Najpopularniejszy w Polsce portal o finansach i biznesie
Groźba gigantycznych kar za ujawnienie adresu e-mail. Firmy mają 72 godziny, by się przyznać

Groźba gigantycznych kar za ujawnienie adresu e-mail. Firmy mają 72 godziny, by się przyznać

Niefrasobliwa wysyłka wiadomośc e-mail może skończyć się upomnieniem lub gigantyczną karą Fot. Mariusz Gaczynski/kolaż: Money.pl
Niefrasobliwa wysyłka wiadomośc e-mail może skończyć się upomnieniem lub gigantyczną karą

Przeoczenie jednej literki i problem dla firmy gotowy. Za ujawnienie adresu e-mail osobom postronnym grożą wysokie kary. Problem, jak poinformował nas czytelnik, dotyczy także sektora publicznego.

Niefrasobliwe traktowanie informacji o klientach lub obywatelach - w zależności od pomiotu, który nimi dysponuje - miało skończyć się wraz z wprowadzeniem RODO. Nowe przepisy z pewnością doprowadziły do wykwitu szeregu "rodoabsurdów". Na plus trzeba jednak zapisać ułatwienie walki o naszą prywatność. I tu właśnie pojawiają się firmy bombardujące nasze skrzynki reklamami. To ich pracownikom w przypływie niefrasobliwości zdarza się wkleić listę adresatów do pola "DW" zamiast "UDW". "U", czyli ukryte. W ten sposób poznajemy adresy e-mail dziesiątek, jeśli nie setek osób.

Podobne sytuacje dotyczą najczęściej najmniejszych podmiotów, które nie korzystają z usług zewnętrznych firm zajmujących się hurtową wysyłką maili. Ich "ofiarami" wyjątkowo często padają... dziennikarze otrzymujące informacje prasowe od agencji marketingowych. Jeden z naszych czytelników, który skontaktował się nami za pośrednictwem formularza dziejesie.wp.pl, udowodnił, że problem zdarza się także w instytucjach państwowych. Przesłał nam zrzuty ekranu z wiadomością, którą otrzymał od pracownicy jednego z oddziałów ZUS w październiku minionego roku, a więc jeszcze przed wprowadzeniem RODO. W polu "do wiadomości", podobnie jak inni adresaci, mógł znaleźć adresy kilkuset innych odbiorców wiadomości.


Dziejesie.wp.pl

W myśl ówcześnie obowiązującej ustawy sprawca takiego ujawnienia mógł zostać ukarany grzywną, karą ograniczenia lub nawet pozbawienia wolności do lat 2.

O to, jak sytuacja wygląda w świetle dziś obowiązujących przepisów zapytaliśmy w Urzędzie Ochrony Danych Osobowych. - To zarówno niedopatrzenia, jak i naruszenia bezpieczeństwa przetwarzania danych osobowych - mówi nam dyrektor Zespołu ds. Sektora Prywatnego w UODO Weronika Kowalik. Adres e-mail "w niektórych sytuacjach może być uznany za daną osobową i należy go traktować z uwzględnieniem zasad wynikających z przepisów o ochronie danych osobowych".

Zobacz też: Wdrożenie RODO w Polsce kuleje:


A naruszenie bezpieczeństwa przetwarzania danych osobowych to już poważna sprawa. Każdy taki przypadek wymaga jednak indywidualnej oceny i to od niej zależy, jakie działania PUODO podejmie w stosunku do firmy, która dokonała naruszenia.

Mogą to być m.in. zalecenia, upomnienia, ostrzeżenia czy nakazy.

- Należy bowiem podkreślić, że kluczowym elementem każdego planu reagowania na naruszenia powinna być ochrona osób fizycznych i ich danych osobowych - wskazuje dyrektor Zespołu ds. Sektora Prywatnego w Urzędzie Ochrony Danych Osobowych.

Jak dodaje, jeśli sytuacja będzie tego wymagała, Prezes Urzędu Ochrony Danych Osobowych może również nałożyć administracyjną karę pieniężną. Zgodnie z przepisami RODO, maksymalna taka kara może sięgnąć nawet 4 proc. rocznego obrotu firmy lub kwoty 20 mln euro. Niemniej przy jej wymierzaniu pod uwagę branych powinno być aż 11 różnych, wskazanych w RODO czynników, które będą miały wpływ na jej wysokość.

- Każda z sytuacji musi być analizowana zależnie od okoliczności danego przypadku. Trzeba bowiem, po pierwsze, stwierdzić, czy w wyniku naruszenia doszło do ujawnienia danych identyfikujących osoby. Po drugie ustalić m.in. charakter, wagę i czas naruszenia, jego umyślny czy nieumyślny charakter, to, jakie działania zostały podjęte przez administratora czy podmiot przetwarzający, czy wcześniej w firmie tej zdarzały się już jakieś naruszenia, jakich kategorii danych osobowych dotyczy konkretne naruszenie. Analizowane muszą być te i inne łagodzące lub obciążające okoliczności, w tym wpływ na prawa i wolności osób, których dane dotyczą - podkreśla dyrektor Zespołu ds. Sektora Prywatnego w UODO.

Na korzyść firmy, w której doszło do naruszenia ochrony danych, może np. podziałać jej postawa, m.in. to, czy współpracuje z organem nadzorczym i czy sama zgłosiła naruszenie do Prezesa UODO. Zgodnie z przepisami RODO, w sytuacji, gdy spowodowane takim przypadkiem ryzyko naruszenia praw i wolności osób, których dane dotyczą, jest większe niż mało prawdopodobne, administrator powinien zgłosić naruszenie do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godz. od jego stwierdzenia.

- Taki sygnał może też wpłynąć od osoby, której dane dotyczą, ale od nikogo nie oczekujemy "obywatelskich donosów" - podkreśla Weronika Kowalik.

Przede wszystkim jednak to firmy powinny informować osoby, których dane zostały naruszone, gdy naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. - To bowiem bardzo ważne, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami - dodaje urzędniczka.

Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl

e-mail, dane osobowe, mailing, rodo, uodo
Money.pl
Czytaj także
Polecane galerie
Leon Z
2018-08-24 10:53
Dziękujemy Ci łunio jewropejsko za twoje dobre matczyne serce i troskę o obywateli. Dzięki twoim światłym przepisom łatwo nauczać obecne pokolenia czym jest komunizm i głupota urzędnicza.
hajot
2018-08-23 11:28
Jak to jest? W Niemczech gdzie tak samo obowiązuje nowa ochrona danych bo to regulacja UE, komuny legfalnie sprzedają informacje osobowe mieszkańców
Martin
2018-08-23 10:55
Chyba podanie adresu email to nie jest takie straszne gorzej jakby podawali dane osobowe, chociaż nie powiem czytało się tu i tam gdzie firmy kserowały dowody klientów i kto wie co z nimi dalej robili ...
Pokaż wszystkie komentarze (66)