Korzystają z poczty elektronicznej uważaj, co wysyłasz i komu! Jakie, w świetle przepisów RODO, mogą być konsekwencje tego przez przypadek ujawnisz adres e-mail swoich klientów osobom do tego nieupoważnionym? Od 25 maja 2018 r. a więc od dnia, w którym zaczęło się egzekwowanie przepisów Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 […]
Korzystają z poczty elektronicznej uważaj, co wysyłasz i komu! Jakie, w świetle przepisów RODO, mogą być konsekwencje tego przez przypadek ujawnisz adres e-mail swoich klientów osobom do tego nieupoważnionym?
Od 25 maja 2018 r. a więc od dnia, w którym zaczęło się egzekwowanie przepisów Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE ( w dalszej części zwane RODO) powinieneś być szczególnie wyczulony na to, czy nie ujawniasz adresów e-mail swoich klientów osobom postronnym. Często zdarza się, że wysyłasz informacje marketingowe lub jakiekolwiek inne do swoich klientów, których adresy e-mail masz w swojej bazie danych.
Problem przypadkowego ujawnienia danych może pojawić się zwłaszcza w przypadku, gdy chcąc ułatwić sobie pracę i decydujemy się na niejako „hurtowe” wysyłanie z naszej skrzynki informacji tej samej treści do szerokiego kręgu adresatów z naszej bazy. Wszystko będzie w porządku, gdy wysyłając wiadomość ukryjemy informacje o adresach e-mailowych innych adresatów tak, aby ta osoba, do której ją wysyłamy nie mogła przy „okazji” zapoznać się adresami e-mailowymi pozostałych naszych klientów. Mając bogatą bazę klientów taka „wpadka” może nas słono kosztować! Jeśli bowiem wysyłając informację do wszystkich lub wybranych osób z naszej bazy przez nieuwagę, niewiedzę lub roztargnienie wkleimy do listy adresatów w polu „DW” wszystkie nasze kontakty zamiast wykorzystać opcję ukryte „ UDW” to będzie to oznaczało, że wszyscy adresaci, do których wysłano informację będą znali adresy e-mailowy pozostałych osób z listy adresowej.
Jakie konsekwencje, w świetle przepisów RODO może mieć taka sytuacja? Należy pamiętać, że przepisy RODO kładą szczególny nacisk na ochronę danych osobowy osób fizycznych. Trzeba się jednak zastanowić, czy adres e-mailowy zawsze zawiera dane osobowe i czy w związku z tym zawsze podlega szczególnej ochronie. Wydaje się, że nie każdy adres e-mail może być uznany za daną osobową i w związku z tym nie każdy przypadek ujawnienia osobie postronnej adresu e-mail należy traktować, jako naruszenie zasad wynikających z przepisów o ochronie danych osobowych (RODO). Nie ulega, bowiem wątpliwości, że wysłanie przez przypadek (np., jako informacja do wiadomości) do osoby nieuprawnionej informacji o adresie e-mail typu [email protected] czy [email protected] będzie miało inny ciężar gatunkowy niż ujawnienie niepowołanej osobie adresu osoby fizycznej np. [email protected] W tym ostatnim przypadku będzie to ewidentne naruszenie przepisów o ochronie danych osobowych przez administratora a to nie jest błaha sprawa zwłaszcza wtedy, gdy przy okazji ujawniliśmy np. setki kontaktów. W świetle przepisów RODO (vide art. 4 pkt 1 RODO) adres e-mail określonej osoby fizycznej zawiera, bowiem informacje, które umożliwiają zidentyfikowanie tej osoby.
Konsekwencją naruszenie przepisów o ochronie danych osobowych w tym zakresie może być, w pewnych okolicznościach, nałożenie na administratora przez Prezesa Urzędu Ochrony Danych Osobowy, administracyjnej kary pieniężnej. Zgodnie z RODO maksymalna kwota takiej administracyjnej kary pieniężnej może sięgnąć nawet 4% rocznego obrotu Twojej firmy lub kwoty 20 mln EUR. Oczywiście, nie jest tak, zresztą podkreślają to również w wywiadach przedstawiciel Urzędu Ochrony Danych Osobowych, że w każdym przypadku Prezes Urzędu Ochrony Danych Osobowy nałoży od razu maksymalną karę administracyjną. W świetle przepisów RODO (vide art. 83 RODO), każdy przypadek naruszenia bezpieczeństwa przetwarzania danych wymaga indywidualnej oceny i to od takiej oceny powinny zależeć dalsze działania ze strony organu nadzorczego w stosunku do administratora dopuszczającego się naruszenia. Prezes Urzędu Ochrony Danych Osobowych nie musi od razu sięgać do kieszeni administratora. Można mieć nadzieje, że Prezes Urzędu Ochrony Danych Osobowych w pierwszej kolejności, w przypadku naruszeń mniejszej wagi, korzystał będzie z uprawnień określonych w art. 58 RODO (mniej inwazyjnych) a więc takich jak wydawanie ostrzeżeń, udzielanie upomnień, nakazanie administratorowi podjęcia określonych działań itp. Jaka będzie praktyka czas pokaże. Oczywiście decydując się na nałożenie na podmiot naruszający administracyjnej kary pieniężnej oraz określając jej wysokość Prezes Urzędu Ochrony Danych Osobowych, stosownie do postanowień art. 83 ust. 2 RODO, powinien uwzględnić okoliczności każdego indywidualnego przypadku. I tak do takich okoliczności, które Prezes Urzędu Ochrony Danych Osobowych ( w sumie art. 83 ust.2 RODO wymienia je w 11 punktach) powinien brać pod uwagę podejmując decyzję o nałożeniu kary oraz jej wysokości można przykładowo wymienić: charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczbę poszkodowanych osób, rozmiar poniesionej przez te osoby szkody, umyślny lub nieumyślny charakter naruszenia, działania podjętych przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dotyczy, stopnień odpowiedzialności administratora, charakter i liczbę wcześniejszych naruszeń, stopnień współpracy z organem nadzorczym w celu usunięcia naruszenia lub złagodzenia jego ewentualnych skutków, kategorię danych Których naruszenie dotyczyło, sposób, w jakim organ nadzorczy dowiedział się o naruszeniu a zwłaszcza, czy i w jakim zakresie podmiot dopuszczający się naruszenia zgłosił to naruszenie.
