OCHRONA DANYCH OSOBOWYCH JEST ISTOTNA TAKŻE PRZY MASOWYM WYSYŁANIU E-MAILI
Jeżeli administrator wysyła korespondencję do większej liczby adresatów, powinien zadbać
o to, aby każda z osób, do której skierowana jest tego typu korespondencja, nie miała możliwości zapoznawania się z danymi pozostałych odbiorców wiadomości, np. imionami, nazwiskami, ale również adresami e-mail.
Jedną z praktyk, która może prowadzić do naruszenia bezpieczeństwa danych w korespondencji elektronicznej jest nieukrywanie w wysyłkach masowych poszczególnych odbiorców. Przekonał się o tym jeden z administratorów z sektora publicznego, którego Prezes UODO upomniał za sposób prowadzenia masowej korespondencji.
Prowadzenie korespondencji seryjnej musi być zgodne z RODO
Chodzi o sprawię ze skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego, który domagał się zaprzestania udostępniania w korespondencji seryjnej w kopii otwartej nieupoważnionym osobom trzecim jego danych osobowych w zakresie adresu e-mail. Sprawa dotyczyła administratora reprezentującego sektor publiczny, a dane osobowe przetwarzane były w związku z realizacją zadań publicznych własnych oraz zleconych, wynikających z przepisów prawa.
Jak wykazało postępowanie przed organem nadzorczym administrator ten udostępnił dane osobowe skarżącego w zakresie adresu e-mail w wiadomościach przesyłanych pocztą elektroniczną jako korespondencja seryjna w kopii otwartej. Taką praktykę stosował jeden
z podległych administratorowi referatów w celu przesyłania informacji obejmujących cztery kategorie spraw:
• najczęściej zadawanych pytań nawiązujących do prowadzenia zleconego zadania,
• zmian w przepisach prawa,
• zasad obsługi wykonawców w pandemii oraz
• przypomnień o ogłoszeniach umieszczanych w BIP tego administratora.
Przetwarzanie danych tylko gdy to konieczne i w bezpiecznych warunkach
W ocenie organu udostępnienie danych osobowych w zakresie adresu e-mail nieuprawnionym osobom trzecim w ww. celach, nie było niezbędne do ich realizacji i nie znajdowało oparcia
w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, spośród określonych w art. 6 ust. 1 RODO. W szczególności skarżący nie wyraził zgody na powyższe udostępnienie (art. 6 ust. 1 lit. a), udostępnienie to nie było niezbędne do wykonania umowy, której stroną był skarżący lub do podjęcia na jego żądanie działań przed zawarciem umowy (art. 6 ust. 1 lit. b). Udostępnienie to nie było także niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c), jak również do ochrony żywotnych interesów skarżącego lub innej osoby fizycznej (art. 6 ust. 1 lit. d). Nie było ponadto niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e), a także do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f). Ponadto opisane działania administratora nastąpiły z naruszeniem zasady minimalizacji (art. 5 ust. 1 lit. c RODO) oraz zasady poufności danych (art. 5 ust. 1 lit. f RODO).
WNIOSEK: Na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia by przetwarzanie odbywało się
na podstawie co najmniej jednej z enumeratywnie wymienionych przesłanek art. 6 ust. 1 RODO. Ponadto zgodnie z zasadą minimalizacji, o której mowa w art. 5 ust. 1 lit. c RODO, przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Natomiast art. 5 ust. 1 lit. f RODO nakłada na administratora danych obowiązek przetwarzania danych osobowych zgodnie z zasadą integralności i poufności. Oznacza to, że administrator powinien zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
Zgodnie z art. 24 ust. 1 RODO zdanie pierwsze, uwzględniając charakter, zakres, kontekst
i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc je wykazać.
Zdaniem organu nadzorczego w tym przypadku udostępnienie adresu e-mail skarżącego osobom trzecim nie było niezbędne do realizacji celu udzielenia informacji dotyczących bieżącej pracy komórki organizacyjnej u tego administratora, zaś proces przetwarzania danych osobowych skarżącego nie był prowadzony przez tego administratora w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (integralność i poufność). W rezultacie omawiane postępowanie zakończyło się tym, że Prezes UODO wydał decyzję, w której upomniał administratora jako podmiot decydujący o celach i sposobach przetwarzania danych w zakresie stwierdzonego naruszenia przepisów art. 6 ust. 1 RODO z uwagi na udostępnienie danych osobowych skarżącego na rzecz nieuprawnionych osób trzecich.
Źródło: Biuletyn UODO Nr 3/05/23