Przesłanie email na błędny adres
Przesłanie email na błędny adres i brak adekwatnych działań po stronie administratora doprowadził do nałożenia na niego kary administracyjnej. Dnia 03 listopada 2021r. Prezes Urzędu Ochrony Danych Osobowych wydał Decyzję w sprawie o sygn. akt.: DKN.5131.18.2022 W sprawie wydany został także Komunikat, jakiego treść znajduje się na stronie internetowej Urzędu pt. „Kolejna kara dla operatora telekomunikacyjnego za brak zgłoszenia naruszenia„.
Korespondencja email ...
Lektura Decyzji UODO powinna przypominać ADO o obowiązkach, jakie ciążą na nich w związku z prowadzeniem korespondencji z wykorzystaniem środków komunikacji elektronicznej na odległość (nie tylko email). Istotne dla ADO jest to, że jasno zostało powiedziane, że odpowiedzialność za poprawność danych kontaktowych ponosi osoba je udostępniająca, oczywiście za zasadne i celowe uznaję tutaj mimo wszystko podejmowanie prób weryfikacji poprawności przekazywanych danych kontaktowych, już na etapie ich uzyskiwania przez ADO.
Pamiętać należy, że oprócz zwykłej wymiany informacji, jakie znajdują się w treści otwartej korespondencji email, w realiach
- podmiotów medycznych, adres email podany w związku z udzielaniem świadczeń, zapisany zostanie w dokumentacji medycznej Pacjenta, w celu jego późniejszego wykorzystania np. do udostępnienia dokumentacji medycznej,
- placówek oświatowych, adres email służyć może np. do założenia konta niezbędnego do obsługi elektronicznego dziennika,
- biznesowych, adres email służyć może np. do założenia konta użytkownika serwis.
Na czym polegało zdarzenie ...
Jak czytamy w treści Decyzji PUODO
cyt.: „(…) Do Prezesa Urzędu Ochrony Danych Osobowych, (…) dnia […] lutego 2022 r. wpłynęła informacja od Pana J. G., (…) , przekazana pocztą elektroniczną z adresu e-mail: […], który oświadczył, że: ,,W dniu dzisiejszym otrzymałem maila z umową Play. Nie jestem klientem Play, umowa dotyczy innej osoby o tym samym nazwisku. Na umowie są wszystkie dane tej osoby łącznie z PESEL i nr dowodu”. Do ww. informacji osoba trzecia załączyła wiadomość elektroniczną otrzymaną od P4 Sp. z o.o., ul. Wynalazek 1, 02-677 Warszawa (zwanej dalej „Spółką” lub „Administratorem”), z której wynikało, że: „Zgodnie z życzeniem przesyłamy Pani/Panu/Państwu zestaw dokumentów do zamówienia nr […]”.(…)”.
Wyjaśnienia ADO ...
W związku z ww. informacją UODO zwrócił się do ADO z wnioskiem o udzielenie wyjaśnień. Z udzielonej odpowiedzi wynika wynika w szczególności, że:
cyt.: „Kopia Umowy wysłana została na adres zapisany w Umowie, podpisanej uprzednio przez Klienta. Podpisanie dokumentu jest sygnałem dla Administratora, że Spółka wysyłając wiadomość e-mail na adres wskazany w Umowie (nawet błędny) kontaktuje się z osobą, której dane dotyczą (na podstawie podpisanego dokumentu i potwierdzenia danych), nie zaś z inną osobą.
cyt.: „Spółka podziela stanowisko Prezesa UODO wyrażone w decyzji dotyczącej sprawy ZSPR.440.1090.2019 „[…] Każda osoba może dowolnie wskazać swój adres e-mail, gdyż to ona ponosi konsekwencje nieodebrania korespondencji kierowanej pod ten adres. Spółka nie ma zaś możliwości weryfikacji prawdziwości danych w zakresie adresu e-mail podanych przez klienta i kierując korespondencję pod inny, niż wskazany przez osobę zainteresowaną adres e-mail, zaniechałaby należytej staranności w kontaktach z tą osobą, co uniemożliwiałoby skuteczne doręczenie jej korespondencji tym kanałem kontaktu.[…]”.
