Kilka miesięcy temu dostałem spam od pewnej agencji reklamowej. Tym razem nie odpuściłem. Efekt? Jeden z domów dziecka w Krakowie otrzymał darowiznę w wysokości 1 000 PLN. Poniżej opis całej historii. Mam nadzieję, że dzięki poniższym wskazówkom i Wam uda się pomóc kolejnym domom dziecka — kosztem spamujących Was osób.

Niezamówiona informacja handlowa, czyli spam

14 lipca otrzymałem e-maila zachęcającego mnie do rozpoczęcia współpracy z agencją reklamową X. E-mail jakich setki. “Zapraszamy do współpracy“, “nasza oferta to“… (nie wklejam, bo co drugie słowo należałoby wyciąć). Generalnie spam mało mnie interesuje i w ogóle na niego nie reaguje. Ten spam był jednak “wyjątkowy”. Agencja X wysłała go na e-mail, który podałem tyko raz w życiu, w systemie konkurencyjnej agencji reklamowej Y (tak, korzystam z unikalnych adresów e-mail do rejestracji w różnych serwisach, po to aby śledzić, z którego z nich wyciekają dane klientów. Masz GMaila? Sprawdź to).

O ile spam jestem w stanie podarować, to potencjalnej kradzieży moich danych osobowych nie podaruję. Odpisałem więc na spam pytaniem, skąd firma X posiada mój adres e-mail …i otrzymałem odpowiedź:

Pana e-mail posiadamy z bazy danych w internecie.

Na marginesie — uwielbiam takie odpowiedzi, podobnie jak kretyńskie stopki tego typu:

E-mail wysłany zgodnie z Ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. z 2002r, nr 144 poz. 1204 ustawy z dnia 18 lipca 2002 r.) oraz dyrektywą UOKiK: “Dopuszczalne jest przesłanie na adres e-mail pytania czy adresat zgadza się na otrzymywanie drogą elektroniczną informacji handlowej” – materiały z konferencji nt. Bezpieczeństwa w Sieci Internet, Warszawa 14 marca 2006.

…w e-mailach zawierających nie tylko zapytanie, ale i reklamę produktu oraz jego szczegółowy opis. Zresztą, od kiedy wypowiedź UKOiK na jakiejś konferencji jest traktowana jak ustanowione prawo?

Pański e-mail jest w internecie, serio!

Wracając do tematu. Poinformowałem spamera, że e-mail został użyty tylko raz, do rejestracji w serwisie firmy Y. Mój “problem” został eskalowany do biura obsługi klienta agencji X. Tam od samego pana prezesa dowiedziałem się, że:

Osoby przygotowujące lub kupujące bazy danych poszukiwały właścicieli witryn, blogów, for itp.Pana adres pojawia się wielokrotnie w internecie. Proszę sprawdzić wyniki: [link do google]. Jest on widoczny na forach, ale także był umieszczony na stronie [link do strony].

Pogratulowałem panu prezesowi umiejętności korzystania z Google — problem w tym, że pan prezes firmy X wyszukał w internecie nie adres, na który podesłał mi spam, a inny — ten, z którego rozpocząłem komunikacje e-mailową (dla ciekawskich, odpisałem z innego adresu świadomie).

Hipoteza: kradzież bazy byłego pracodawcy?

W międzyczasie sprawdziłem pana prezesa firmy X w serwisie GoldenLine …i trochę mnie zamurowało. Zanim otworzył firmę X pracował …w firmie Y. Na myśl od razu przyszło mi, że rozstając się z byłym pracodawcą, zabrał bazę klientów (działanie dość powszechne w IT) — dowodów jednak nie miałem.

Postanowiłem zatem poinformować firmę Y o możliwości wycieku/kradzieży ich bazy klientów. Zakładałem też, że firma Y mogła odsprzedać bazę klientów firmie X, co również byłoby działaniem niezgodnym z prawem — regulamin serwisu Y na to nie pozwalał. Dodałęm firmę Y do CC w e-mailu do firmy X, w którym poprosiłem, żeby przedstawiciele obu firm doszli do porozumienia, w jaki sposób mój e-mail przewędrował z jednej firmy do drugiej.

