"Ładne kwiatki" dla kilkuset klientów Citibanku

Ów niefortunny newsletter, zatytułowany figlarnie "Wyślij kwiatki na dzień Matki" (zawierał bowiem ofertę przesłania kwiatów z okazji zbliżającego się Dnia Matki) rozesłany został w poniedziałek po południu - jakież musiało być zdziwienie jego adresatów, gdy pod adresem nadawcy wiadomości zobaczyli adresy e-mailowe innych osób, do których ów e-mail został rozesłany. I to nie tylko adresy - w niektórych przypadkach również numery ich telefonów komórkowych.

Z nieoficjalnych cenników baz teleadresowych wynika, że firmy zajmujące się rozsyłaniem wiadomości reklamowych do internautów są skłonne zapłacić od 1 do 2 zł za jeden adres e-mail. Jako, że adresów w owym nagłówku było blisko 500, to można przypuścić, że na nieostrożności pracowników CitiBanku można by zarobić nawet 1000 zł (nie licząc, rzecz jasna, kilkudziesięciu numerów telefonów komórkowych). Z informacji opublikowanych na stronie internetowej (http://citibank1.fm.interia.pl/ ), założonej przez jednego z urażonych klientów CitiBanku, wynika, że do osób, których adresy znalazły się w owym nagłówku, zaczęły już docierać pierwsze e-maile reklamowe.

"Rzeczywiście, doszło do takiej nieprzyjemnej sytuacji", powiedziała nam Iwona Ryniewicz, dyrektor biura PR Citibanku. "To błąd jednego z naszych pracowników, który pomylił się podczas wysyłania jednej z transzy newsletterów - należy bowiem zaznaczyć, że e-maile zawierające ów błąd otrzymała jedynie część subskrybentów" - dodaje I. Ryniewicz - "Jest nam z tego powodu niezmiernie przykro, dlatego też przygotowaliśmy list z przeprosinami, który jest już rozsyłany do naszych klientów. Ze swojej strony mogę zapewnić, że podjęte zostały już wszelkie kroki, mogące spowodować, że takie zdarzenie w przyszłości nie powtórzy się."

GIODO na to...

Zdaniem Małgorzaty Kałużyńskiej-Jasak, rzeczniczki Generalnego Inspektora Ochrony Danych Osobowych, kwestię tę należy rozpatrywać na gruncie ustawy z dnia 18 lipca 2002 roku, o świadczeniu usług drogą elektroniczną. Zgodnie z treścią art.7 ust1 pkt a. powołanej ustawy "usługodawca zapewnia działanie systemu teleinformatycznego, którym się posługuje, umożliwiając nieodpłatnie usługobiorcy w razie, gdy wymaga tego właściwość usługi korzystanie przez usługobiorcę z usługi świadczonej drogą elektroniczną, w sposób uniemożliwiający dostęp osób nieuprawnionych do treści przekazu składającego się na tę usługę, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi."

Ponieważ ww. ustawa nie zawiera przepisów karnych za niedopełnienie tego obowiązku, stąd w przypadku naruszenia powołanego art. 7 yst.1 pkt a), będą miały zastosowanie przepisy karne ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych . Teoretycznie więc (p. Kałużyńska-Jasak zastrzega bowiem, że nie zna sprawy dokładnie i usłyszała o niej od nas) taka sytuacja mogłaby zostać zakwalifikowana jako naruszenie obowiązku zabezpieczenia danych osobowych, co odpowiada przepisom karnym ustawy a konkretnie art. 51 lub 52 w zależności od przyjętej przez organy ścigania kwalifikacji prawnej czynu. Odpowiedź jednak na pytanie czy administrator (czyli w omawianym przypadku bank) naruszył przepisy prawa czy nie, jest możliwa po dokładnym zbadaniu sprawy. Osoby, które uważają, że prawo zostało złamane powinny zwrócić się do banku i instytucji nadzorujących jego działalność (Nadzór Bankowy. Związek Banków Polskich). Skargę można również złożyć do Generalnego Inspektora Ochrony Danych Osobowych.