Jak reagować w wypadku wystąpienia błędu w wysyłce korespondencji elektronicznej

Zgłoszenie naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych jest nowym obowiązkiem administratorów danych, jaki został nałożony przez przepisy RODO.

WAŻNE!

Zgodnie z art. 33 ust. 1 RODO: w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

W praktyce jedną z najczęstszych sytuacji, w których dochodzi do takiego naruszenia, jest prowadzenie korespondencji e-mailowej. Pomimo wdrożonych polityk i instrukcji dotyczących zasad przetwarzania danych osobowych oraz przeszkolenia pracowników, ciągle zdarzają się błędy, które mogą skutkować naruszeniem ochrony danych osobowych. Najczęstszymi incydentami w tym obszarze jest wysłanie poczty na błędny adres mailowy, wysłanie korespondencji do wielu odbiorców bez ukrycia ich adresów e-mail (bez użycia opcji „kopia ukryta”), wysłanie niezaszyfrowanych załączników zawierających dane osobowe do osób nieuprawnionych.

WAŻNE!

Bez względu na wdrożone procedury ochrony danych osobowych oraz przeprowadzone szkolenia osób upoważnionych do przetwarzania danych osobowych, w każdej organizacji będą zdarzać się drobne (a czasem większe) incydenty dotyczące naruszenia ochrony danych osobowych. Co więcej, sam Prezes Urzędu Ochrony Danych Osobowych w swoich komunikatach zwraca uwagę na to, że jest w pełni świadomy, iż będą się zdarzać incydenty ochrony danych osobowych.

Błędy popełnione przez system lub osoby przetwarzające dane osobowe są powszechnym zjawiskiem. Ważne jest jednak, żeby w tego typu sytuacjach odpowiednio reagować.

Dobrze przygotowane instrukcje oraz przeszkolenie pracowników w zakresie kroków, jakie powinni podejmować w przypadku naruszenia ochrony danych osobowych, pozwoli zminimalizować skutki takich incydentów oraz umożliwi zgodną z przepisami RODO reakcję administratora danych.

Poniżej przedstawiono przykładowe wytyczne dotyczące prowadzenia korespondencji e-mail. Z uwagi na różnorodność form organizacyjno-prawnych oraz branż, w których działają administratorzy danych, przedstawione zapisy należy traktować jako wskazówki do opracowania wewnętrznych instrukcji dostosowanych do indywidualnej sytuacji każdego administratora danych.