Wysłałeś maila do złego Kowalskiego. Masz 72 godziny.

Wysłałeś maila do złego Kowalskiego. Masz 72 godziny.

 

Nie każda pomyłka mailowa to naruszenie RODO. Ale niektóre tak. I właśnie dlatego warto wiedzieć jak je od siebie odróżnić – zanim zegar zacznie tykać.


Zdarzyło się każdemu.

Piszesz maila. Wpisujesz pierwsze litery nazwiska w pole "Do:". Autouzupełnianie podpowiada kontakt. Klikasz. Wysyłasz. Dopiero po chwili – sekundzie, minucie, godzinie – zauważasz że adresat jest inny niż chciałeś.

Dwie osoby o tym samym nazwisku w książce adresowej. Albo podobny adres email. Albo po prostu zmęczenie i brak uwagi.

Mail poszedł. Do złego Kowalskiego.

I teraz zaczyna się pytanie które zadaje sobie każdy kto w tej sytuacji pracuje w dziale prawnym, HR albo compliance: czy to naruszenie RODO? Czy muszę coś zgłaszać? Komu? Kiedy?

Odpowiedź brzmi: to zależy. Ale "to zależy" w tym przypadku ma bardzo konkretne kryteria których znajomość może być różnicą między wewnętrzną notatką a postępowaniem UODO.


Nie każdy błędny mail to naruszenie które zgłaszasz do UODO

Zacznijmy od rzeczy której większość artykułów na ten temat nie mówi wprost.

RODO rozróżnia dwa pojęcia które brzmią podobnie ale mają zupełnie inne konsekwencje.

Pierwsze to naruszenie ochrony danych osobowych zdefiniowane w art. 4 pkt 12 RODO – naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia lub dostępu do danych osobowych. To jest kategoria incydentów które mogą wymagać zgłoszenia do UODO i poinformowania osób których dane dotyczą.

Drugie to naruszenie przepisów RODO w szerszym sensie – na przykład brak podstawy prawnej do przetwarzania czy niespełnienie obowiązku informacyjnego. To osobna kategoria.

Błędny mail wpadamy w pierwszą kategorię. I tu zaczyna się właściwa analiza.


Cztery pytania które musisz sobie zadać natychmiast

Gdy mail poszedł do złego odbiorcy – nie panikuj i nie ignoruj. Zadaj sobie cztery pytania w tej kolejności.

Pytanie pierwsze: co było w tym mailu?

To jest najważniejsze pytanie. Treść i załączniki decydują o skali ryzyka.

Mail z ogólnym pytaniem "czy możemy przesunąć spotkanie" wysłany do złego Kowalskiego to niekomfortowa sytuacja towarzyska. Nie jest to naruszenie które wymaga zgłoszenia do UODO.

Mail z umową zawierającą dane osobowe klienta, z wynikami rekrutacji zawierającymi dane kandydatów, z danymi medycznymi pracownika, z numerami PESEL, z danymi finansowymi – to już zupełnie inna kategoria. Im bardziej wrażliwe dane tym wyższe ryzyko dla osoby której dane ujawniono i tym bardziej prawdopodobne że naruszenie wymaga zgłoszenia.

Pytanie drugie: kto jest tym złym Kowalskim?

Czy mail trafił do innego pracownika tej samej firmy? Do kontrahenta? Do osoby prywatnej która nie ma żadnego związku z organizacją? Do kogoś w konkurencji?

Mail który trafił do innego pracownika tej samej firmy objętego tymi samymi procedurami poufności – ryzyko jest znacznie niższe niż mail który wyszedł poza organizację. To nie eliminuje problemu ale wpływa na ocenę ryzyka.

Pytanie trzecie: czy odbiorca zapoznał się z treścią?

Jeśli zareagowałeś natychmiast i skontaktowałeś się ze złym Kowalskim który potwierdził że nie otworzył maila i go usunął – ryzyko nieuprawnionego dostępu do danych jest istotnie niższe. Nie zerowe – ale niższe. UODO niestety nie akceptuje takiego wyjaśnienia w przypadku maili, ale przy wysyłce listów już tak.

Jeśli nie masz pewności że mail nie został przeczytany – zakładasz że został. W ocenie ryzyka naruszenia zawsze przyjmujesz wariant pesymistyczny.

Pytanie czwarte: ilu osób dane dotyczyły i jak wrażliwe były te dane?

Mail z danymi jednej osoby i mail z listą płac dwustu pracowników to dwa zupełnie różne zdarzenia mimo że mechanizm błędu był identyczny.


Kiedy zgłaszasz do UODO – a kiedy tylko dokumentujesz

Art. 33 RODO mówi że administrator zgłasza naruszenie do organu nadzorczego bez zbędnej zwłoki – i jeśli to możliwe nie później niż w ciągu 72 godzin od stwierdzenia naruszenia – chyba że jest mało prawdopodobne by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ta ostatnia klauzula to klucz.

