Korzystając z poczty elektronicznej można bardzo łatwo popełnić błąd polegający na ujawnieniu adresów e-mail albo wysłaniu zawartości wiadomości osobom nieupoważnionym. W takim przypadku dochodzi do omyłkowego udostępnienia danych, które może być kwalifikowane jako naruszenie RODO. Już bowiem sam adres e-mail może stanowić dane osobowe. Dostęp do danych uzyskują wówczas osoby nieuprawnione. Zobacz, jak postąpić w tej trudnej sytuacji.
Nieumiejętne posługiwanie się pocztą elektroniczną może bowiem prowadzić do naruszeń ochrony danych osobowych i grozić poważnymi konsekwencjami prawnymi. Dlatego każdy ADO ma obowiązek wdrożenia odpowiednich środków bezpieczeństwa danych osobowych, odpowiednio do poziomu do ryzyka ich naruszenia. Środki te, w szczególności techniczne i organizacyjne powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także stan wiedzy technicznej i koszty wdrażania. Muszą one być również zgodne wynikającymi z przepisów RODO zasadami uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default).
Oczywiste jest, że administrator danych osobowych powinien zapewnić skrupulatne sprawdzanie adresatów wiadomości e-mail. Ponadto przy wysyłce masowej pracownicy powinni otrzymać polecenie korzystania z opcji pozwalającej na ukrywanie adresów mailowych odbiorców wiadomości. Dzięki temu mogą oni udostępniać dane osobowe uprawnionym odbiorcom.
Reguły te należy ustalić w wewnętrznej dokumentacji dotyczącej korzystania ze sprzętu komputerowego i poczty elektronicznej.
Nawet najlepsze zabezpieczenia nie wykluczą jednak w 100% możliwości popełnienia błędu skutkującego naruszeniem ochrony danych osobowych. Za takie naruszenie jest bowiem uznawane nawet przypadkowe nieuprawnione ujawnienie danych osobowych (art. 4 pkt 12 RODO).
W przypadku korzystania z poczty elektronicznej dwa najczęściej występujące incydenty związane z naruszeniem ochrony danych to nieprawidłowe zaadresowanie wiadomości e-mail zawierającej dane osobowe oraz nieukrycie odbiorców wiadomości przy wysyłce masowej. W obu przypadkach może dojść do wysłania danych osobowych osobom nieupoważnionym np. zawartych w treści maila (np. danych kontrahentów). Problemem jest również samo ujawnienie adresów e-mail będących danymi osobowymi pozostałym odbiorcom wiadomości.
W przypadku naruszenia ochrony danych osobowych poprzez błąd przy wysyłce korespondencji e-mail należy w pierwszej kolejności wyjaśnić wszystkie okoliczności związane z incydentem, a także ustalić jakie dane osobowe, w jakim zakresie i komu zostały udostępnione. Incydent powinien zostać ujawniony w wewnętrznym rejestrze naruszeń ochrony danych osobowych, do prowadzenia którego zobligowany jest każdy administrator danych.
Następnie administrator danych osobowych powinien dokonać oceny poziomu wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności od wyniku dokonanej oceny, a mianowicie stwierdzonego określonego poziomu ryzyka naruszenia (niski, średni, wysoki) administrator powinien dobrać kroki prawne przewidziane w RODO w stosunku do Prezesa Urzędu Ochrony Danych Osobowych, jak i osób, których dane dotyczą.
Niezależnie od ustalonego poziomu ryzyka ADO musi podjąć działania zaradcze, których celem powinno być ograniczenie ryzyka wystąpienia podobnych incydentów na przyszłość.
Jeżeli w wyniku opisanych wyżej działań administrator ustali, że pomimo incydentu ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, wówczas nie musi dokonywać zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ani informować o tym naruszeniu osób, których dane dotyczą.
Wiadomość e-mail z nieukrytymi odbiorcami wiadomości trafił do kilku znanych administratorowi danych odbiorców, z którymi pozostaje on w stałych kontaktach. Wiadomość zawierała jedynie adresy mailowe odbiorców (a zatem ich dane podstawowe) i dotyczył np. zdarzenia, zadania, w którym osoby te biorą udział lub razem współpracują. Jest to wprawdzie naruszenie ochrony danych, ale nacechowane niskim ryzykiem, dlatego nie ma konieczności zgłaszać go do Prezesa UODO ani informować o nim podmiotów danych.
Z kolei w przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych administrator przyjmuje, że doszło do naruszenia ochrony danych. W takim przypadku musi on zgłosić naruszenie ochrony danych Prezesowi UODO. - nie później niż w terminie 72 godzin zgłosił fakt naruszenia właściwemu organowi nadzorczemu (art. 33 RODO).
Wreszcie w razie stwierdzenia incydentu, który może powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, administrator musi nie tylko zawiadomić Prezesa UODO, ale także poinformować podmiot danych o naruszeniu, chyba że podjął działania prewencyjne przed zaistnieniem naruszenia, działania zaradcze po wystąpieniu naruszenia lub zawiadomienie podmiotu danych wymagałoby niewspółmiernie dużego wysiłku (w tym ostatnim przypadku konieczny jest publiczny komunikat o zaistniałym naruszeniu) – art. 34 RODO.
Zawiadomienie podmiotu danych powinno być wyrażone jasnym i prostym językiem oraz powinno zawierać przynajmniej następujące informacje:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
