Przypadkowo ujawniłeś dane osobowe w mailu? Sprawdź jak zareagować.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 6 września 2018
Skrzynka Gmail

Korzystając z poczty elektronicznej można bardzo łatwo popełnić błąd polegający na ujawnieniu adresów mailowych albo zawartości wiadomości osobom nieupoważnionym. Już bowiem sam adres e-mail może stanowić dane osobowe. Niewątpliwie dochodzi wówczas do naruszenia ochrony danych osobowych. Zobacz, jak postąpić w tej trudnej sytuacji.

Środki ochronne adekwatne do ryzyka naruszenia

Truizmem jest stwierdzenie, iż administrator danych osobowych powinien dbać o skrupulatne sprawdzanie adresatów wiadomości e-mail i przy wysyłce masowej korzystanie z opcji pozwalającej na ukrywanie adresów mailowych odbiorców wiadomości. Nieumiejętne posługiwanie się pocztą elektroniczną może bowiem prowadzić do naruszeń ochrony danych osobowych i grozić poważnymi konsekwencjami prawnymi. Każdy ADO ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu skutecznej ochrony danych osobowych, odpowiedniej w stosunku do ryzyka ich naruszenia. Środki te powinny w szczególności uwzględniać charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także stan wiedzy technicznej i koszty wdrażania. Muszą one być również zgodne z regułą uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz z zasadą domyślnej ochrony danych (privacy by default) – art. 32 RODO.

Z uwagi na powyższe pracownicy administratora danych osobowych biorący udział w procesach przetwarzania danych (w tym również w przesyłaniu korespondencji elektronicznej) powinni być wyposażeni w jednoznaczne procedury z zakresu ochrony danych, w szczególności dotyczące korzystania ze sprzętu komputerowego i poczty elektronicznej.

Przypadkowe ujawnienie danych to naruszenie przepisów

Nawet najlepsze zabezpieczenia nie wykluczą jednak w 100% możliwości popełnienia błędu skutkującego naruszeniem ochrony danych osobowych. Za takie naruszenie jest bowiem uznawane nawet przypadkowe nieuprawnione ujawnienie danych osobowych (art. 4 pkt 12 RODO).

Przykład

W przypadku korzystania z poczty elektronicznej dwa najczęściej występujące incydenty związane z naruszeniem ochrony danych to nieprawidłowe zaadresowanie wiadomości e-mail oraz nieukrycie odbiorców wiadomości przy wysyłce masowej. W obu przypadkach może dojść do ujawnienia danych osobowych osobom nieupoważnionym np. zawartych w treści maila  (np. danych kontrahentów), jak również przez fakt ujawnienia adresów e-mail będących danymi osobowymi pozostałym odbiorcom wiadomości.

W razie naruszenia należy je zidentyfikować …

W przypadku naruszenia ochrony danych osobowych poprzez błąd przy wysyłce korespondencji e-mail należy w pierwszej kolejności wyjaśnić wszystkie okoliczności związane z naruszeniem, a także ustalić jakie dane osobowe, w jakim zakresie i komu zostały udostępnione. Incydent powinien zostać ujawniony w wewnętrznym rejestrze naruszeń ochrony danych osobowych, do prowadzenia którego zobligowany jest każdy administrator danych.

… i ocenić ryzyko naruszenia

Następnie administrator danych osobowych powinien dokonać oceny poziomu wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności od wyniku dokonanej oceny,, a mianowicie stwierdzonego określonego poziomu ryzyka naruszenia (niski, średni, wysoki) administrator powinien dobrać kroki prawne przewidziane w RODO w stosunku do organu nadzorczego, jak i osób, których dane dotyczą. Natomiast niezależnie od ustalonego poziomu ryzyka ADO musi podjąć działania zaradcze, których celem powinno być ograniczenie ryzyka wystąpienia podobnych incydentów na przyszłość.

Zgłoszenie nie zawsze konieczne

Jeżeli w wyniku opisanych wyżej działań administrator ustali, że pomimo incydentu ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, wówczas nie musi zgłaszać naruszenia Prezesowi Urzędu Ochrony Danych Osobowych ani informować o tym naruszeniu osób, których dane dotyczą.

Przykład

Wiadomość e-mail z nieukrytymi odbiorcami wiadomości trafił do kilku znanych administratorowi danych odbiorców, z którymi pozostaje on w stałych kontaktach. Wiadomość zawierała jedynie adresy mailowe odbiorców (a zatem ich dane podstawowe) i dotyczył np. zdarzenia, zadania, w którym osoby te biorą udział lub razem współpracują.  Jest to wprawdzie naruszenie ochrony danych, ale nacechowane niskim ryzykiem, dlatego nie ma konieczności zgłaszać go do Prezesa UODO ani informować o nim podmiotów danych.

Z kolei w przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych, administrator powinien zgłosić naruszenie ochrony danych Prezesowi UODO. - nie później niż w terminie 72 godzin zgłosił fakt naruszenia właściwemu organowi nadzorczemu (art. 33 RODO)

Wreszcie w razie stwierdzenia incydentu, który może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, administrator musi nie tylko zawiadomić Prezesa UODO, ale także poinformować podmiot danych o naruszeniu, chyba że podjął działania prewencyjne przed zaistnieniem naruszenia, działania zaradcze po wystąpieniu naruszenia lub zawiadomienie podmiotu danych wymagałoby niewspółmiernie dużego wysiłku (w tym ostatnim przypadku konieczny jest publiczny komunikat o zaistniałym naruszeniu) – art. 34 RODO.

Uwaga

Zawiadomienie podmiotu danych powinno być wyrażone jasnym i prostym językiem oraz powinno zawierać przynajmniej następujące informacje:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych,
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel