Każdy przedsiębiorca zdaje sobie sprawę z tego jak cenna bywa tajemnica przedsiębiorstwa. Jej ujawnienie może prowadzić do poważnych problemów, zwłaszcza, gdy dotyczy jednocześnie danych osobowych klientów przedsiębiorcy. Incydenty wycieku danych przedsiębiorstwa i naruszeń związanych z przetwarzaniem danych osobowych co jakiś czas pojawiają się w mediach, obrazując, że problem ten – pomimo wysiłków ustawodawcy – jest stale obecny. Jednocześnie utrata lub po prostu ujawnienie danych osobowych klientów zawsze nastręcza przedsiębiorcy poważnych problemów: począwszy od utraty renomy, nadszarpnięcia wizerunku, poprzez utratę zrażonej klienteli, na uniemożliwieniu prowadzenia działalności skończywszy.
Jeszcze nie tak dawno głośno było w Polsce o wejściu w życie tzw. Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Przepisy te zaczęły w Polsce obowiązywać z końcem maja 2018 r. i mają na celu wzmożoną ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych i przepływu takich danych. RODO wprowadziło szereg zmian w zasadach ochrony danych osobowych, rozszerzając zakres obowiązków podmiotów przetwarzających dane osobowe.
Co prawda zagadnienie, z którym klient zgłosił się w celu udzielenia mu wsparcia, zaistniało w okresie sprzed obowiązywania RODO, to jednak i wówczas prawo przewidywało określone wymogi dla podmiotów przetwarzających dane osobowe i kary dla osób je naruszających, włącznie z odpowiedzialnością karną. Dziś – za sprawą RODO – ochrona jest jeszcze silniejsza, a sankcje surowsze.
Kiedy podwykonawcy bezczelnie wymykają się spod kontroli
W omawianym przypadku klient, duża firma z branży telekomunikacyjnej, padł ofiarą własnych podwykonawców, którzy przetwarzali dane osobowe jego klientów (abonentów). Wymaga podkreślenia, że nieodłącznym elementem prowadzenia działalności biznesowej przez wspomnianą firmę telekomunikacyjną było gromadzenie i przetwarzanie ogromnej ilości danych osobowych swoich klientów, co odbywało się z poszanowaniem zasad zawartych m.in. w Ustawie o ochronie danych osobowych.
Przyjęty przez klienta model biznesowy zakładał, że nie tylko obsługa dotychczasowych klientów (abonentów), ale i pozyskiwanie kolejnych, odbywać się będzie dwutorowo: za pomocą pracowników własnych klienta oraz firm zewnętrznych – podwykonawców – specjalizujących się w tego rodzaju działalności (agentów). Firmy zewnętrzne, o których tu mowa, przybierały najróżniejsze formy, od spółek kapitałowych począwszy, po osoby fizyczne prowadzące jednoosobową działalność gospodarczą. Co istotne w kontekście dalszych działań podjętych na gruncie prawa karnego, klient zawsze pozostawał skrupulatny jeżeli chodzi o przestrzeganie przepisów o ochronie danych osobowych.
Poza zapewnieniem standardowej dokumentacji ochrony danych osobowych (np. polityką bezpieczeństwa), firma zabezpieczała interes swoich abonentów także poprzez zamieszczanie w umowach z zewnętrznymi podwykonawcami postanowień zobowiązujących do niewykorzystywania i nieujawniania danych osobowych w sprawach niezwiązanych z działalnością biznesową klienta. Ponadto, po rozwiązaniu umów, podmioty te zobowiązane były do zwrotu nośników danych oraz zniszczenia wszelkiej dokumentacji będącej nośnikiem danych osobowych.
