Błędny adres e mail podany przez klienta
Co się wydarzyło?
Klient podał administratorowi błędny adres e-mail. Następnie na adres ten
została wysłana korespondencja zawierająca polisę ubezpieczeniową, która trafiła do osoby trzeciej. Plik zawierający polisę nie był chroniony hasłem, dlatego też osoba, która otrzymała wiadomość mogła bez przeszkód zapoznać się z danymi osobowymi zawartymi w treści dokumentu.
Zalecenia:
Komunikując się z klientem poprzez pocztę elektroniczną administrator powinien mieć świadomość ryzyka związanego np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu jego minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne takie jak:
– weryfikacja adresów mailowych wskazywanych przez klientów
– szyfrowanie plików zawierających dane osobowe, które są przesyłane
w wiadomościach elektronicznych.
Uwaga:
Błąd klienta nie zwalnia administratora z odpowiedzialności za
naruszenie ochrony danych oraz ewentualnych jego konsekwencji.
Uzasadnienie zaleceń czyli jak sprawę ocenił Urząd z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność. Fakt, iż do naruszenia doszło w wyniku błędu klienta,
który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na
ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych. Jego skutkiem jest bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych.
Czy zwrócenie się do osoby, która otrzymała wiadomość o jej usunięcie jest wystarczającym działaniem administratora?
Nie, zgodnie ze stanowiskiem Urzędu dla oceny naruszenia nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem pewności, czy przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem administrator nie ma możliwości jego faktycznej weryfikacji.
Działanie takie jednak stawia administratora w lepszym świetle przed Prezesem Urzędu Ochrony Danych Osobowych.
Na podstawie decyzji dot.:
TUiR WARTA S.A. z dnia 09.12.2020 r.,
sygn.: DKN.5131.5.2020, https://uodo.gov.pl/pl/138/1801
![Placówki oświatowe: Ochrona danych osobowych uczniów i nauczycieli w szkołach. [odpowiedzi na częste pytania]](https://coreconsulting.pl/wp-content/uploads/2020/10/xcc_school-770x510-1-768x509.webp)
![Placówki oświatowe: informacje publiczne i klauzule [case studies]](https://coreconsulting.pl/wp-content/uploads/2022/08/xszkola-770x510-1-768x509.webp)
