Wytyczne dotyczące prowadzenia korespondencji mailowej

§ 1

Zasady ogólne

  1. Do przetwarzania danych osobowych w zakresie prowadzenia korespondencji mailowej mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
  2. Administrator danych zobowiązany jest zapoznać każdego pracownika lub współpracownika z treścią dokumentacji dotyczącej zasad przetwarzania danych osobowych obowiązujących u administratora danych, w szczególności w zakresie dotyczącym wykonywanych przez niego obowiązków służbowych.
  3. Korzystając z systemów informatycznych, osoby upoważnione do przetwarzania danych powinny stosować tzw. zasadę czystego ekranu. Zasada ta oznacza, że w każdej sytuacji, kiedy pracownik odchodzi od komputera, powinien wylogować się z sytemu służącego do przetwarzania danych oraz uruchomić wygaszacz ekranu zabezpieczony hasłem.
  4. Monitory powinny być tak ustawione, by uniemożliwić podgląd informacji na ekranie osobom postronnym. Jeśli jest to możliwe, należy włączyć wygaszacz ekranu lub wylogować się z systemu.
  5. Korzystanie z sieci Internet i poczty elektronicznej dozwolone jest wyłącznie do celów służbowych.
  6. Zabrania się korzystania z prywatnej poczty e-mail, w szczególności do celów służbowych.
  7. Należy zwracać szczególną uwagę na poprawność adresu e-mail odbiorcy.
  8. Zabrania się otwierać załączniki (plików) w korespondencji elektronicznej nadesłanej przez nieznanego nadawcę lub zawierających podejrzane załączniki. W razie wątpliwości należy się skontaktować z administratorem danych.

 

§ 2

Zgłaszanie naruszeń

  1. W przypadku stwierdzenia, że doszło do naruszenia ochrony danych osobowych w zawiązku z wysyłką korespondencji e-mail, osoba upoważniona powiadamia natychmiast swojego bezpośredniego przełożonego.
  2. Bezpośredni przełożony osoby, która zgłosiła podejrzenie naruszenia ochrony danych osobowych, zawiadamia niezwłocznie administratora danych oraz inspektora ochrony danych (IOD), a jeśli IOD nie został powołany, zawiadomiona zostaje osoba, która u danego administratora danych została wyznaczona do zajmowania się kwestiami ochrony danych osobowych (zwana dalej „osobą wyznaczoną”).
  3. Inspektor ochrony danych lub osoba wyznaczona przeprowadzają rozmowę z pracownikiem, który zgłosił podejrzenie naruszenia ochrony danych osobowych oraz dokonują oględzin miejsca i komputera, na którym doszło do incydentu.
  4. Z przeprowadzonej rozmowy i oględzin inspektor ochrony danych lub osoba wyznaczona sporządzają raport, w którym powinny się znaleźć w szczególności informacje o:
    1. dacie i godzinie wystąpienia incydentu oraz czasie, w jakim doszło do powiadomienia IOD lub osoby wyznaczonej o incydencie,
    2. osobie zawiadamiającej o zaistniałym incydencie (innych osobach, które przekazały informacje dotyczące incydentu),
    3. rodzaju naruszenia bezpieczeństwa ochrony danych oraz okoliczności faktycznych dotyczących wystąpienia incydentu,
    4. rodzaju danych osobowych i kategorii osób, których te dane dotyczyły,
    5. przewidywanych skutkach wystąpienia incydentu,
    6. podjętych lub proponowanych działaniach w celu zapobieżenia negatywnym skutkom incydentu.
  5. Po zapoznaniu się z raportem opracowanym przez inspektora ochrony danych lub osobę wyznaczoną, administrator danych podejmuje decyzję o ewentualnym zgłoszeniu naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.
  6. Zgłoszenia dokonuje się za pośrednictwem formularzy dostępnych na stronie internetowej Urzędu Ochrony Danych Osobowych (//uodo.gov.pl/pl/134/233).

WAŻNE!

Zgłoszenie naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych powinno nastąpić w ciągu 72 godzin. Pamiętać jednak należy, że dotyczy to sytuacji, w których w wyniku incydentu zaistniało ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli administrator danych nie stwierdzi takiego ryzyka, wtedy nie ma potrzeby dokonywania formalnego zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych.

