Mail wysłany do niewłaściwego odbiorcy, czyli pomyłka przy wysyłce wiadomości e mail, zdarza się częściej, niż wielu firmom się wydaje. Wystarczy jeden źle kliknięty adres, omyłkowo dodany załącznik albo nieprawidłowe ujawnienie adresów odbiorców, aby dane trafiły do osoby, która nie powinna ich zobaczyć. Właśnie dlatego pytanie „czy to zawsze naruszenie RODO?” pojawia się regularnie w firmach, biurach rachunkowych, placówkach medycznych, działach HR czy sklepach internetowych. Odpowiedź brzmi: nie każdy taki przypadek trzeba zgłaszać do Prezesa UODO albo do osoby, której dane dotyczą, ale bardzo często jest to naruszenie ochrony danych osobowych w rozumieniu RODO. Poradnik Prezesa UODO wprost zalicza omyłkowe wysłanie e maila zawierającego dane osobowe do niewłaściwego i nieuprawnionego odbiorcy do przykładów naruszenia poufności danych osobowych, chyba że administrator ma dowód niedostarczenia wiadomości.
Warto od razu uporządkować pojęcia. Potocznie mówi się, że „doszło do naruszenia RODO”, ale z prawnego punktu widzenia najczęściej chodzi o naruszenie ochrony danych osobowych, czyli incydent bezpieczeństwa dotyczący danych. To nie jest to samo co naruszenie przepisów RODO. Poradnik UODO wyraźnie rozróżnia te pojęcia i podkreśla, że samo wystąpienie naruszenia ochrony danych osobowych nie oznacza jeszcze automatycznie, że administrator naruszył przepisy RODO. Kluczowe znaczenie ma to, czy doszło do incydentu bezpieczeństwa dotyczącego danych osobowych oraz jak administrator na ten incydent zareagował.
Kiedy błędnie wysłany mail jest naruszeniem ochrony danych?
JJeżeli wiadomość lub załącznik zawierały dane osobowe i trafiły do nieuprawnionego odbiorcy, co do zasady mamy do czynienia z naruszeniem ochrony danych osobowych. Nie musi chodzić o spektakularny wyciek ani atak hackerski. RODO i poradnik UODO obejmują również zdarzenia przypadkowe, w tym zwykłe błędy ludzkie. Naruszeniem poufności może być właśnie omyłkowe wysłanie wiadomości e mail do niewłaściwej osoby, a szerzej, każde nieuprawnione ujawnienie danych lub umożliwienie dostępu do nich osobie nieuprawnionej.
W praktyce oznacza to, że naruszeniem może być na przykład wysłanie do obcego odbiorcy faktury z danymi klienta, listy uczestników szkolenia, dokumentu kadrowego, umowy, wyniku rekrutacji albo korespondencji medycznej. Naruszeniem może być również omyłkowe wysłanie wiadomości potwierdzającej zamówienie lub faktury na błędny adres wpisany w formularzu przez samego klienta. Poradnik UODO pokazuje przy tym ważną rzecz: źródłem naruszenia może być nie tylko błąd pracownika administratora, ale również błąd osoby, której dane dotyczą, operatora pocztowego albo innego uczestnika procesu. To nadal może być naruszenie ochrony danych osobowych, które trzeba ocenić i obsłużyć
Zapraszamy do współpracy
Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.
Trzeba jednak dodać istotne zastrzeżenie, którego w Twoim tekście brakowało. Nie każde wysłanie wiadomości do „niewłaściwego” odbiorcy będzie naruszeniem. Poradnik UODO wskazuje wprost, że omyłkowe wysłanie e maila zawierającego dane osobowe do niewłaściwego, ale uprawnionego odbiorcy wewnątrz organizacji, nie musi prowadzić do nieuprawnionego ujawnienia danych osobowych, a więc nie musi być naruszeniem ochrony danych osobowych. Sama pomyłka adresowa nie wystarcza, trzeba jeszcze ocenić, czy odbiorca rzeczywiście był nieuprawniony.
Czy taki mail zawsze trzeba zgłaszać do UODO?
