Czy wysyłka maila na błędny adres to problem? Co na to RODO?
Zdarza się, że czytelnicy do mnie piszą, co mają zrobić, jeśli wysłali maila na błędny adres.
Czy to, aż taki duży błąd?
Co zrobić, gdy się zdarzy?
I czy trzeba to zgłaszać do Urzędy Ochrony Danych?
Zacznijmy od tego, że wysłanie e-maila nie do tego adresata, który powinien być odbiorcą naszego maila – jest problemem.
Jak dużym. O tym przeczytasz poniżej.
Wyobraź sobie, że w rano siadasz do komputera i musisz wysłać kilkadziesiąt maili.
Cóż, taka praca.
Bierzesz się więc do roboty.
Jednak w trakcie okazuje się, że wysłałeś do Kowalskiego maila, który przeznaczony był do Nowaka.
Co robisz?
- Udajesz, że nic się nie stało. Może rozejdzie się po kościach.
- Idziesz do szefa i kajasz się przed nim, uznając swój błąd.
- Piszesz do omyłkowego adresata tłumacząc się i prosząc aby mail usunął.
Losujemy? 🙂 🙃
Analiza ryzyka była, ale
Podobną sprawą zajmował się Urząd Ochrony Danych, do którego zgłosił się ów błędny adresat, który na swoją skrzynkę dostał omyłkowo polisę ubezpieczeniową.
Pierwsze z pytań, które Urząd zadał firmie ubezpieczeniowej, odpowiedzialnej za wysyłkę maili z polisami brzmiało: Czy została wykonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych, polegającego na naruszeniu poufności danych?
Została, ale zdaniem firmy ubezpieczeniowej nie stało się nic, aż tak wysoce ryzykownego, aby zgłaszać naruszenie do Urzędu.
Tłumaczenie firmy opierało się między innymi na tym, że błędny adres mailowy był wskazany przez samego klienta oraz, że poprosił błędnego adresata (tego, który otrzymał błędnie maila) o jego usunięcia na co wyraził zgodę i zapewnienie, że tak zrobi.
Jednak w ocenie UODO wysłanie drogą mailową do niewłaściwego odbiorcy dokumentu, zawierającego m.in.:
- imiona,
- nazwisko,
- adres zamieszkania,
- numer PESEL oraz
- informacje dotyczące przedmiotu ubezpieczenia (samochód osobowy)
skutkuje WYSOKIM STOPNIEM RYZYKA naruszenia praw i wolności osób fizycznych, zatem nie tylko należało powiadomić o naruszeniu UODO (art. 33 RODO) lecz także i samą osobę, której dane dotyczą (art. 34 RODO).
Na pewno zastanawiasz się, dlaczego UODO tak ostro postąpiło z firmą.
Przecież każdy się może pomylić.
UODO nałożyło karę NIE za wysłanie polisy na błędny adres, lecz za BRAK ZGŁOSZENIA naruszenia do UODO, uznając, że firma dokonała BŁĘDNEJ oceny wagi naruszenia ochrony danych.
Ponadto, zdaniem Urzędu nie można było zastosować w tym przypadku koncepcji zaufanego odbiorcy, co pozwalałoby uznać niski stopień ryzyka.
To, że osoba sama zwróciła się do spółki z informacją o otrzymanym maila, nie daje zdaniem UODO gwarancji, że osoba ta nie dokonała np. kopii dokumentów.
Tak oto brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki stał się podstawą do nałożenia na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. kary w wysokości 85 588 zł.
Jaki z tego morał?
Dla nas, małych przedsiębiorców, na pewno taki.
Nie zamiatajmy pod dywan, tylko solidnie zróbmy analizę ryzyka w sytuacji stwierdzenia naruszenia.
Pełna treść decyzji jest dostępna pod linkiem: https://uodo.gov.pl/decyzje/DKN.5131.5.2020
adw. Małgorzata Moczulska
Pomagam zrozumieć przepisy prawa i prowadzić legalnie biznes online. Moi Klienci to osoby mające odwagę spełniać marzenia o własnej firmie, w której realizują swoje pasje, ale także rozwijają dochodowe biznesy zgodnie z obowiązującymi przepisami.