Jeśli po analizie czterech pytań powyżej oceniasz że nie ma ryzyka– nie zgłaszasz do UODO. Ale dokumentujesz. Rejestr naruszeń który każdy administrator ma obowiązek prowadzić na podstawie art. 33 ust. 5 RODO powinien zawierać opis zdarzenia, przeprowadzoną analizę ryzyka i uzasadnienie dlaczego zdecydowałeś się nie zgłaszać. UODO jest dość rygorystyczne, na razie trudno udowodnić że nie ma ryzyka. Lepiej większość zgłaszać.

Ta dokumentacja jest Twoim dowodem że naruszenie nie zostało przemilczane tylko świadomie ocenione jako niepowodujące wysokiego ryzyka.

Jeśli ryzyko jest – zgłaszasz. I tu 72 godziny zaczyna biec od momentu gdy stwierdziłeś naruszenie. Nie od momentu gdy IT o nim powiedziało. Od momentu gdy jako organizacja miałeś wystarczające informacje żeby wiedzieć że naruszenie nastąpiło a najczęściej jest to moment gdy IOD zapoznał się ze sprawą.


Co z osobą której dane wyciekły

Art. 34 RODO nakłada dodatkowy obowiązek: jeśli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – musisz poinformować również te osoby. Bez zbędnej zwłoki. Bezpośrednio. W sposób zrozumiały i jasnym językiem.

W kontekście błędnego maila oznacza to że jeśli dane klienta trafiły do nieuprawionego odbiorcy i oceniasz że ryzyko dla tego klienta jest wysokie – klient musi o tym wiedzieć.

To jest rozmowa której nikt nie chce przeprowadzać. I właśnie dlatego wiele firm jej unika.

Unikanie jej nie jest rozwiązaniem. Jest dodatkowym naruszeniem.


Praktyczne kroki od momentu odkrycia błędu

Krok pierwszy – natychmiast skontaktuj się ze złym odbiorcą. Zadzwoń jeśli masz numer. Napisz maila z prośbą o usunięcie wiadomości bez zapoznawania się z jej treścią. Udokumentuj tę komunikację – data, godzina, odpowiedź odbiorcy.

Krok drugi – oceń zawartość maila przez pryzmat czterech pytań które opisałem wyżej. Zrób to na piśmie. Nawet krótka notatka wewnętrzna z datą i podpisem jest lepsza niż nic.

Krok trzeci – wpisz zdarzenie do rejestru naruszeń niezależnie od wyniku oceny. Rejestr ma zawierać wszystkie naruszenia – nie tylko te które zgłaszasz do UODO.

Krok czwarty – jeśli ocena wskazuje na ryzyko, uruchamiasz procedurę zgłoszenia do UODO i informowania osoby której dane dotyczą. Masz łącznie 72 godziny na zgłoszenie do UODO od momentu stwierdzenia naruszenia.

Krok piąty – po zamknięciu incydentu przeanalizuj co spowodowało błąd i czy można go technicznie lub proceduralnie ograniczyć. Polityka zatwierdzania zewnętrznych odbiorców maili, okno "cofnij wysyłanie" w kliencie pocztowym, szkolenie dla pracowników – cokolwiek co zmniejsza prawdopodobieństwo powtórzenia.


Dlaczego firmy to ignorują i czym to się kończy

Błędny mail jest wstydliwy. Przyznanie się że dane wyciekły przez ludzki błąd jest wstydliwe podwójnie.

Reakcja odruchowa większości organizacji to: "liczymy że odbiorca tego nie przeczytał i sprawa się sama zamknie." Albo: "to był przecież tylko jeden mail, nikomu nic się nie stanie."

UODO widzi to inaczej. Niezgłoszone naruszenie które potem wychodzi na jaw – z skargi osoby której dane wyciekły albo z innego postępowania – jest traktowane znacznie surowiej niż naruszenie które organizacja sama zidentyfikowała, udokumentowała i zgłosiła.

Transparentność w zarządzaniu incydentami to nie jest słabość. To jest dokładnie to czego RODO wymaga i za co UODO nagradza łagodniejszym podejściem przy wymiarze ewentualnej kary.

Zły Kowalski dostał maila którego nie miał dostawać.

Masz 72 godziny żeby zdecydować co z tym zrobisz.

Decyzja podjęta świadomie i udokumentowana jest zawsze lepsza niż cisza.


Artykuły stanowią "wydłużoną wersję" najpopularniejszych treści tworzonych przeze mnie w innych serwisach social media. Artykuł oraz grafika główna powstały przy wsparciu AI.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.