Adres poczty elektronicznej e-mail może być uznany za daną osobową. Niestety często dochodzi do naruszenia bezpieczeństwa danych wskutek nieuważnego udostępniania listy odbiorców wiadomości podczas wysyłek masowych.
Administrator danych winien zapewnić środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych adresatów wiadomości.
Obowiązki ADO a wysyłka masowa korespondencji elektronicznej
Wystąpienie GIODO w sprawie DOLIS-035-1157/15 z 19 sierpnia 2015 r. do Spółki dotyczyło wysłania wiadomości ujawniającej listę mailingową, zawierającą dane osobowe innych adresatów tejże wiadomości – takie jak adres email oraz imię i nazwisko wraz z odpowiedzią.
Zgodnie z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane legalnie. Administrator danych winien zapewnić by dane osobowe były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.
W praktyce oznacza to tyle, że osoba (do której skierowana jest korespondencja przesyłana także do innych odbiorców), co do zasady, nie powinna mieć możliwości zapoznawania się z danymi pozostałych adresatów wiadomości. Administrator danych osobowych ma obowiązek przestrzegania przepisów ustawy o ochronie danych osobowych.
Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych ma obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W myśl cytowanego przepisu administrator w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Ponadto zgodnie z art. 39 ust. 2 ustawy o ochronie danych osobowych:
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
A co za tym idzie w przypadku wysyłania korespondencji do większej liczby osób należy dbać o to, aby żaden z odbiorców nie mógł zapoznać się z adresami poczty elektronicznej innych adresatów wiadomości.
Oczywiście możliwe jest wysyłanie wiadomości do wielu adresatów o ile odbywa się to w zgodzie z prawem.
Istnieje zatem konieczność zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zgodnie z art. 36 ust. 1 ustawy każdy administrator danych ma obowiązek wprowadzenia takich środków oraz rozwiązań technicznych i organizacyjnych, które zapewnią danym osobowym, jakie przetwarza – w konkretnych warunkach i okolicznościach przetwarzania, skuteczną ochronę przed potencjalnymi zagrożeniami.
Co grozi za udostępnienie danych osobowych osobie nieupoważnionej?
Zgodnie z art. 51 ust. 1
Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Ustęp 2 powyższego przepisu określa, iż w sytuacji, gdy sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku
Podsumowanie
Udostępnienie danych osobom nieupoważnionym to nie tylko zagrożenie sankcjami karnymi, ale również utrata dobrego wizerunku. Dlatego tak ważne jest by gdy wysyłamy wiadomości e-mail do grupy kilkudziesięciu czy kilkuset adresatów warto pamiętać by skorzystać z opcji „kopii ukrytej” (BCC, UDW) i tym samym zapewnić bezpieczeństwo przetwarzanych danych.