Wysłanie maila do złego adresata to dość powszechna pomyłka. Każdemu się zdarzyła pewnie nie raz, także i mnie. Czasem błąd polega na wybraniu złego odbiorcy z książki adresowej, innym razem na literówce we wpisywanym ręcznie adresie odbiorcy. Serwer pocztowy odbiorcy może zwrócić wiadomość z komunikatem „odbiorca o danym adresie nie istnieje”. Wtedy spada kamień z serca, bo Twój e-mail nie został do nikogo doręczony. Gdy odbiorca jednak istnieje wtedy masz do czynienie z incydentem związanym z przetwarzaniem danych. Czy oznacza to kłopoty?

Mail wewnętrzny i zewnętrzny

Pomyłka w adresie odbiorcy może dotyczyć zarówno wiadomości wysyłanych wewnątrz firmy jak i poza nią. Zazwyczaj, gdy myślimy o tego typu incydentach, mamy na myśli e-maile, które wysyłasz poza swoją organizację. Jednak także maile będące częścią komunikacji wewnętrznej mogą stanowić naruszenie. Pamiętaj, że jest nim każde ujawnienie danych osobowych osobom nieupoważnionym, niezależnie od miejsca ich przebywania czy pracy. Dlatego wysłanie maila do złego odbiorcy także wewnątrz organizacji może być zaklasyfikowane jako incydent. Jako administrator powinieneś uczulić na to swoich pracowników.

Takie naruszenie przetwarzania danych osobowych może nastąpić w każdej firmie niezależnie od jej wielkości. W dużych korporacjach jeżeli wyślesz e-mail z danymi kontrahenta czy listą osób zapisanych do newslettera do osoby z niewłaściwego pionu czy działu będzie to naruszenie. Programista, który jest odbiorcą tej wiadomości nie miał prawa poznać tych danych. Upoważnienie do ich przetwarzania w ramach tych czynności mają odpowiednio pracownicy działu zamówień i marketingu. W małych firmach naruszeniem może być wysłanie danych osobowych umieszczonych na CV kandydata do pracy do złego pracownika. Zatem pamiętaj, że także pomyłki w wewnętrznej korespondencji stanowią naruszenie.

Czy wysyłka maila do złego adresata to naruszenie danych osobowych?

Gdy już stwierdzisz, że wystąpił incydent związany z przetwarzaniem danych osobowych to musisz podjąć decyzję o dalszym postępowaniu. Tu nie masz dużego wyboru, konkretne obowiązki nakłada na Ciebie wprost RODO. Każdą taką sytuację musisz odnotować w rejestrze naruszeń który znajdziesz się w pakiecie RODO dla firm jednoosobowych oraz Pakiecie RODO dla firm zatrudniających pracowników. Jest to jeden z dokumentów, które każde przedsiębiorstwo musi prowadzić. Reguluje to artykuł 33 w punkcie 5.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Artykuł 33, punkt 5

Ponadto incydent musisz zgłosić do organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli żadna z tych przesłanek nie jest spełniona masz 72 godziny na poinformowanie UODO. Wtedy też bez zbędnej zwłoki, zgodnie z zapisami artykułu 34 RODO, musisz poinformować o tym zdarzeniu osobę poszkodowaną, której dane zostały ujawnione. Samo odnotowanie w rejestrze naruszeń nie wystarczy.

Pamiętaj, jeśli w treści wysłanej wiadomości e-mali lub w załączniku do tej wiadomości, umieszczone były dane osobowe, które mogłyby być wykorzystane przez nieuprawnioną osobę i spowodować jej szkodę, to należy taki zdarzenie zakwalifikować jako incydent naruszenia bezpieczeństwa i jak najszybciej podjąć kolejne kroki. Kolejna ważna rzecz – jeśli wsród wysłanych danych znalazły się te wymienione w art. 9 RODO, czyli w mailu znajdują się dane wrażliwe typu pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub dane genetyczne, dotyczące zdrowia lub życia seksualnego, to należy automatycznie uznać, że występuje duże prawdopodobieństwo wystąpienia takiej szkody.

O tym czy wysłanie maila do złego odbiorcy zostanie zaklasyfikowane jako incydent decyduje administrator. Tak samo jest to jego decyzja czy należy powiadomić o zdarzeniu organ nadzorczy i osoby, których dane ujawniono. Jako właściciel przedsiębiorstwa musisz ją podjąć po dokonaniu odpowiedniej oceny zdarzenia. Niektóre sytuacje, jak ujawnienie danych z dowodu osobistego, na pewno będą wymagały takiego zgłoszenia i powiadomienia poszkodowanych. Inne mogą wymagać jedynie dokonania wpisu w rejestrze incydentów. Sprawdź artykuł „72 godziny na zgłoszenie naruszenia” w którym znajdziesz kilka pomocnych przykładów. Zawiera on także rekomendacje, w jaki sposób przedsiębiorca może się przygotować na wystąpienie incydentu. Dowiesz się z niego w jaki sposób przygotujesz swoją firmę na wypadek wystąpienia naruszenia.

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku: https://www.facebook.com/AnnaZamojcinARP

zamówienie Nie omieszkaj wbić się na instagram: https://www.instagram.com/rodozgodny

YT A tu obejrzysz porady wideo: https://www.youtube.com/channel/UCDfrurKd9Q7CeIae1uwHjuw