Nie. I to jest najważniejsza praktyczna odpowiedź dla firm. Zgodnie z poradnikiem UODO administrator ma obowiązek zgłosić naruszenie organowi nadzorczemu wtedy, gdy naruszenie może stwarzać ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli administrator jest w stanie wykazać, że jest mało prawdopodobne, aby ryzyko wystąpiło, zgłoszenie nie jest wymagane. Nie zmienia to jednak tego, że każde „stwierdzone” naruszenie należy udokumentować. Model z poradnika jest więc trzystopniowy: najpierw dokumentowanie każdego „stwierdzonego” naruszenia, następnie zgłoszenie do Prezesa UODO, jeżeli istnieje ryzyko, a dopiero przy wysokim ryzyku także zawiadomienie osób, których dane dotyczą.
Warto też mocno podkreślić, że samo zgłoszenie naruszenia nie świadczy o winie administratora, nie przesądza o naruszeniu przez niego przepisów RODO i nie uruchamia automatycznie jakiegoś sankcyjnego postępowania. Z perspektywy poradnika UODO zgłoszenie jest przede wszystkim przejawem odpowiedzialności i troski o prawa osób, których dane mogą być zagrożone. To ważne, bo w praktyce organizacje często błędnie utożsamiają zgłoszenie z przyznaniem się do winy i właśnie dlatego zwlekają z oceną albo notyfikacją.
Od czego zależy ocena ryzyka?
Nie ma jednej odpowiedzi pasującej do każdego przypadku. Trzeba ocenić przede wszystkim rodzaj danych, zakres ujawnienia, liczbę osób objętych incydentem, możliwość ich zidentyfikowania, charakter odbiorcy oraz możliwe skutki dla osób fizycznych. Poradnik UODO wyraźnie wskazuje, że ryzyko trzeba analizować z perspektywy praw i wolności osób, których dane dotyczą, a nie wyłącznie z perspektywy wygody administratora czy wizerunku organizacji.
Inaczej będzie oceniany e mail z samym imieniem i służbowym adresem e mail wysłany do znanego kontrahenta, a inaczej arkusz zawierający dane pracowników, numery PESEL, informacje o zdrowiu, wynagrodzeniach albo inne dane finansowe wysłany do nieznanej osoby spoza organizacji. Poradnik UODO wskazuje, że o wysokim ryzyku mogą świadczyć między innymi dane wrażliwe, dane finansowe, dane genetyczne, informacje powszechnie wykorzystywane do potwierdzania tożsamości lub zawierania umów, takie jak PESEL czy seria i numer dowodu osobistego, szeroki zakres danych, szczególna dotkliwość możliwych skutków oraz duża liczba osób objętych incydentem.
Bardzo istotne jest też to, komu dane ujawniono. Poradnik UODO rozwija koncepcję „zaufanego odbiorcy”. Chodzi o podmiot, który przypadkowo otrzymał dane osobowe, ale dzięki dotychczasowej, pozytywnej współpracy z administratorem można uznać go za godnego zaufania, ponieważ istnieje wystarczająca pewność, że zareaguje właściwie i przyczyni się do ograniczenia ryzyka. To jednak nie działa automatycznie. Każdy przypadek wymaga indywidualnej analizy, żadnego podmiotu nie można z góry uznać za „zaufanego”, a sama relacja z odbiorcą może złagodzić ocenę ryzyka, ale nie wpływa na zaklasyfikowanie zdarzenia jako naruszenia ochrony danych osobowych.
To oznacza, że samo poproszenie odbiorcy o usunięcie wiadomości nie kończy sprawy automatycznie. Taka reakcja jest oczywiście potrzebna i może mieć znaczenie dla ograniczenia ryzyka, ale nie zwalnia z analizy. Administrator powinien ocenić, czy odbiorca rzeczywiście jest znany, czy pozostaje z nim w stałych relacjach, czy zna jego procedury bezpieczeństwa i czy ma realne podstawy, aby uznać, że odbiorca postąpi właściwie. Dopiero wtedy można rozważać, czy ryzyko rzeczywiście jest niskie albo nie występuje.
