O całej sprawie dowiedział się od czytelnika Spider's Web i opisał ją w artykule w serwisie. Zachęcamy do lektury tamtejszego materiału w celu zapoznania się z technicznymi szczegółami, opisującymi jak konkretnie wyciekły dane oraz w jakiej formie były udostępniane. Na łamach Bezprawnik.pl skupimy się za to na aspekcie prawnym – podpowiemy czy i co według prawa mogą zrobić ci, których prywatność została naruszona.
Przybliżmy sprawę w telegraficznym skrócie – firma Sony postanowiła każdemu nabywcy smartfona Sony Xperia M4 Aqua ofiarować selfie stick, czyli kij z uchwytem na telefon ułatwiający robienie zdjęć z fotografem w roli głównej. W celu umożliwienia przesłania nagrody, konieczne jest jednak podanie kilku oczywistych danych osobowych, takich jak adres korespondencyjny i dowód zakupu sprzętu, który objęty jest promocją. Co ciekawe, niezbędne jest także podanie numeru PESEL.
Niestety, okazało się że system nie do końca działa tak, jak powinien. Mówiąc więcej – zepsuł się w miejscu, którego chyba nikt by nie podejrzewał. Pod polami formularza znajduje się odnośnik do regulaminu w formie pdf, na którego warunki trzeba się zgodzić, żeby wziąć udział w promocji. Jednak przez pewien czas kierował on nie do dokumentu, a do pliku, który zawierał dane setek klientów, którzy zdążyli przesłać zgłoszenia. Serwis Spider's Web o całej sprawie poinformował przedstawicieli Sony Mobile, a usterka została naprawiona. Rodzi się jednak kilka pytań natury prawnej, na które spróbujemy odpowiedzieć.
Sprawdź polecane oferty
RRSO 21,36%
Po pierwsze, co jest dość ciekawym zjawiskiem, opisywana historia pokazuje, że prawdopodobnie niewiele osób próbowało zapoznać się z regulaminem, którego akceptację zadeklarowali. Gdyby każdy z internautów przesyłających wniosek rzeczywiście klikał w odnośnik mający prowadzić do zbioru postanowień, sprawa pewnie szybciej wyszłaby na jaw przynajmniej w kilku źródłach.
Innym interesującym aspektem jest fakt, że postanowienia znalezione w formularzu nie są w stu procentach zgodne z tym, co prezentuje właśnie regulamin. Na stronie internetowej należy bowiem zaznaczyć pole „Wyrażam zgodę na przetwarzanie moich danych osobowych dla celów wysyłki, zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. Nr 101 z 2002 r., poz. 926 z późn. zm.)”, co świadczy o tym, że dane mają służyć jedynie celom wysyłki przedmiotu. Rodzi się jednak pytanie – skąd w takim wypadku konieczność podania PESEL? Prawdopodobnie stąd, że Sony zastrzega, że jedna osoba może odebrać tylko jeden selfie stick. Biorąc pod uwagę, że istnieje więcej, niż jedna osoba o tym samym imieniu i nazwisku, jest to rzeczywiście sprawniejszy system identyfikacji. Wszystko byłoby więc w porządku, gdyby nie dodatkowa informacja w regulaminie:
Jak widać, przy samych polach formularza nie było informacji o tym, że dane będą służyły do celów marketingowych. O tego typu praktykach w przeszłości krytycznie wypowiadał się m.in. UOKiK w kontekście wdrażania nowej ustawy o prawach konsumenta. Co więcej, o czym wspominaliśmy w osobnym artykule, nawet jeśli przez nieuwagę zgodzimy się np. na wysyłkę materiałów handlowych (jak spamu), zawsze możemy później cofnąć tą decyzję i pozbyć się napływu uciążliwych wiadomości.
Czy Sony złamało prawo? Sprawdziliśmy to i znaleźliśmy przynajmniej kilka artykułów, które można zastosować w tej sytuacji, a które nie zostały spełnione. Jak można się domyślić, najwięcej przykładów opisujących tego typu działania znajduje się w ustawie o ochronie danych osobowych. Poniżej pierwszy z nich:
Ten dość ogólny fragment (który w dalszej części zawiera także ustępy wyszczególniające odpowiednie przykłady) może być wzbogacony o art. 36, który konkretniej mówi o zapewnieniu warunków technicznych niezbędnych do zachowania bezpieczeństwa danych:
Czy w związku z tym, internauci mają prawo żądać odszkodowania/zadośćuczynienia od Sony? Jeśli mówimy tu o kwotach finansowych – jest to raczej wątpliwe, chyba że udałoby się udowodnić zaistnienie po naszej stronie szkody majątkowej lub krzywdy (np. psychicznej). Koncern może ponadto liczyć się z odpowiedzialnością karną i administracyjną, odpowiadając przed GIODO.
Co zatem można zrobić i jaka odpowiedzialność ciąży na Sony? Sprawę zdaje się rozstrzygać m.in. postanowienie kodeksu cywilnego:
Tak naprawdę, biorąc pod uwagę powyższe przepisy, Sony mogłoby ustosunkować się do żądań klientów zwyczajnie usuwając plik z danymi z publicznego dostępu. Firma jednak już to zrobiła, więc tak naprawdę nie ma podstaw do dalszych roszczeń, chyba że rzeczywiście komukolwiek w wyniku wycieku stała się krzywda. Kolejną instytucją mogącą wywrzeć wpływ na firmie nie pilnującej danych klientów jest Generalny Inspektor Ochrony Danych Osobowych. Jego rolę wskazuje ponownie ustawa o ochronie danych osobowych:
Jak wynika z powyższego, wszelkie działania również mają na celu tylko „wycofanie z obiegu” danych, które dostały się do wiadomości publicznej. W ostateczności, jeśli klienci Sony chcieliby złożyć pozew zbiorowy, mieliby szansę jedynie na wyegzekwowanie kar wymienionych w art. 52 ustawy:
Z tej historii wynika, że nie należy ufać systemom informatycznym. Na swojej stronie internetowej, GIODO w wielu punktach przestrzega przed podawaniem swoich danych, zwłaszcza tych które nie są niezbędne – na przykład w serwisach społecznościowych. Warto także zapoznawać się z każdym regulaminem, na który zgadzamy się przy zawieraniu umów – także takich jak udział w rozmaitych promocjach. Bo choć np. przy włączaniu usług i pakietów danych w telefonach komórkowych niewiele osób czyta warunki ich użytkowania, to okazuje się że czasem warto poświęcić parę chwil i właśnie to zrobić.
Problemy z prywatnością, uważasz, że Twoje dane osobowy mogły zostać wykorzystane w niecny sposób, potrzebujesz pomocy prawnika? Z redakcją Bezprawnik.pl współpracuje zespół prawników specjalizujących się w poszczególnych dziedzinach, który solidnie, szybko i tanio pomoże rozwiązać Twój problem. Opisz go pod adresem e-mailowym [email protected], a otrzymasz bezpłatną wycenę rozwiązania sprawy.
