niestety, okazało się że system nie do końca działa tak, jak powinien. Mówiąc więcej – zepsuł się w miejscu, którego chyba nikt by nie podejrzewał. Pod polami formularza znajduje się odnośnik do regulaminu w formie pdf, na którego warunki trzeba się zgodzić, żeby wziąć udział w promocji. Jednak przez pewien czas kierował on nie do dokumentu, a do pliku, który zawierał dane setek klientów, którzy zdążyli przesłać zgłoszenia. Serwis Spider’s Web o całej sprawie poinformował przedstawicieli Sony Mobile, a usterka została naprawiona. Rodzi się jednak kilka pytań natury prawnej, na które spróbujemy odpowiedzieć.
Po pierwsze, co jest dość ciekawym zjawiskiem, opisywana historia pokazuje, że prawdopodobnie niewiele osób próbowało zapoznać się z regulaminem, którego akceptację zadeklarowali. Gdyby każdy z internautów przesyłających wniosek rzeczywiście klikał w odnośnik mający prowadzić do zbioru postanowień, sprawa pewnie szybciej wyszłaby na jaw przynajmniej w kilku źródłach.
Innym interesującym aspektem jest fakt, że postanowienia znalezione w formularzu nie są w stu procentach zgodne z tym, co prezentuje właśnie regulamin. Na stronie internetowej należy bowiem zaznaczyć pole „Wyrażam zgodę na przetwarzanie moich danych osobowych dla celów wysyłki, zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. Nr 101 z 2002 r., poz. 926 z późn. zm.)”, co świadczy o tym, że dane mają służyć jedynie celom wysyłki przedmiotu. Rodzi się jednak pytanie – skąd w takim wypadku konieczność podania PESEL? Prawdopodobnie stąd, że Sony zastrzega, że jedna osoba może odebrać tylko jeden selfie stick. Biorąc pod uwagę, że istnieje więcej, niż jedna osoba o tym samym imieniu i nazwisku, jest to rzeczywiście sprawniejszy system identyfikacji. Wszystko byłoby więc w porządku, gdyby nie dodatkowa informacja w regulaminie:
Dane osobowe Adresatów Akcji będą przetwarzane przez Administratora danych osobowych zgodnie z Ustawą do celów marketingowych i promocyjnych, o ile Adresat Akcji wyraził odpowiednią zgodę.
Jak widać, przy samych polach formularza nie było informacji o tym, że dane będą służyły do celów marketingowych. O tego typu praktykach w przeszłości krytycznie wypowiadał się m.in. UOKiK w kontekście wdrażania nowej ustawy o prawach konsumenta. Co więcej, o czym wspominaliśmy w osobnym artykule, nawet jeśli przez nieuwagę zgodzimy się np. na wysyłkę materiałów handlowych (jak spamu), zawsze możemy później cofnąć tą decyzję i pozbyć się napływu uciążliwych wiadomości.
Czy Sony złamało prawo? Sprawdziliśmy to i znaleźliśmy przynajmniej kilka artykułów, które można zastosować w tej sytuacji, a które nie zostały spełnione. Jak można się domyślić, najwięcej przykładów opisujących tego typu działania znajduje się w ustawie o ochronie danych osobowych. Poniżej pierwszy z nich:
Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą
Ten dość ogólny fragment (który w dalszej części zawiera także ustępy wyszczególniające odpowiednie przykłady) może być wzbogacony o art. 36, który konkretniej mówi o zapewnieniu warunków technicznych niezbędnych do zachowania bezpieczeństwa danych:
Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Czy w związku z tym, internauci mają prawo żądać odszkodowania/zadośćuczynienia od Sony? Jeśli mówimy tu o kwotach finansowych – jest to raczej wątpliwe, chyba że udałoby się udowodnić zaistnienie po naszej stronie szkody majątkowej lub krzywdy (np. psychicznej). Koncern może ponadto liczyć się z odpowiedzialnością karną i administracyjną, odpowiadając przed GIODO.
Co zatem można zrobić i jaka odpowiedzialność ciąży na Sony? Sprawę zdaje się rozstrzygać m.in. postanowienie kodeksu cywilnego:
Art. 24. § 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
Tak naprawdę, biorąc pod uwagę powyższe przepisy, Sony mogłoby ustosunkować się do żądań klientów zwyczajnie usuwając plik z danymi z publicznego dostępu. Firma jednak już to zrobiła, więc tak naprawdę nie ma podstaw do dalszych roszczeń, chyba że rzeczywiście komukolwiek w wyniku wycieku stała się krzywda. Kolejną instytucją mogącą wywrzeć wpływ na firmie nie pilnującej danych klientów jest Generalny Inspektor Ochrony Danych Osobowych. Jego rolę wskazuje ponownie ustawa o ochronie danych osobowych:
Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5) zabezpieczenie danych lub przekazanie ich innym podmiotom;
6) usunięcie danych osobowych.
Jak wynika z powyższego, wszelkie działania również mają na celu tylko „wycofanie z obiegu” danych, które dostały się do wiadomości publicznej. W ostateczności, jeśli klienci Sony chcieliby złożyć pozew zbiorowy, mieliby szansę jedynie na wyegzekwowanie kar wymienionych w art. 52 ustawy:
Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Z tej historii wynika, że nie należy ufać systemom informatycznym. Na swojej stronie internetowej, GIODO w wielu punktach przestrzega przed podawaniem swoich danych, zwłaszcza tych które nie są niezbędne – na przykład w serwisach społecznościowych. Warto także zapoznawać się z każdym regulaminem, na który zgadzamy się przy zawieraniu umów – także takich jak udział w rozmaitych promocjach. Bo choć np. przy włączaniu usług i pakietów danych w telefonach komórkowych niewiele osób czyta warunki ich użytkowania, to okazuje się że czasem warto poświęcić parę chwil i właśnie to zrobić.
Problemy z prywatnością, uważasz, że Twoje dane osobowy mogły zostać wykorzystane w niecny sposób, potrzebujesz pomocy prawnika? Z redakcją Bezprawnik.pl współpracuje zespół prawników specjalizujących się w poszczególnych dziedzinach, który solidnie, szybko i tanio pomoże rozwiązać Twój problem. Opisz go pod adresem e-mailowym kontakt@bezprawnik.pl, a otrzymasz bezpłatną wycenę rozwiązania sprawy.