Kiedy zgłoszenie może nie być konieczne?
Zgłoszenie może nie być konieczne wtedy, gdy administrator jest w stanie wykazać, że ryzyko naruszenia praw lub wolności osób fizycznych prawdopodobnie nie wystąpi. Poradnik UODO pokazuje, że brak ryzyka może być stwierdzony na przykład wtedy, gdy dane są nieczytelne dla osób nieuprawnionych, albo gdy administrator definitywnie zaradził incydentowi i potrafi to wykazać. W przypadku błędnie wysłanego maila może to dotyczyć zwłaszcza sytuacji, w której administrator ma dowód niedostarczenia wiadomości albo dysponuje mocnymi podstawami, by uznać, że nieuprawniony odbiorca jest w danej sprawie „zaufanym odbiorcą”, a całokształt okoliczności nie wskazuje na realne negatywne skutki dla osób. Nadal jednak trzeba taki przypadek udokumentować.
Właśnie tu bardzo dobrze widać różnicę między trzema poziomami reakcji. Brak ryzyka oznacza dokumentowanie bez zgłoszenia. Ryzyko oznacza dokumentowanie i zgłoszenie do Prezesa UODO. Wysokie ryzyko oznacza dokumentowanie, zgłoszenie oraz zawiadomienie osób fizycznych. To rozróżnienie powinno wybrzmieć w artykule mocniej, bo jest jednym z kluczowych elementów poradnika UODO.
Kiedy zgłoszenie do UODO będzie zasadne?
Jeżeli skala, rodzaj danych albo okoliczności wskazują na realne ryzyko dla osób, zgłoszenie będzie konieczne. Dotyczy to zwłaszcza sytuacji, gdy błędnie wysłany załącznik zawiera dane identyfikacyjne, numery PESEL, dane dokumentów, dane finansowe, informacje kadrowe, informacje o zdrowiu albo dane większej grupy osób. W takich przypadkach potencjalne skutki mogą obejmować kradzież tożsamości, oszustwa finansowe, problemy zawodowe, silny stres, lęk albo utratę kontroli nad własnymi danymi. Poradnik UODO wyraźnie wskazuje właśnie taki sposób myślenia, oparty na wadze możliwych skutków i prawdopodobieństwie ich wystąpienia.
Nie warto też czekać z decyzją do zakończenia całego wewnętrznego dochodzenia. Poradnik UODO podkreśla, że administrator nie powinien usprawiedliwiać opóźnienia tym, że czekał na pełne ustalenie wszystkich szczegółów albo na zakończenie procesu oceny ryzyka. Jeżeli nie ma jeszcze kompletu danych, można złożyć zgłoszenie wstępne, a następnie uzupełnić je później.
Czy zawsze trzeba powiadomić osoby, których dane dotyczą?
Także nie zawsze. Obowiązek zawiadomienia osób pojawia się wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności. To wyższy próg niż samo zgłoszenie do organu. W praktyce może więc zdarzyć się tak, że administrator zgłosi incydent do Prezesa UODO, ale nie będzie musiał zawiadamiać każdej osoby, której dane dotyczą. Poradnik UODO bardzo wyraźnie rozdziela te dwa obowiązki.
Co ważne, nawet przy wysokim ryzyku istnieją ustawowe wyjątki od obowiązku zawiadamiania osób. Zawiadomienie nie będzie wymagane, jeżeli przed incydentem zastosowano środki ochrony czyniące dane nieczytelnymi dla osób nieuprawnionych, na przykład skuteczne szyfrowanie, albo jeżeli po incydencie administrator natychmiast zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka. Trzecim wyjątkiem jest sytuacja, w której indywidualne zawiadomienie wymagałoby niewspółmiernie dużego wysiłku, ale wtedy trzeba zastosować publiczny komunikat albo inny równie skuteczny sposób poinformowania.
Co zrobić od razu po wykryciu pomyłki?
