3 lata temu zaczęliśmy stosować tzw. RODO. Jego wprowadzenie wywołało mnóstwo zamieszania wśród firm, w których przetwarzanie danych osobowych stanowi element działalności, ale także wśród freelancerów czy osób prowadzących działalność gospodarczą. Choć minęło już nieco czasu, od kiedy RODO obowiązuje, hasło ta nadal wywołuje wiele emocji. Dzieje się tak dlatego, że Prezes Urzędu Ochrony Danych Osobowych działa prężnie, a każde naruszenie przepisów RODO rozstrzygane jest surowo.
Wysokość kary pieniężnej za niestosowanie się do przepisów Rozporządzenia może sięgnąć nawet 4% rocznego obrotu lub kwoty 20 mln EUR. Największą karą grzywny z tytułu naruszeń przepisów Rozporządzenia pozostaje nałożona w 2019 r. na koncern Google grzywna w wysokości 50 mln euro. Orzekł o niej francuski organ ochrony danych osobowych CNIL.
W Polsce najwyższą kara do tej pory była kwota 2,8 mln złotych, nałożona na sklep internetowy, którego baza klientów w wyniku wycieku dostała się w niepowołanej ręce.
Jak wskazuje raport Związku Firm Ochrony Danych Osobowych, w organizacjach działających w Polsce, aż 71 % naruszeń bezpieczeństwa danych zwykle dokonują pracownicy i współpracownicy. Większość, bo aż 89% to sytuacje nieumyślne, wśród których są m.in. zagrożenia spowodowane błędnym adresowaniem maili lub niestosowaniem kopii ukrytych w korespondencji. Przyczyną tego może być zwyczajny błąd ludzki, jaki może zdarzyć się każdemu, lub nieodpowiednie wdrożenie stosowania RODO w przedsiębiorstwie. Jak wynika z raportu najgorzej chronione dane to imię i nazwisko oraz adres e-mail.
Błędny adres odbiorcy korespondencji to jeden z przykładów naruszenia ochrony danych osobowych, zdefiniowanego w art. 4 pkt 12 RODO (nieuprawnione ujawnienie danych osobowych). Wystarczy jedna literówka w adresie mailowym, który również okaże się prawdziwy, by uznać to za nieuprawnione ujawnienie danych osobowych. Podobnie rozesłanie zbiorowej korespondencji bez użycia tzw. kopii ukrytej może stanowić naruszenie danych osobowych.
W każdym z tych przypadków kluczowym będzie zakres danych osobowych, jakie zostały ujawnione oraz kontekst sytuacji. Samo udostępnienie adresu e-mailowego bez łączenia go z innymi danymi osobowymi, tj. adresem zamieszkania, numerem PESEL, numerem dowodu osobistego czy szczegółowymi informacjami np. o zdrowiu czy zainteresowaniach, nie będzie powodowało po stronie osoby, której dane dotyczą, dużego ryzyka, że ktoś może wykorzystać adres e-mailowy i zrobić z niego użytek niezgodny z przepisami prawa. Taka sytuacja może obejmować np. dyskryminację, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utratę poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.
Jeżeli doszło do ujawnienia bazy adresów e-mail, po pierwsze, należy zweryfikować te adresy e-mail, które zostały ujawnione. Wydaje się, że nie każdy adres e-mail może być uznany za daną osobową i w związku z tym, nie każdy przypadek ujawnienia osobie postronnej adresu e-mail należy traktować, jako naruszenie zasad wynikających z przepisów o ochronie danych osobowych. Nie ulega, bowiem wątpliwości, że wysłanie przez przypadek (art., jako mail do wiadomości czyjejś osoby) do osoby nieuprawnionej informacji o adresie e-mail typu biuro@xxxx.pl będzie miało inny ciężar gatunkowy niż ujawnienie niepowołanej osobie adresu osoby fizycznej art. jan.kowalski@xxx.pl.
Jeżeli jednak w korespondencji, którą przesłałeś do nieuprawnionej osoby znajdowało się więcej danych osobowych niż sam adres e-mail, należy dokonać analizy i podjąć odpowiednie kroki. Zgodnie z art. 33 RODO jeżeli naruszenie danych osobowych powoduje co najmniej średnie ryzyko dla praw i wolności osób, których dane dotyczą, wymaga zgłoszenia do Prezesa UODO nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia.
Zgłoszenie musi co najmniej:
opisywać charakter naruszenia ochrony danych osobowych;
zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.
Jakie kroki należy podjąć, jeżeli w ramach przedsiębiorstwa dojdzie do pomyłki w wysyłce maili?
Poinformować osobę, której bez uprawnienia zostały ujawnione dane osobowe o tym naruszeniu, osoba ta powinna podjąć kroki by usunąć otrzymaną wiadomość.
Jeżeli został powołany w organizacji Inspektor Ochrony Danych Osobowych, skontaktować się z nim w celu przeprowadzenia analizy, czy zakres i charakter ujawnionych danych może powodować co najmniej średnie ryzyko dla praw osób, których dane zostały ujawnione, a jeżeli tak:
Poinformować o tym fakcie osoby, których dane zostały ujawnione,
Dokonać zgłoszenia organowi nadzorczemu wraz z informacjami wynikającymi z art. 33 wskazanymi powyżej.
Aby ograniczyć w przyszłości ryzyko ponownego wycieku danych osobowych i tym samym naruszenia przepisów RODO, warto rozważyć przeszkolenie pracowników w zakresie bezpieczeństwa i ochrony danych osobowych. Każde przedsiębiorstwo powinno mieć wdrożone działania, których szczegóły powinny znaleźć się w polityce ochrony danych osobowych udostępnionej i przekazanej do zapoznania się wszystkim pracownikom i współpracownikom.
Photo by Dayne Topkin on Unsplash