Zgodnie jednak z art. 33 ust. 5 RODO administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na zweryfikowanie przestrzegania niniejszego artykułu.

To, czy incydenty związane z korespondencją mailową (błędnie wysłana poczta, nieskorzystanie przy masowej wysyłce z funkcji „kopia ukryta”) powinny być zgłaszane do Urzędu Ochrony Danych Osobowych, zależy głównie od tego, jakiego rodzaju dane wyciekły (dane zwykłe czy też dane szczególnych kategorii) oraz jak wielu osób te dane dotyczą. Nie ulega wątpliwości, że inne zagrożenie niesie ze sobą błędne wysłanie oferty dla klienta, która zawiera tylko jego imię i nazwisko, a zupełnie inne skutki będzie miało wysłanie na błędny adres e-maila wiadomości, w której były np. informacje o stanie zdrowia pacjenta w przychodni. Podobne rozróżnienie dotyczy sytuacji, w której wysłano na błędny adres fakturę dotyczącą jednego klienta, a inne będą skutki, kiedy wysłano na błędny adres faktury dotyczące kilkudziesięciu klientów.

Po analizie raportu sporządzonego przez inspektora ochrony danych (jeśli był wyznaczony) i po konsultacjach z nim, administrator danych powinien podjąć decyzję, czy w danym przypadku należy zgłosić naruszenie organowi nadzorczemu, czy też wystarczające będzie odnotowanie incydentu w wewnętrznej dokumentacji. 

§ 3

Środki zastosowane w celu zaradzenia naruszeniu ochrony danych osobowych

  1. Po opracowaniu raportu, o którym mowa w § 2 ust. 4 niniejszej instrukcji, administrator danych podejmuje decyzję co do środków zaradczych, które zostaną wdrożone w celu zminimalizowania ewentualnych negatywnych skutków incydentu.
  2. Niezależnie od wdrożonych środków zaradczych, w przypadku błędnej wysyłki korespondencji e-mail
  3. należy, o ile to możliwe i nie naruszy zasad ochrony danych osobowych, skontaktować się z osobami, które przypadkowo otrzymały błędnie wysłaną korespondencję, z prośbą o jej niezwłoczne trwałe usunięcie oraz jej nierozsyłanie osobom trzecim.
  4. Jeżeli w wyniku błędnej wysyłki korespondencji e-mail administrator danych stwierdzi, że zaistniało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o zaistniałym incydencie.
  5. Wysyłając zawiadomienie, o którym mowa w ust. 3 niniejszego paragrafu, administrator danych informuje osobę, której dane dotyczą, o wdrożonych technicznych i organizacyjnych środkach ochrony uniemożliwiających osobom nieuprawnionym dostęp do danych osobowych oraz o środkach zastosowanych w celu minimalizacji ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.

 

WAŻNE!

Zgodnie z art. 34 RODO, jeżeli w wyniku incydentu naruszenia ochrony danych osobowych wystąpiło prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, administrator danych, oprócz Prezesa Urzędu Ochrony Danych Osobowych, powinien o incydencie zawiadomić także osoby, których dane wyciekły.

Tak jak zostało to wskazane wyżej, błędna wysyłka korespondencji e-mail może mieć bardzo różne skutki w zależności od tego, jakie dane i w jaki sposób wyciekły w wyniku omyłkowo wysłanej wiadomości.

Każda taka sytuacja powinna być dokładnie przeanalizowana przez administratora danych, który podejmuje decyzję, czy zawiadamiać osoby, których dane wyciekły o naruszeniu bezpieczeństwa ich danych osobowych.

Pamiętać jednak należy, że jeśli administrator danych nie zdecyduje się na powiadomienie Urzędu Ochrony Danych Osobowych lub osób, których dane dotyczą, powinien przynajmniej w wewnętrznej dokumentacji odnotować fakt wystąpienia incydentu i wskazać, z jakich powodów uznał, że dokonanie zgłoszeń, o których mowa w art. 33 i art. 34 RODO, nie jest konieczne.