Najgorszą reakcją jest uznanie, że „to tylko drobiazg” i pozostawienie sprawy bez analizy. Z perspektywy poradnika UODO prawidłowa ścieżka wygląda inaczej. Najpierw trzeba ustalić, czy rzeczywiście doszło do naruszenia ochrony danych osobowych, czyli czy administrator ma już wystarczającą wiedzę, aby „stwierdzić” naruszenie. Chodzi nie o samo podejrzenie, ale o moment, w którym zgromadzone informacje pozwalają potwierdzić, że doszło do incydentu bezpieczeństwa dotyczącego danych osobowych. Czas tego „stwierdzenia” powinien zostać dokładnie odnotowany, bo od tego momentu liczy się termin 72 godzin na ewentualne zgłoszenie.
Następnie trzeba niezwłocznie podjąć działania zaradcze i ograniczające skutki. W praktyce oznacza to ustalenie, jakie dane zostały wysłane, do kogo trafiły, czy wiadomość została dostarczona, czy załącznik mógł zostać otwarty, czy odbiorca jest zidentyfikowany i czy można uznać go za zaufanego, a także podjęcie próby odzyskania kontroli nad danymi, na przykład przez kontakt z odbiorcą i żądanie usunięcia wiadomości. Równolegle trzeba przeprowadzić ocenę ryzyka, udokumentować przebieg sprawy i zdecydować, czy zachodzi obowiązek zgłoszenia do Prezesa UODO.
Jeżeli zgłoszenie jest wymagane, trzeba zrobić to bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od „stwierdzenia” naruszenia, niezależnie od weekendu, urlopu, zwolnienia lekarskiego czy wewnętrznych opóźnień akceptacyjnych. To są wprost wymienione w poradniku przykłady okoliczności, które nie usprawiedliwiają zwłoki. Jeśli brakuje części informacji, należy złożyć zgłoszenie wstępne i uzupełnić je później.
Jak ograniczyć ryzyko podobnych pomyłek w przyszłości?
Poradnik UODO mocno akcentuje, że naruszenia często wynikają z błędów ludzkich, braku świadomości, niewystarczających zabezpieczeń albo braku odpowiednich procedur. Właśnie dlatego pojedynczy incydent warto potraktować nie tylko jako problem do „ugaszenia”, ale także jako sygnał, że trzeba przejrzeć organizację procesu. W praktyce może to oznaczać dopracowanie zasad wysyłki korespondencji, dodatkowe szkolenia personelu, lepszą konfigurację narzędzi, weryfikację uprawnień i przegląd procedur bezpieczeństwa. Kierunek jest jasny: środki techniczne i organizacyjne mają odpowiadać ryzyku i być regularnie oceniane oraz doskonalone.
To ważne również z perspektywy odpowiedzialności administratora. Samo wystąpienie naruszenia nie oznacza jeszcze automatycznie naruszenia przepisów RODO. Problemem staje się dopiero brak adekwatnej reakcji, brak dokumentowania, brak oceny ryzyka albo brak odpowiednich środków bezpieczeństwa tam, gdzie dało się je rozsądnie wdrożyć. Innymi słowy, ocenie podlega nie tylko sam incydent, ale również to, jak organizacja była na niego przygotowana i jak nim zarządziła.
Podsumowując, mail wysłany do niewłaściwego odbiorcy nie zawsze oznacza obowiązek zgłoszenia sprawy do Prezesa UODO i nie zawsze wymaga zawiadomienia osób, których dane dotyczą, ale bardzo często stanowi naruszenie ochrony danych osobowych, ponieważ dochodzi do ujawnienia danych osobie nieuprawnionej. Nie będzie tak jednak w każdym przypadku, przykładowo wtedy, gdy administrator ma dowód niedostarczenia wiadomości albo gdy odbiorca był wprawdzie niewłaściwy, ale jednak uprawniony. O tym, co trzeba zrobić dalej, decyduje nie sam fakt pomyłki, lecz rzeczywiste ryzyko dla praw i wolności osób fizycznych. Dlatego każdą taką sytuację trzeba potraktować poważnie, „stwierdzić”, udokumentować, ocenić i, jeżeli zachodzi taka potrzeba, zgłosić w ustawowym terminie.