Oto fragment mojego e-maila:

Adres nie występuje nigdzie w publicznie dostępnym internecie i został użyty w jednie w serwisie Y. Albo uzyskaliście Państwo nieuprawniony dostęp do danych tego serwisu, albo jego właściciel złamał prawo, zbywając te dane dalej osobom trzecim (Państwu). Nie tylko z prywatnego, ale i z zawodowego punktu widzenia niezwykle interesuje mnie wyjaśnienie tej sytuacji. Przypominam, że zgodnie z art. 24 ustawy o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (Dz. U. Nr 144, poz. 1204), kto przesyła za pomocą środków komunikacji elektronicznej niezamówione informacje handlowe, podlega karze grzywny, a punkt 2 tego artykułu umożliwia mi dochodzenie swoich praw na drodze sądowej, co w obecnej chwili rozważam. Dlatego jeszcze raz, na mocy w/w ustawy, proszę o przedstawienie zgody, o której traktuje art. 10 pkt 2. lub podania danych osoby/firmy, która przekazała Państwu moje dane lub deklaracji, że nie posiadają Państwo takiej zgody i niezamówioną informację handlową z dn. 14.06.2011 wysłaliście Państwo z naruszeniem moich praw i bez mojej zgody.

Firma Y natychmiast odpowiedziała na e-maila, odcinając się od sprawy i prosząc firmę X o wyjaśnienia. Przyznała, że z firmą X prowadziła interesy i do tej pory nie miała do wspólnych działań żadnych zastrzeżeń.

Spamer zatrudnia prawnika

Firma X z kolei zaczęła się konsultować z prawnikiem oraz wysyłać sprzeczne infromacje co do tego, jak weszła w posiadanie mojego adresu e-mail. Pojawiły się następujące przyczyny:

“e-mail został omyłkowo wyciągnięty z raportu jaki firma Y przesyłała firmie X”

Niestety firma Y obaliła ten argument, twierdząc, że raporty zawierają jedynie dane licznowe dot. kampanii reklamowych i na pewno brak w nich adresów e-mail.

Następnie firma X doprecyzowałą, że e-mail został “wyciągnięty z komunikacji e-mailowej“:

w wyniku przeprowadzonej kontroli ustaliliśmy, że dana ta została udostępniona przez byłego pracownika firmy Y na bazie jego korespondencji, o czym wspomniałem podczas dzisiejszej rozmowy telefonicznej. Mając na uwadze dotychczasową współpracę z firmą Y zapewniam, iż ten przypadek był wyjątkowy i nastąpił bez mojej wiedzy i akceptacji.



Jednocześnie oswiadczam, iż osobą odpowiedzialną za tę sytuację zawarta została umowa, której przedmiotem było m.in. stworzenie bazy danych kontrahentów oraz przygotowanie ofert sprzedażowych. Tym samym X nie miała wiedzy na temat źródeł pochodzenia wykorzystywanych danych.

Poprosiłem zatem o dane pracownika odpowiedzialnego za “stworzenie bazy”, informując, że w takim razie swoich praw będę dochodzić od niego. Co ciekawe, spotkała mnie odpowiedź odmowna — oto powód:

Po analizie sytuacji i konsultacji prawnej z Kancelarią Adwokacką Z, biorąc pod uwagę, że dane, o które Pan prosi są danymi osobowymi, które jednoznacznie pozwolą na identyfikację osoby, oraz że osoba ta nie upoważniła nas do przetwarzania jej danych, nie możemy spełnić Pana prośby.

:-) Nie pozostało mi zatem nic innego jak pozwać X.

Idziemy do sądu

W e-mailu informującym o skierowaniu sprawy na drogę sądową wyraziłem chęć ugody:

W takim razie jestem zmuszony potraktować X jako instytucję odpowiedzialną za przesłanie na mój adres e-mail niezamówionej informacji handlowej (w tym nieuprawnione pozyskanie moich danych osobowych oraz bezpodstawne domniemanie zgody na przesłanie informacji handlowej) i swoje dalsze kroki prawne skierować przeciw X, licząc na to, że ewentualne straty jakie X poniesie z tego tytułu zostaną przez X odzyskane od winnej zaniedbań osoby na drodze odrębnego postępowania. Obawiam się również, że mój adres mógł zostać przekazany innym firmom. Czy mógłbym prosić o kontakt do Państwa kancelarii prawnej? To ułatwi dalsze działania. Oczywiście rozpatruję możliwość zawarcia ugody — jeśli i Pan rozważa taką opcję zakończenia naszego sporu, proszę o kontakt. Myślę, że jesteśmy w stanie wypracować kompromis bez konieczności stawiania się w sądzie.

