Czy informacja o możliwym wycieku danych osobowych jest czynem nieuczciwej konkurencji?

Dzisiejszy wątek może nie do końca ma związek z hockami-klockami z Petyą, ale zawsze może komuś się przydać: czy przekazanie użytkownikom serwisu internetowego informacji o wycieku danych osobowych — przez partnera, który właściwie już nie jest partnerem — stanowi czyn nieuczciwej konkurencji? I czy ów ex-partner może przetwarzać dane osobowe użytkowników w celu wysłania mailingu o możliwych zagrożeniach? (wyrok Sądu Apelacyjnego w Poznaniu z 5 grudnia 2013 r., sygn. akt I ACa 922/13).

Spór dotyczył prowadzenia klubu zakupowego: w 2009 r. hiszpańska spółka (strona pozwana) porozumiała się z holenderskim partnerem, razem powołali w Polsce spółkę z o.o. (powódka). Równocześnie zawarto umowę, na podstawie której Hiszpanie uzyskali od polskiej sp. z o.o. licencję na oprogramowanie służące do utrzymania i obsługi serwisu internetowego, a także stali się procesorem danych osobowych (zobowiązując się do do przedsięwzięcia technicznych i organizacyjnych środków w celu zapewnienia właściwej ochrony zbioru danych powoda, art. 36-39 uoodo).

Niecałe dwa lata później partnerzy postanowili się rozstać: ustalono, że pozwana spółka zwróci wszystkie dane dotyczące użytkowników serwisu internetowego (oczywiście nie zostawiając sobie żadnych kopii), a ponadto zaprzestanie prowadzenia działalności z użyciem znaków towarowych i stron internetowych nawiązujących do nazwy polskiego serwisu.

Niestety na kilkanaście dni przed ostatecznym przekazaniem danych serwery pozwanej zostały zaatakowane przez hakerów, doszło do nieautoryzowanego dostępu do niektórych informacji zgromadzonych na serwerach (imion i nazwisk klientów, ich adresów e-mail, adresów wysyłki, dat urodzin, numerów telefonu oraz chronionego hasła). Po aktualizacji oprogramowania hiszpański usługodawca wprowadził wymóg zmiany haseł dostępowych i zmienił politykę w zakresie tworzenia samych haseł — zaś w wiadomościach do użytkowników prosił o zalogowanie się celem zmiany danych dostępowych.

W odpowiedzi polska spółka wezwała Hiszpanów do niezwłocznego zaprzestania wysyłania mailingów do użytkowników serwisu oraz poinformowania o zakresie wycieku danych użytkowników, aby po kilku miesiącach wystąpić z wezwaniem do zaprzestania czynów nieuczciwej konkurencji — „wszystkich działań powiązanych z bazą danych osobowych spółki” (w szczególności: publikacji jakichkolwiek informacji odnoszących się do serwisu, wysyłania listeli do użytkowników, zaprzestania posługiwania się oznaczeniem serwisu oraz zaprzestania wykorzystywania danych osobowych użytkowników serwisu).
Zdaniem powoda takie działania oznaczały m.in. naruszenie tajemnicy przedsiębiorstwa (art. 11 ust. 1 uoznk), nakłanianie klientów do rozwiązania umowy (art. 12 uoznk) oraz utrudnianie dostępu do rynku (art. 15 uoznk).

Sąd prawomocnie oddalił roszczenia: czynem nieuczciwej konkurencji jest każde działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta (art. 3 uoznk).
W doktrynie panuje jednak dwugłos — istnieje pogląd, iż jeśli działanie przedsiębiorcy wyczerpuje znamiona czynów opisanych w przepisach szczególnych (art. 5-17e ustawy o zwalczaniu nieuczciwej konkurencji), to wykluczone jest sięganie do klauzuli generalnej. Pogląd przeciwny zakłada, że klauzula generalna pełni funkcję korygującą — czyli nie ma czynu nieuczciwej konkurencji bez łącznego spełnienia obu warunków (tj. art. 3 uoznk jako „bazy” i jakiegoś przepisu z rozdziału 2 jako „uzupełnienia”).

Zdaniem sądu przedsiębiorca nie ponosi odpowiedzialności za działanie, które nie odpowiada obu warunkom kumulatywnie — skoro zatem działanie strony pozwanej nie było sprzeczne z prawem lub dobrymi obyczajami, to niezależnie od tego, iż może odpowiadać zakresem „wyliczance”, nie można zarzucać czynu nieuczciwej konkurencji.

Pozwana była uprawniona do przetwarzania danych osobowych użytkowników serwisu ze względu na ochronę ich żywotnego interesu (art. 23 ust. 3 uoodo) — dyrektywa ta bierze górę nad prawem do zachowania danych w poufności — zatem miała prawo przetwarzać dane osobowe użytkowników w celu poinformowania ich o zagrożeniach. Treść rozsyłanych wiadomości w żaden sposób nie zagrażały interesom powoda — wszystkie działania Hiszpanów zmierzały raczej do przeciwdziałania podobnym zdarzeniom w przyszłości. Działania te stanowiły niezbędną formę ochrony danych przed ich przejęciem, zatem nie stanowiły czynu nieuczciwej konkurencji.

Q.E.D.

2
Dodaj komentarz

avatar
1 Comment threads
1 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
Grzegorz Szczepanik
Gość
Grzegorz Szczepanik

W temacie Ransomware (jak już nawiązałeś), zastanawiam się czy zapłacenie okupu będzie legalne? Chodzi mi np. o treść artk 299 kk. (pomijam tutaj, zupełnie inne zagadnienie, jak to zaksięgować?)

Olgierd Rudak
Gość

Nic nie wiem o księgowaniu haraczu :) Ponoć są kraje, w których nawet łapówka jest kosztem podatkowym, ale to nie w Polsce.