Omyłkowe udostępnienie danych osobowych w e-mailu - jak zareagować w świetle RODO

Nieumiejętne posługiwanie się pocztą elektroniczną może bowiem prowadzić do naruszeń ochrony danych osobowych i grozić poważnymi konsekwencjami prawnymi. Dlatego każdy ADO ma obowiązek wdrożenia odpowiednich środków bezpieczeństwa danych osobowych, odpowiednio do poziomu do ryzyka ich naruszenia. Środki te, w szczególności techniczne i organizacyjne powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także stan wiedzy technicznej i koszty wdrażania. Muszą one być również zgodne wynikającymi z przepisów RODO zasadami uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default).

Oczywiste jest, że administrator danych osobowych powinien zapewnić skrupulatne sprawdzanie adresatów wiadomości e-mail. Ponadto przy wysyłce masowej pracownicy powinni otrzymać polecenie korzystania z opcji pozwalającej na ukrywanie adresów mailowych odbiorców wiadomości. Dzięki temu mogą oni udostępniać dane osobowe uprawnionym odbiorcom.

Nawet najlepsze zabezpieczenia nie wykluczą jednak w 100% możliwości popełnienia błędu skutkującego naruszeniem ochrony danych osobowych. Za takie naruszenie jest bowiem uznawane nawet przypadkowe nieuprawnione ujawnienie danych osobowych (art. 4 pkt 12 RODO).

W przypadku naruszenia ochrony danych osobowych poprzez błąd przy wysyłce korespondencji e-mail należy w pierwszej kolejności wyjaśnić wszystkie okoliczności związane z incydentem, a także ustalić jakie dane osobowe, w jakim zakresie i komu zostały udostępnione. Incydent powinien zostać ujawniony w wewnętrznym rejestrze naruszeń ochrony danych osobowych, do prowadzenia którego zobligowany jest każdy administrator danych.

Następnie administrator danych osobowych powinien dokonać oceny poziomu wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności od wyniku dokonanej oceny, a mianowicie stwierdzonego określonego poziomu ryzyka naruszenia (niski, średni, wysoki) administrator powinien dobrać kroki prawne przewidziane w RODO w stosunku do Prezesa Urzędu Ochrony Danych Osobowych, jak i osób, których dane dotyczą.

Jeżeli w wyniku opisanych wyżej działań administrator ustali, że pomimo incydentu ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, wówczas nie musi dokonywać zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ani informować o tym naruszeniu osób, których dane dotyczą.

Z kolei w przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych administrator przyjmuje, że doszło do naruszenia ochrony danych. W takim przypadku musi on zgłosić naruszenie ochrony danych Prezesowi UODO. - nie później niż w terminie 72 godzin zgłosił fakt naruszenia właściwemu organowi nadzorczemu (art. 33 RODO).

Wreszcie w razie stwierdzenia incydentu, który może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, administrator musi nie tylko zawiadomić Prezesa UODO, ale także poinformować podmiot danych o naruszeniu, chyba że podjął działania prewencyjne przed zaistnieniem naruszenia, działania zaradcze po wystąpieniu naruszenia lub zawiadomienie podmiotu danych wymagałoby niewspółmiernie dużego wysiłku (w tym ostatnim przypadku konieczny jest publiczny komunikat o zaistniałym naruszeniu) – art. 34 RODO.