Błędy w wysyłce e-mail powodem naruszenia RODO.

Data dodania:
Jak wysyłać seryjną korespondencję godnie z RODO?

Jakich błędów unikać przy wysyłce korespondencji w formie elektronicznej do klientów czy kontrahentów, aby nie narazić się na zarzut naruszenia RODO i straty wizerunkowe?

Jak wysyłać seryjną korespondencję godnie z RODO?
Seryjna wysyłka poczty elektronicznej a RODO.

Wysyłka poczty elektronicznej jest doskonałym sposobem na szybkie rozpowszechnianie informacji lub treści marketingowych. Trzeba jednak zachować ostrożność, aby nie zdarzyła się kompromitująca wpadka lub nie postawiono firmie zarzutu naruszenia przepisów RODO.

Do naruszeń ochrony danych osobowych związanych z błędami w wysyłce firmowych e-maili dochodzi z błahych powodów, przeważnie przez pośpiech lub nieuwagę nadawcy korespondencji lub na skutek błędu pracownika administratora danych odpowiedzialnego za przygotowanie i wysyłkę korespondencji. Źródło nieprawidłowości może powstać również na etapie gromadzenia danych, gdzie potencjalny odbiorca nieprawidłowo wskazywał swój adres korespondencyjny. W efekcie dochodzi do ujawnienia przypadkowym odbiorcom danych adresata wiadomości lub udostępnienia danych nieuprawnionemu odbiorcy. Konsekwencją takiego naruszenia bezpieczeństwa w zależności od jego wagi jest:

Ze Sprawozdania Prezesa Urzędu Ochrony Danych Osobowych za 2020 r. wynika, że wśród najczęściej zgłaszanych naruszeń należą incydenty bezpieczeństwa związane z wysyłaniem korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy. Taka tendencja utrzymuje się od dobrych kilku lat.

• wpis do rejestru naruszeń,
• zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych.

Adres e-mail jako dana osobowa?

Zgodnie z art. 4 pkt 1 RODO adres e-mail może stanowić daną osobową, gdy prowadzi do identyfikacji danej osoby fizycznej. Łatwo będzie ustalić tożsamość konkretnej osoby fizycznej, której adres poczty elektronicznej składa się z imienia i nazwiska, przykładowo: annakowalska@poczta.pl lub akowalska@poczta.pl. Imienny adres e-mail zawierający „dane zwykłe” jakimi są nasze personalia powinien być przetwarzany zgodnie z przesłankami wskazanymi w art. 6 ust. 1 RODO np. potrzebujemy zgody na przesłanie wiadomości na wskazany adres.

Stanowiska organów nadzoru ochrony danych osobowych

Warto prześledzić, jak w kwestii incydentów bezpieczeństwa związanych z wysyłką poczty elektronicznej wypowiadają się organy nadzorcze poszczególnych krajów członkowskich. Taka sprawa pojawiła się również w polskim urzędzie ochrony danych osobowych.
W minionym roku Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę w wysokości 85 588 zł. Wszystko za sprawą podania przez klienta nieprawidłowego adresu e-mail. Przewinienie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata, który poinformował UODO o naruszeniu. W dokumencie znalazły się takie dane osobowe, jak: imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dot. przedmiotu ubezpieczenia jakim był samochód osobowy. Spółka nie zgłosiła naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych oraz nie zawiadomiła osób, których dotyczyło naruszenie.
W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. W ocenie Prezesa UODO administrator powinien mieć świadomość ryzyk związanych z nieprawidłowym podaniem przez klienta adresu e-mail i wprowadzić dodatkowe środki organizacyjne oraz techniczne, jak np. weryfikacja podanego adresu lub też szyfrowanie przesłanych w ten sposób dokumentów.
Organ nadzorczy podkreślił, że fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej omyłkowo korespondencji nie może stanowić o tym, że ryzyko praw i wolności osób fizycznych, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał kserokopii dokumentów lub w inny sposób ich nie utrwalił.
Prezes UODO nakładając karę podkreślił, że sama prośba o usunięcie danych nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania.
A jakie stanowisko w kwestii omyłkowego przesłania maila do złego adresata zajmują europejskie organy nadzorcze? Przykładowo islandzki organ nadzorczy stwierdził niezgodność z przepisami o ochronie danych osobowych sprawy związanej z ujawnieniem adresów e-mail odbiorców wiadomości pozostałym adresatom w wyniku umieszczenia ich adresów w kopii widocznej zamiast w ukrytej. Organ nadzorczy w związku z zaistniałym incydentem nie nałożył kary pieniężnej tylko dlatego, że administrator szybko podjął działania w celu ochrony praw podmiotów danych np. zainteresowani zostali niezwłocznie powiadomieni o zmianie procedur wewnętrznych mających zapobiec wystąpieniu takich incydentów w przyszłości.