I tej ostatniej okoliczności należy poświecić kilka słów komentarza. Chodzi w tym przypadku ni mniej ni więcej tylko o to, czy organ nadzorczy dowiedział się o naruszeniu bezpieczeństwa przetwarzania danych osobowych bezpośrednio od osoby, której dane zostały naruszone, czy też nie. Przykładowo, odwołując się do stanu faktycznego opisanego na wstępnie, czy Prezes Urzędu Ochrony Danych Osobowych został poinformowany o wycieku danych bezpośrednio przez osobę, której dane zostały przez przeoczenie wysłane do osób postronnych (np. osoba ta napisała skargę), czy też o fakcie naruszenia poinformował sam podmiot, który dopuścił się naruszenia. Jak widać ma to istotne znaczenie dla późniejszej „kwalifikacji” naruszenia.
Przepisy RODO wprowadziły nowy tryb zgłaszania przez podmiot dopuszczający się naruszenie przepisów dotyczących bezpieczeństwa przetwarzania danych osobowych faktu naruszenia do organu nadzorczego. Tryb ten, stosownie do art.33 RODO (podobne rozwiązania znane są np. na gruncie przepisów podatkowych – instytucja tzw. czynnego żalu ), zakłada że to sam naruszający ma obowiązek powiadomić o naruszeniu organ nadzorczy, a jeśli to zrobi to może to być potraktowane w toku dalszego postępowania, jako swego rodzaju „okoliczność łagodzącą”. I tak w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin (!) po stwierdzeniu naruszenia (chodzi o chwilę, w której administrator powziął informację o naruszeniu a nie chwilę faktycznego zaistnienia naruszenia np. pracownik przez przeoczenie rozesłał e-maile klientów do osób nieuprawionych, ale administrator dowiedział się o tym dopiero następnego dnia) zgłasza ten fakt organowi nadzorczemu. Zgłoszenie, o którym mowa w powyżej powinno, co, najmniej: opisywać charakter naruszenia danych osobowych, w tym w miarę możliwości kategorię ( np. że chodzi o adresy e-mailowe osób fizycznych) i przybliżoną liczbę osób, których dane dotyczą (np. że dotyczy to 100 kontaktów, do których przez przeoczenie zostały wysłane adresy e-mailowe innych osób), oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie. Ponadto w zawiadomieniu takim administrator powinien podać dane kontaktowe do inspektora ochrony danych, a jeśli nie został on powołany, dane innego punktu kontaktowego, pod którym można uzyskać więcej informacji, opisywać możliwe konsekwencje naruszenia danych osobowych, a także wskazywać zastosowane lub proponowane przez administratora środki w celu zaradzania naruszeniu ochrony danych osobowych oraz podjętych działań w celu zminimalizowania ewentualnym, negatywnym skutkom naruszenia.
Ostatnią kwestią wymagając wyjaśnienia jest to, czy każdy przypadek naruszenia ochrony danych osobowych obliguje administratora do zgłoszenia tego faktu do organu nadzorczego zgodnie z procedurą opisaną powyżej. Wydaje się, że przepisy RODO nie idą w tej kwestii aż tak daleko. Nie da się, bowiem porównać sytuacji, w której przez przeoczenie wyślemy jednorazowo dane kontaktowe ( tak jak w podanym przypadku adresów e-mail) jednej czy nawet kilku osób do osób nieupoważnionych z sytuacją, w której dotyczy to kilkudziesięciu, czy też kilkuset osób. Należy powiedzieć, że generalną zasadą wyrażoną w art. 33 RODO jest to, że fakt naruszenia danych osobowych powinien być zgłoszony do organu nadzorczego. Z drugiej jednak strony RODO ( i słusznie) daje pewną „furtkę” na odstąpienie od tego wymogu stwierdzając, że takie zgłoszenie nie jest wymagane, jeśli jest mało prawdopodobne, by naruszenie takie skutkowało ryzykiem naruszeniem prawa i wolności osób fizycznych. Jedyną kwestią, która nie została tu, niestety wyraźnie dopowiedziana, jest to, czy o tym, że w danym przypadku nie występuje ryzyko naruszenia praw i wolności osób fizycznych może zdecydować sam administrator, czy też ostatecznie będzie decydował o tym organ nadzorczy.
Wojciech Ostrowski Radca prawny w Kancelarii Rachelski i Wspólnicy