Na tropie przestępczego zjawiska
Wkrótce okazało się, że do klienta zaczęli zgłaszać się abonenci ze skargami na naruszenie danych osobowych. Jak ustalono, do klientów firmy telekomunikacyjnej zgłaszały się bliżej niezidentyfikowane osoby, które – znając dokładne parametry dotychczasowych umów abonentów – oferowały im znacznie korzystniejsze warunki świadczenia usług przez konkurencyjną spółkę telekomunikacyjną. Ta specyficznie pojmowana „akwizycja” przybierała niekiedy dość bezpardonową postać: określone osoby udawały się bowiem bezpośrednio do miejsc zamieszkania abonentów, informowały o znajomości ich personaliów i kształtu zawartych umów, a także o końcu obowiązywania umowy lub nadchodzących zmianach w regulaminie, co umożliwiało rozwiązanie umów bez narażania się na kary umowne. Następnie w sposób natarczywy, czy wręcz agresywny, namawiały do zmiany usługodawcy telekomunikacyjnego. Abonenci firmy telekomunikacyjnej wiele z takich naruszeń zgłaszali do klienta – za pośrednictwem biura obsługi – co było skrzętnie rejestrowane. Wkrótce powstał cały wykaz takich naruszeń.
Naruszenia w przetwarzaniu danych osobowych
Przeprowadzenie wewnętrznego dochodzenia u klienta pozwoliło na ustalenie, że do procederu naruszeń danych osobowych dochodziło w ściśle określonych rejonach, które powiązane były z działalnością agentów firmy. Wkrótce okazało się również, że duża część tych agentów zerwała współpracę z klientem i nawiązała współpracę z inna firmą telekomunikacyjną. Tak się (nie)szczęśliwie złożyło, że abonentów klienta namawiano do nawiązania współpracy z tą samą firmą telekomunikacyjną, z którą współpracę nawiązali dotychczasowi agenci klienta.
Dodać należy, że wszystkie osoby, które u klienta zajmowały się m.in. pozyskiwaniem nowych klientów lub obsługą ich umów, dysponowały dostępem do części systemu informatycznego, w którym znajdowała się baza danych abonentów. Zgodnie jednak z ustawą, a także nałożonymi na agentów umownymi zobowiązaniami, nie byli oni uprawnieni do przetwarzania (wykorzystywania) tych danych osobowych, a wręcz byli zobowiązani do ich niewykorzystywania w jakiejkolwiek działalności gospodarczej innej niż działalność klienta (z którym współpracę zakończyli).
Klient regularnie rejestrował coraz większą liczbę zgłoszeń ze strony swoich niezadowolonych abonentów, część z nich zresztą utracił.
Co więcej, w mediach zaczęły pojawiać się informacje o nieprzestrzeganiu przez firmę telekomunikacyjną zasad ochrony danych osobowych; zaczęły się także pojawiać głosy o „dziurawym” systemie zabezpieczeń, a w konsekwencji wizerunek klienta został mocno nadszarpnięty.
W reakcji na rozpętany kryzys wizerunkowy
Firma telekomunikacyjna niewątpliwie znalazła się w sytuacji kryzysowej i należało postawić pytanie o możliwość szybkiej reakcji na zaistniały problem.
Naturalnie możliwe było wytoczenie powództw przed sądami cywilnymi (co i tak się stało), lecz nie była to ochrona natychmiastowa. Weźmy pod uwagę, że – wbrew doniesieniom medialnym – po stronie klienta wcale nie doszło do jakichkolwiek zaniedbań w zakresie ochrony danych osobowych. Jak już wspomniałem wcześniej, było wręcz przeciwnie: firma telekomunikacyjna zabezpieczyła interes swoich abonentów między innymi stosownymi zapisami w umowach z agentami. Ogół tych okoliczności pozwolił na podjęcie próby pociągnięcia sprawców do odpowiedzialności karnej.
Prawo karne dysponuje bowiem bardziej ofensywnymi środkami ochrony przed przedstawionymi działaniami agentów. W Kodeksie karnym istnieje cały rozdział dotyczący przestępstw przeciwko ochronie informacji, a odpowiednie przepisy karne zawierała Ustawa o ochronie danych osobowych (Ustawa ta w obecnym brzmieniu także zawiera analogiczne unormowania). W związku z powyższym podjęto decyzję o zawiadomieniu organów ścigania o możliwości popełnienia przestępstw (np. z art. 266 k.k. czy też dawnego art. 49 Ustawy o ochronie danych osobowych odpowiadającego obecnemu art. 107 tej ustawy).