Stanowiska organów nadzoru ochrony danych osobowych

Warto prześledzić, jak w kwestii incydentów bezpieczeństwa związanych z wysyłką poczty elektronicznej wypowiadają się organy nadzorcze poszczególnych krajów członkowskich. Taka sprawa pojawiła się również w polskim urzędzie ochrony danych osobowych.
W minionym roku Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę w wysokości 85 588 zł. Wszystko za sprawą podania przez klienta nieprawidłowego adresu e-mail. Przewinienie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata, który poinformował UODO o naruszeniu. W dokumencie znalazły się takie dane osobowe, jak: imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dot. przedmiotu ubezpieczenia jakim był samochód osobowy. Spółka nie zgłosiła naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych oraz nie zawiadomiła osób, których dotyczyło naruszenie.
W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. W ocenie Prezesa UODO administrator powinien mieć świadomość ryzyk związanych z nieprawidłowym podaniem przez klienta adresu e-mail i wprowadzić dodatkowe środki organizacyjne oraz techniczne, jak np. weryfikacja podanego adresu lub też szyfrowanie przesłanych w ten sposób dokumentów.
Organ nadzorczy podkreślił, że fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej omyłkowo korespondencji nie może stanowić o tym, że ryzyko praw i wolności osób fizycznych, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał kserokopii dokumentów lub w inny sposób ich nie utrwalił.
Prezes UODO nakładając karę podkreślił, że sama prośba o usunięcie danych nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania.
A jakie stanowisko w kwestii omyłkowego przesłania maila do złego adresata zajmują europejskie organy nadzorcze? Przykładowo islandzki organ nadzorczy stwierdził niezgodność z przepisami o ochronie danych osobowych sprawy związanej z ujawnieniem adresów e-mail odbiorców wiadomości pozostałym adresatom w wyniku umieszczenia ich adresów w kopii widocznej zamiast w ukrytej. Organ nadzorczy w związku z zaistniałym incydentem nie nałożył kary pieniężnej tylko dlatego, że administrator szybko podjął działania w celu ochrony praw podmiotów danych np. zainteresowani zostali niezwłocznie powiadomieni o zmianie procedur wewnętrznych mających zapobiec wystąpieniu takich incydentów w przyszłości.

Jak poprawnie wysłać maila do wielu odbiorców, aby nie narazić się na zarzut naruszenia RODO?

Można uniknąć problemów pamiętając o kilku prostych zasadach związanych z obsługą poczty elektronicznej. Wysyłając e-mail firmowy do klientów warto użyć funkcji UDW (Ukryte do Wiadomości). Jest to bezpieczna forma wysyłki korespondencji seryjnej, ponieważ odbiorca nie może zobaczyć innych odbiorców.

Inne środki techniczne i organizacyjne ochrony korespondencji, które można wdrożyć w firmie

Administratorzy danych, aby zmniejszyć prawdopodobieństwo wystąpienia naruszeń związanych z przesłaniem informacji lub dokumentów omyłkowemu adresatowi, mogą wdrożyć środki bezpieczeństwa w postaci:

  • szyfrowania przesyłanej korespondencji, uniemożliwiając dostęp do danych osobom nieuprawnionym,
  • stosować dodatkową weryfikację adresu korespondencyjnego w momencie gromadzenia danych, polegającą m.in. na konieczności przeliterowania adresu (w przypadku gromadzenia danych przez telefon) lub poprzez wymuszenie ponownego wpisania adresu e-mail w formularzach.

Podsumowanie

Jeżeli w firmie zdarzają się przypadki błędnie wysłanych e-maili to jest wiele prostych i skutecznych środków, które pozwolą uniknąć takich pomyłek w przyszłości. Do wdrożenia czego serdecznie zachęcamy.

Źródła:

• Opublikowane w dniu 26 sierpnia 2021 r. Sprawozdanie Prezesa Urzędu Ochrony Danych Osobowych z działalności w 2020 r. i dostępne na oficjalnej stronie organu (str. 141-142),
• Decyzja Prezesa UODO z dnia 9.12.2020 r., nr DKN.5131.5.2020 w sprawie TUiR WARTA S.A. (więcej: https://uodo.gov.pl/decyzje/DKN.5131.5.2020).