Prawidłowo wpisany adres e-mail – błędne doręczenie. Czy to naruszenie ochrony danych osobowych?
Nieprawidłowe doręczenie wiadomości lub dokumentu zawierających dane osobowe może doprowadzić do naruszenia ochrony danych osobowych. Nie ma przy tym znaczenia, czy doszło do niego z powodu błędu zawinionego przez administratora, czy z innej przyczyny. Dla oceny danego przypadku szczególne znaczenie ma to, czy na skutek takiego zdarzenia może dojść do nieuprawnionego ujawnienia danych osobowych, a więc naruszenia poufności danych.
Ostatnio jeden z inspektorów ochrony danych zwrócił się z prośbą o wyjaśnienie, czy sytuację, w której wiadomość e-mail została prawidłowo zaadresowana przez administratora, lecz na skutek działania algorytmów dostawcy poczty elektronicznej została dostarczona do innej osoby, należy uznać za naruszenie ochrony danych osobowych.
Dla zobrazowania problemu przesłał następujący opis:
1. Administrator danych przesłał wiadomość e-mail na adres, który prawidłowo wskazywał adresata (np. jan.kowalski@…).
2. Z uwagi na specyfikę działania usługi poczty e-mail i ignorowanie kropki w adresie e-mail przed znakiem „@”, wiadomość została przekierowana do innej osoby (np. jankowalski@…).
3. Administrator danych dochował należytej staranności w zakresie adresowania wiadomości i nie miał wpływu na wewnętrzne mechanizmy dostarczania wiadomości przez usługę poczty e-mail.
IOD zapytał, czy w opisanej sytuacji mamy do czynienia z naruszeniem ochrony danych osobowych w rozumieniu przepisów RODO, a jeśli tak, to jakie kroki powinien podjąć administrator, aby uniknąć wystąpienia podobnego przypadku w przyszłości.
W odpowiedzi UODO, nie znając wszystkich szczegółów sprawy, przekazał wskazówki pomocne w rozstrzygnięciu przedstawionych wątpliwości.
Kiedy dochodzi do naruszenia ochrony danych osobowych?
Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). Inaczej mówiąc, naruszeniem ochrony danych osobowych jest zakłócenie bezpieczeństwa przetwarzanych danych osobowych, które może wpłynąć na ich poufność, integralność lub dostępność.
Prezes UODO w decyzji z 9 grudnia 2020 r. (sygn. DKN.5131.5.2020) wskazał, że „z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność. (…) Jego skutkiem jest bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych”.
W Poradniku UODO „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” (str. 8) wskazano również, że naruszenie ochrony danych osobowych pojawia się więc zawsze, gdy dochodzi do zdarzenia, które:
- • jest incydentem bezpieczeństwa;
- • dotyczy przetwarzanych danych osobowych;
- • może doprowadzić do ich nieuprawnionego zniszczenia, utracenia, zmodyfikowania, ujawnienia lub dostępu do nich.
Tym samym naruszeniem ochrony danych osobowych nie jest zdarzenie, które nie spełnia któregoś z tych warunków. Co istotne dochodzi do niego bez względu na to, czy wystąpi przez przypadek
(np. w wyniku błędu, zaniedbania lub nieprzewidzianej awarii technicznej) czy też na skutek celowego, bezprawnego działania.
Z naruszeniem ochrony danych osobowych możemy mieć zatem do czynienia nawet w sytuacji niezawinionego działania administratora. Istotą takiego zdarzenia jest bowiem nieuprawnione ujawnienie danych osobowych skutkujące naruszeniem poufności danych. A zatem w sytuacji nieprawidłowego doręczenia dokumentu zawierającego dane osobowe, mimo niezawinionego działania administratora, dochodzi do naruszenia poufności danych osobowych.
Zatem gdy wiadomość e-mail została prawidłowo zaadresowana przez administratora, lecz na skutek działania algorytmów dostawcy poczty elektronicznej została dostarczona do innej osoby, możemy mieć do czynienia z naruszeniem ochrony danych osobowych. W tej sytuacji konieczna może być też realizacja obowiązków określonych w art. 33 i 34 RODO, tj. zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienie osoby, której dane zostały ujawnione, o zaistniałym naruszeniu.
Ochrona na przyszłość
UODO zwrócił też uwagę, że administrator, mając wiedzę na temat przedstawionej „podatności” usługi poczty e-mail, w pierwszej kolejności powinien uwzględnić ją w analizie ryzyka.
Jednocześnie jako przykładowe wskazówki, jak chronić się przed wystąpieniem tego typu naruszenia w przyszłości, podał:
- • przekazywanie danych osobowych w zaszyfrowanych plikach [przy jednoczesnym przekazywaniu hasła umożliwiającego odszyfrowanie innym kanałem],
- • możliwość skierowania „próbnej” wiadomości e-mail niezawierającej danych osobowych,
a po potwierdzeniu jej otrzymania, przesłanie wiadomości z danymi osobowymi.
Warto też zaznaczyć, że pomocne informacje dotyczące powyższego zagadnienia znaleźć można również w rozdziale 6 wskazanego wyżej poradnika dotyczącego naruszeń, zatytułowanym „Zaradzanie naruszeniom ochrony danych osobowych”.
Pomocne materiały
Jednocześnie wskazówki dotyczące postępowania z naruszeniami ochrony danych znaleźć można w:
- Wytycznych EROD 9/2022 dotyczących zgłaszania naruszenia ochrony danych osobowych
na podstawie RODO (https://uodo.gov.pl/pl/537/2902), - Wytycznych EROD 1/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych (https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_pl),
- we wspomnianym poradniku UODO dotyczącym naruszeń ochrony danych osobowych i nagraniach z webinariów na temat tego poradnika (https://www.uodo.gov.pl/pl/138/3621).