Wyjaśnienia ADO ...
Jak czytamy w Decyzji UODO
cyt.: „Art. 174a ust. 2 i 4 Prawa telekomunikacyjnego wskazuje, że przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych, a przez naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, rozumie się takie naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej.”
Jak czytamy w Decyzji UODO
cyt.: „Zgodnie z art. 174a ust. 1 Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa UODO o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu 611/2013. Stosownie zaś do art. 2 ust. 1 i 2 rozporządzenia 611/2013, dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych, a powiadomienie o takim przypadku nastąpić ma nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne. W powiadomieniu skierowanym do właściwego organu krajowego dostawca zawiera informacje określone w załączniku I do rozporządzenia 611/2013. Uznaje się, że doszło do wykrycia naruszenia danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych, w celu przekazania zasadne powiadomienia zgodnie z wymogami niniejszego powiadomienia.
„
Jak czytamy w Decyzji UODO
cyt.: „Zgodnie z art. 174a ust. 1 Prawa telekomunikacyjnego dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa UODO o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu 611/2013. Stosownie zaś do art. 2 ust. 1 i 2 rozporządzenia 611/2013, dostawca powiadamia właściwy organ krajowy o wszystkich przypadkach naruszenia danych osobowych, a powiadomienie o takim przypadku nastąpić ma nie później niż 24 godziny po wykryciu naruszenia danych osobowych, jeśli jest to wykonalne. W powiadomieniu skierowanym do właściwego organu krajowego dostawca zawiera informacje określone w załączniku I do rozporządzenia 611/2013. Uznaje się, że doszło do wykrycia naruszenia danych osobowych, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia danych osobowych, w celu przekazania zasadne powiadomienia zgodnie z wymogami niniejszego powiadomienia.
Reasumując ...
Aby uchronić Państwa przed pochopnym wnioskiem, iż kara nałożona została na ADO w związku z wysyłka przez niego korespondencji email zawierającej dane osobowe abonenta, na nieprawidłowy adres email, jednak adres podany przez niego przy zawieraniu umowy, poniżej cytuję kolejny fragment z Decyzji UODO
cyt.: „(…)Spółka nie przeprowadziła po uzyskaniu informacji, o której mowa w pkt 1 [dop. przekazanie informacji o błednym adresie email przez samego Klienta już po przesłaniu ayutomatycznym dokumentacji na uprzednio podany adres email] powyżej, analizy, która skutkowałaby prawidłowym rezultatem, tj. wykryciem naruszenia danych osobowych. Nie dokonała tego również po uzyskaniu informacji, o której mowa w ww. pkt 2. [dop. po przekazaniu wystąpienia UODO z wnioskiem o wyjaśnienia okoliczności zdarzenia] (…).
Korespondencja email ...
Lektura Decyzji UODO powinna przypominać ADO o obowiązkach, jakie ciążą na nich w związku z prowadzeniem korespondencji z wykorzystaniem środków komunikacji elektronicznej na odległość (nie tylko email). Istotne dla ADO jest to, że jasno zostało powiedziane, że odpowiedzialność za poprawność danych kontaktowych ponosi osoba je udostępniająca, oczywiście za zasadne i celowe uznaję tutaj mimo wszystko podejmowanie prób weryfikacji poprawności przekazywanych danych kontaktowych, już na etapie ich uzyskiwania przez ADO.
Pamiętać należy, że oprócz zwykłej wymiany informacji, jakie znajdują się w treści otwartej korespondencji email, w realiach
- podmiotów medycznych, adres email podany w związku z udzielaniem świadczeń, zapisany zostanie w dokumentacji medycznej Pacjenta, w celu jego późniejszego wykorzystania np. do udostępnienia dokumentacji medycznej,
- placówek oświatowych, adres email służyć może np. do założenia konta niezbędnego do obsługi elektronicznego dziennika,
- biznesowych, adres email służyć może np. do założenia konta użytkownika serwis.