Rozpoczęte postępowanie przygotowawcze prowadzone przez policję pod nadzorem prokuratury szybko pozwoliło na ujawnienie kolejnych, nowych z punktu widzenia interesów klienta, okoliczności. Organy ścigania, przy aktywnym wsparciu ze strony pokrzywdzonego (klienta), ujawniły bowiem, że przestępczy proceder dotyczący nielegalnego wykorzystywania danych osobowych ma szerszy zasięg niż się dotychczas spodziewano.
Było do przewidzenia, że wielu świadków potwierdzi naruszanie przez agentów przepisów o ochronie danych osobowych, która w przedstawionych realiach była działalnością przestępczą. Nie przypuszczano jednak, że w rzeczywistości sprawcy stworzyli pewnego rodzaju „call center”, w którym masowo wykorzystywali dane osobowe abonentów. Działalność ta była w wysokim stopniu zorganizowana.
Nalot na siedzibę szajki
Choć budynek, w którym mieściło się to „centrum” nie był w żaden sposób oznaczony, to pracownicy dysponowali przystosowanymi stanowiskami do wykonywania połączeń telefonicznych, a „akwizytorzy” w pozyskiwali tam listy ze szczegółowymi danymi abonentów. Nawet osoby pracujące w tej specyficznej placówce niejednokrotnie nie znały źródła pochodzenia tych danych, wskazując, że otrzymywali je od przełożonych. Jak się też wkrótce okazało, do „call center” spływały bazy danych nabyte od osób takich jak agenci.
Z inicjatywy pokrzywdzonego w postępowaniu przygotowawczym (klienta) doprowadzono do przeszukania w siedzibie tego nielegalnego „call center”, zabezpieczenia danych informatycznych, dysków twardych, laptopów i innych nośników danych. Wkrótce szereg osób usłyszało zarzuty, które dotyczyły nie tylko przetwarzania danych osobowych w sposób nieuprawniony i z naruszeniem przepisów o ochronie tych danych, ale także zarzuty obejmujące ujawnianie i wykorzystywanie informacji, co do których sprawcy byli zobowiązani do jej niewykorzystywania, a także bezprawnego podłączania się do sieci telekomunikacyjnej.
Takie działania spowodowały, że zbudowany przez sprawców„domek z kart”, rozsypał się. W środowisku agentów zapanowała panika, przestępczy proceder w popłochu został zakończony, jeszcze na etapie postępowania przygotowawczego. Jednocześnie część sprawców, której przedstawiono zarzuty, zdecydowała się na uzgodnienie warunków poniesienia odpowiedzialności karnej z prokuratorem, składając jednocześnie obciążające pozostałych współsprawców wyjaśnienia. Oczywiście wieść o takim obrocie sprawy szybko rozeszła się także w mediach, co nie tylko poprawiło wizerunek klienta w oczach opinii publicznej i oczyściło go z zarzutów, ale unaoczniło, że firma telekomunikacyjna stała się ofiarą przestępców handlujących danymi osobowymi, a sprawcy procederu już usłyszeli zarzuty. Taki przekaz zadziałał także prewencyjnie: wysłano wszakże jasny sygnał, że tego typu proceder nie będzie tolerowany, a sprawcy będą konsekwentnie pociągani do odpowiedzialności karnej. Zaznaczyć warto, że wyroki skazujące dla sprawców omawianych przestępstw są dziś prawomocne.
Przedstawiona historia obrazuje jak istotne jest przestrzeganie zasad ochrony danych osobowych, co nie tylko zabezpiecza dobra prawne osób, których dane te dotyczą i chroni podmiot przetwarzający te dane przed odpowiedzialnością (w tym o charakterze karnym), ale także pozwala uruchomić organy ścigania w celu pociągnięcia potencjalnych sprawców do odpowiedzialności karnej.