Propozycja ugody spotkała się z akceptacją. Kolejny e-mail z mojej strony był już naświetleniem ugody:

Chociaż w mojej głowie do tej pory nie mieści się, jak ktoś mógł dopuścić się tak nieetycznego postępowania jak kradzież danych i fałszerstwo zgody na otrzymywanie informacji handlowych, nie sądzę że konieczna jest tu ingerencja sądu i wymierzenie kary, która będzie ciążyć na winowajcy (a raczej jego aktach) do końca życia. Moim celem jest jedynie upewnienie się, że winowajca zrozumiał swój błąd a także poniósł karę, która rekompensuje wyrządzone szkody. W związku z powyższym uważam, że wystarczającą karą dla Państwa (a konkretnie osoby, której dane Państwo zdecydowaliście chronić) będzie przekazanie darowizny o wysokości 1 000 złotych na konto dowolnie wybranego domu dziecka w Krakowie — to właśnie jest moja propozycja “zadośćuczynienia”, które pozwoli mi pomyśleć o tej przykrej sprawie, jak o czymś, z czego w końcu wynikło coś pozytywnego. Biorąc pod uwagę, że za samo tylko przesłanie niezaufanej informacji handlowej ustawodawca nakłada grzywnę do wysokości 5 tys. złotych, a dodatkowo art. 267 KK przewiduje grzywnę i karę ograniczenia wolności za nieuprawniony dostęp do informacji (kradzież danych oraz ich dystrybucja), myślę że kwota 1000 złotych jest rozsądną propozycją, adekwatną zarówno do poczynionych szkód, jak i z drugiej strony atrakcyjną w zestawieniu z potencjalnymi kosztami rozprawy oraz wysokością grzywien i kar pozbawienia wolności. W przypadku akceptacji powyższej propozycji ugody, fakt dokonania pieniężnego przelewu pocztowego, potwierdzony poprzez przesłanie na mój adres ostemplowanego oryginału pocztowego druku nadania przelewu w 100% wyczerpie moje obecne roszczenia wobec Państwa (czy też osoby, której dane Państwo zdecydowaliście chronić) związane z nielegalnym pozyskaniem moich danych osobowych oraz domniemaniem zgody na wysyłanie niezamówionych informacji handlowych na mój adres e-mail, a także potencjalnym ujawnieniem tych informacji innym osobom.

Potem przygotowaliśmy ugodę, spotkaliśmy się i podpisaliśmy.

Po kilku dniach, otrzymałem potwierdzenie przelewu. Kurtyna.

Morał

Z całej historii warto wyciągnąć następujące wnioski:

korzystanie z unikalnych e-maili pozwala odkryć pewne naruszenia

warto dochodzić swoich praw, ale nie warto szantażować. Nigdzie nie chciałem wykorzystać w/w sytuacji do wzbogacenia mojej osoby — darowizna na rzecz domu dziecka jest z mojego punktu widzenia “neutralną” nauczką.

Mam nadzieję, że powyższa historia będzie z jednej strony przestrogą dla tych, którzy idą na skróty (nielegalne pozyskiwanie adresów e-mail i rozsyłanie niezamówionych informacji handlowych), a z drugiej strony lekcją dla wszystkich internautów, że spamerzy nie są bezkarni i że macie możliwość walki (na marginesie, pokaźne archiwum dot. spamu można znaleźć u Vagli).

Na sam koniec nadmienię, że mam wielki szacunek do pana prezesa firmy X. Abstrahując od tego jak mój adres e-mail wpadł do bazy jego firmy, wierzę, że drugi raz podobna sytuacja nie będzie miała miejsca. Właściciel firmy X od początku starał się zrobić co w jego mocy, aby wyjaśnić sytuację, ani razu nie próbował wymigać się od odpowiedzialności, a do sprawy podszedł bardzo honorowo, wielokrotnie przepraszając i informując o wdrożeniu procedur, które maja wyeliminować tego typu sytuacje w przyszłości. To się chwali i tylko z tego powodu, mimo, że podpisane przez nas porozumienie nie posiadało klauzuli poufności, zdecydowałem się nie ujawniać ani nazwy firmy, ani danych właściciela.

P.S. Czy ktokolwiek w Polsce stanął przed sądem za spam?

Przeczytaj także: