Zasady wysyłania seryjnych wiadomości w urzędach

Trudno wykazać się podstawą prawną zawartą w RODO, gdy wysyłamy komunikat o tej samej treści na skrzynkę odbiorczą więcej niż jednego obywatela, zwłaszcza gdy obywatele ci nie są ze sobą powiązani i łączy ich jedynie fakt posiadania statusu interesanta. W analizowanej przez UODO sprawie, ADO udostępnił dane osobowe skarżącego w zakresie adresu e-mail w seryjnych wiadomościach e-mail przesyłanych w kopii otwartej. Wiadomości przesyłano w celu przekazania - w ramach realizacji zadań publicznych - informacji obejmujących takie kategorie spraw jak:

• najczęściej zadawane pytania;

• zmiany w przepisach;

• zasady obsługi podczas pandemii oraz

• przypomnienia o ogłoszeniach umieszczanych w Biuletynie Informacji Publicznej ADO.

Sprawa zakończyła się skierowaniem do ADO upomnienia.

Jak łatwo wykazał UODO przy przytaczanej sprawie udostępnienie danych osobowych w zakresie adresu e-mail nieuprawnionym osobom trzecim w przytoczonych w powyższym przykładzie celach:

• nie było niezbędne do ich realizacji oraz
• nie miało podstaw w przepisach RODO. 

Przede wszystkim skarżący nie wyraził zgody na takie udostępnienie, co pozwalałoby na ujawnienie na podstawie art. 6 ust. 1 lit. a RODO. Udostępnienie nie wypełniało też innych przesłanek przetwarzania z art. 6 ust. 1 RODO, tj.:

• nie było niezbędne do wykonania umowy, której stroną był skarżący lub do podjęcia na jego żądanie działań przed zawarciem umowy (lit. b);
• nie było niezbędne do wypełnienia obowiązku prawnego ciążącego na ADO (lit. c) ani do ochrony żywotnych interesów skarżącego lub innej osoby fizycznej (lit. d);
• nie służyło wykonaniu zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej ADO (lit. e) ani celom wynikającym z prawnie uzasadnionych interesów realizowanych przez ADO lub przez stronę trzecią (lit. f). 

Ponadto opisane działania naruszały zasady minimalizacji oraz poufności danych, opisane w art. 5 ust. 1 lit. c i f RODO. 

W omawianym przypadku UODO zauważył, że:

• udostępnienie adresu e-mail skarżącego osobom trzecim nie było niezbędne do realizacji celu udzielenia informacji dotyczących bieżącej pracy komórki organizacyjnej ADO oraz
• nie prowadzono procesu przetwarzania danych osobowych skarżącego w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. 

W rezultacie omawiane postępowanie zakończyło się tym, że Prezes UODO wydał decyzję, w której upomniał ADO w zakresie stwierdzonego naruszenia przepisów art. 6 ust. 1 RODO z uwagi na udostępnienie danych osobowych skarżącego na rzecz nieuprawnionych osób trzecich.

Przy seryjnej wysyłce wiadomości e-mail stosujmy metodę wysyłki UDW/BCC. W ramach metody UDW/BCC, zamiast dodawać wszystkich odbiorców w polu głównego adresata (pole „do”), ich adresy wpisujmy w pole zwane - w zależności od językowych ustawień skrzynki e-mail - UDW („Ukryci do wiadomości”) lub BCC („Blind Carbon Copy”). Czasem taką opcję należy na stałe rozwinąć, poprzez ustawienia konkretnej skrzynki. Powyższa opcja zapewnia, że żaden odbiorca wiadomości nie będzie wiedział, do kogo jeszcze daną wiadomość skierowaliśmy.

Obok wdrożenia powyższej metody należy bezwzględnie przekazać taką wiedzę naszemu personelowi, a zwłaszcza przyjmowanym praktykantom. Szkolenia w tym zakresie należy również powtarzać cyklicznie, ponieważ z reguły nie wiemy, jak często zlecimy danej osobie przeprowadzenie konkretnej wysyłki seryjnej.