Wysłanie maila do złego odbiorcy może być kosztowne

Wysłanie maila do złego odbiorcy to dość powszechna pomyłka. Każdemu się zdarzyła pewnie nie raz, także i mnie. Czasem błąd polega na wybraniu złego odbiorcy z książki adresowej, innym razem na literówce we wpisywanym ręcznie adresie odbiorcy. Serwer pocztowy odbiorcy może zwrócić wiadomość z komunikatem „odbiorca o danym adresie nie istnieje”. Wtedy spada kamień z serca, bo Twój e-mail nie został do nikogo doręczony. Gdy odbiorca jednak istnieje wtedy masz do czynienie z incydentem związanym z przetwarzaniem danych. Czy oznacza to kłopoty?

Mail wewnętrzny i zewnętrzny

Pomyłka w adresie adresata może dotyczyć zarówno wiadomości wysyłanych wewnątrz przedsiębiorstwa jak i poza nim. Zazwyczaj, gdy myślimy o tego typu incydentach, mamy na myśli e-maile, które wysyłasz poza swoją organizację. Jednak także maile będące częścią komunikacji wewnętrznej mogą stanowić naruszenie. Pamiętaj, że jest nim każde ujawnienie danych osobowych osobom nieupoważnionym, niezależnie od miejsca ich przebywania czy pracy. Dlatego wysłanie maila do złego odbiorcy także wewnątrz organizacji może być zaklasyfikowane jako incydent. Jako administrator powinieneś uczulić na to swoich pracowników.

Takie naruszenie przetwarzania danych osobowych może nastąpić w każdej firmie niezależnie od jej wielkości. W dużych korporacjach jeżeli wyślesz e-mail z danymi kontrahenta czy listą osób zapisanych do newslettera do osoby z niewłaściwego pionu czy działu będzie to naruszenie. Programista, który jest odbiorcą tej wiadomości nie miał prawa poznać tych danych. Upoważnienie do ich przetwarzania w ramach tych czynności mają odpowiednio pracownicy działu zamówień i marketingu. W małych firmach naruszeniem może być wysłanie danych osobowych umieszczonych na CV kandydata do pracy do złego pracownika. Zatem pamiętaj, że także pomyłki w wewnętrznej korespondencji stanowią naruszenie.

Waga naruszenia

Gdy już stwierdzisz, że wystąpił incydent związany z przetwarzaniem danych osobowych to musisz podjąć decyzję o dalszym postępowaniu. Tu nie masz dużego wyboru, konkretne obowiązki nakłada na Ciebie wprost RODO. Każdą taką sytuację musisz odnotować w rejestrze naruszeń. Jest to jeden z dokumentów, które każde przedsiębiorstwo musi prowadzić. Reguluje to artykuł 33 w punkcie 5.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Artykuł 33, punkt 5

Ponadto incydent musisz zgłosić do organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli żadna z tych przesłanek nie jest spełniona masz 72 godziny na poinformowanie UODO. Wtedy też bez zbędnej zwłoki, zgodnie z zapisami artykułu 34 RODO, musisz poinformować o tym zdarzeniu osobę poszkodowaną, której dane zostały ujawnione. Samo odnotowanie w rejestrze naruszeń nie wystarczy.

O tym czy wysłanie maila do złego odbiorcy zostanie zaklasyfikowane jako incydent decyduje administrator. Tak samo jest to jego decyzja czy należy powiadomić o zdarzeniu organ nadzorczy i osoby, których dane ujawniono. Jako właściciel przedsiębiorstwa musisz ją podjąć po dokonaniu odpowiedniej oceny zdarzenia. Niektóre sytuacje, jak ujawnienie danych z dowodu osobistego, na pewno będą wymagały takiego zgłoszenia i powiadomienia poszkodowanych. Inne mogą wymagać jedynie dokonania wpisu w rejestrze incydentów. Sprawdź artykuł „Naruszenie ochrony danych – nie panikuj, tylko się przygotuj„, w którym znajdziesz kilka pomocnych przykładów. Zawiera on także rekomendacje, w jaki sposób przedsiębiorca może się przygotować na wystąpienie incydentu. Dowiesz się z niego w jaki sposób przygotujesz swoją firmę na wypadek wystąpienia naruszenia.

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO