Dziennik Internautów w pierwszej kolejności skontaktował się z przedstawicielem sklepu Morele.net. Marcin Raźny z Morele.net poinformował, że mail został wysłany omyłkowo (nie było w tym żadnej celowości) przez pracownika firmy. I to była książka adresowa jednego z pracowników. Na pytanie, czy ujawnione adresy e-mail należą do klientów sklepu, przedstawiciel Morele.net odpowiedział: to były adresy osób, które po prostu coś kiedyś do nas napisały na pewien adres (nasza baza klientów jest dużo większa i odpowiednio strzeżona).

Warto w tym miejscu odnotować, że zgodnie ze stanowiskiem GIODO adres poczty elektronicznej bez żadnych dodatkowych informacji umożliwiających ustalenie tożsamości osoby - co do zasady - nie stanowi danych osobowych (co innego, gdy towarzyszą mu imię i nazwisko właściciela adresu).

W wyjątkowych przypadkach, jeżeli elementy treści adresu poczty elektronicznej umożliwiają - bez nadmiernych kosztów, czasu lub działań - ustalić na ich podstawie tożsamość danej osoby, można go uznać za dane osobowe. Na przykład już z samego adresu jan.kowalski@di.com.pl możemy potencjalnie zidentyfikować osobę z imienia i nazwiska (a także dodatkowo poprzez ustalenie jej przypuszczalnego miejsca pracy). Adresów e-mail zawierających imię i nazwisko ich właścicieli było dosyć dużo w dostarczonej DI bazie, która wyciekła z Morele.net

Dziennik Internautów zwrócił na to uwagę przedstawicieli sklepu Morele.net, pytając, w jaki sposób zamierzają oni naprawić zaistniałą pomyłkę. Nie otrzymaliśmy żadnej odpowiedzi. Inaczej niż w przypadku podobnego wycieku z wydawnictwa Helion, o którym pisaliśmy w ubiegłym roku, sklep morele.net nie uznał za stosowne przeprosić osób, których adresy e-mail zostały ujawnione.

O opinię w tej sprawie Dziennik Internautów poprosił radcę prawnego Rafała Ciska, współpracownika Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (CBKE), twórcę serwisu prawa nowych technologii Nowemedia.org.pl.

Z przygotowanej przez niego analizy można się dowiedzieć, że zgodnie z przepisem art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U.02.101.926), administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Dotyczyć to będzie w szczególności tych adresów poczty elektronicznej, które będą spełniać wspomniane przesłanki uznania za daną osobową.

Ustawodawca nie podaje, jakie konkretnie środki mają być zastosowane przez administratora danych. Obowiązki administratora wynikają z postawionych mu zadań. Zadania te ujęte są bardzo szeroko i ogólnie: administrator ma - jak zaznaczono w komentowanym przepisie - zapewnić ochronę przetwarzanych danych osobowych. Tak ujęty obowiązek jest następnie uszczegółowiony w ten sposób, że wskazane zostały najistotniejsze zadania, polegające na zabezpieczeniu danych przed ich:

1. udostępnieniem osobom nieupoważnionym,
2. zabraniem przez osobę nieuprawnioną,
3. uszkodzeniem,
4. zniszczeniem,
5. zmianą,
6. utratą,
7. przetwarzaniem z naruszeniem ustawy.

Zadania te zrealizowane powinny być poprzez zastosowanie odpowiednich, należy przez to rozumieć: skutecznych, środków technicznych i organizacyjnych.

Niedochowanie obowiązków, statuowanych w komentowanym przepisie ustawy, prowadzić może do odpowiedzialności karnej (z art. 51 i 52). Jest na nią narażony ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępni je lub umożliwi do nich dostęp osobom nieupoważnionym; sankcją jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Wobec winy nieumyślnej zagrożenie pozbawienia wolności jest wówczas ograniczone do roku. Analogiczna kara przewidziana jest dla przypadku, gdy administrujący danymi narusza, choćby nieumyślnie, obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.

Na koniec należy zauważyć, iż jeżeli w wyniku nieuprawnionego udostępnienia przez administratora czyichś danych osobowych, określona osoba poniesie szkodę, może ona na ogólnych zasadach cywilnoprawnych (to jest art. 415 i n. kodeksu cywilnego – regulujących tzw. odpowiedzialność deliktową) dochodzić swoich roszczeń odszkodowawczych od administratora.

Aktualizacja

Firma Morele.net przesłała do redakcji Dziennika Internautów oświadczenie w powyższej sprawie (zamieściła je również w formie komentarza pod tekstem). Treść stanowiska Morele.net poniżej:

***

Firma Morele.net pragnie poinformować czytelników DI oraz użytkowników i klientów sklepu, iż sprawa nie została zbagatelizowana. Adresy e-mail oraz dane osobowe klientów sklepu są objęte właściwą ochroną i strzeżone przed nieuprawnionym dostępem oraz wyciekiem. Firma przykłada do tego wielką wagę.

Natomiast opisywana przez DI sytuacja była wynikiem zwykłego ludzkiego błędu popełnionego przez jednego z pracowników Morele.net, który nieumyślnie rozesłał wiadomość do wszystkich adresów, jakie posiadał w bazie swojego programu pocztowego. Należy dodać, że nie była to baza klientów sklepu, ale adresy współpracowników oraz użytkowników składających zapytania sprzętowe (zapytania nie wymagają podawania danych osobowych, tj. imię, nazwisko, adres, natomiast adres poczty elektronicznej bez żadnych dodatkowych informacji umożliwiających ustalenie tożsamości osoby, co do zasady nie stanowi danej osobowej).

Wszystkie osoby, które w tej sprawie złożyły zażalenia bezpośrednio do Morele.net, zostały przeproszone.

Firma Morele.net zdaje sobie sprawę, iż dla wielu odbiorców tej omyłkowej wiadomości, sytuacja mogła być niekomfortowa i stwarzać wrażenie niepożądanego wycieku danych, dlatego publicznie przepraszamy za nasz błąd.

Pomimo że zaistniała sytuacja nie spowodowała wycieku danych klientów firmy Morele.net potraktowała popełniony przez pracownika błąd bardzo poważnie. Wszyscy pracownicy zostali poinformowani o pomyłce i pouczeni co do konsekwencji takich wypadków. Dodatkowo firma wprowadziła nową wewnętrzną procedurę - dosyć uciążliwą dla handlowców - zakazującą przechowywania wszystkich danych adresowych w programach pocztowych i ograniczenia się jedynie do adresów niezbędnych w bieżącym wykonywaniu obowiązków.

Mamy nadzieję, że żadne wpadki nie będą już miały miejsca w naszej firmie i jeszcze raz przepraszamy odbiorców omyłkowego e-maila.

Morele.net

***