Problem, jak poinformował nas czytelnik, dotyczy także sektora publicznego.
Niefrasobliwe traktowanie informacji o klientach lub obywatelach - w zależności od pomiotu, który nimi dysponuje - miało skończyć się wraz z wprowadzeniem RODO. Nowe przepisy z pewnością doprowadziły do wykwitu szeregu "rodoabsurdów". Na plus trzeba jednak zapisać ułatwienie walki o naszą prywatność. I tu właśnie pojawiają się firmy bombardujące nasze skrzynki reklamami. To ich pracownikom w przypływie niefrasobliwości zdarza się wkleić listę adresatów do pola "DW" zamiast "UDW". "U", czyli ukryte. W ten sposób poznajemy adresy e-mail dziesiątek, jeśli nie setek osób.
Podobne sytuacje dotyczą najczęściej najmniejszych podmiotów, które nie korzystają z usług zewnętrznych firm zajmujących się hurtową wysyłką maili. Ich "ofiarami" wyjątkowo często padają... dziennikarze otrzymujące informacje prasowe od agencji marketingowych. Jeden z naszych czytelników, który skontaktował się nami za pośrednictwem formularza dziejesie.wp.pl, udowodnił, że problem zdarza się także w instytucjach państwowych. Przesłał nam zrzuty ekranu z wiadomością, którą otrzymał od pracownicy jednego z oddziałów ZUS w październiku minionego roku, a więc jeszcze przed wprowadzeniem RODO. W polu "do wiadomości", podobnie jak inni adresaci, mógł znaleźć adresy kilkuset innych odbiorców wiadomości.
Dziejesie.wp.pl
W myśl ówcześnie obowiązującej ustawy sprawca takiego ujawnienia mógł zostać ukarany grzywną, karą ograniczenia lub nawet pozbawienia wolności do lat 2.
O to, jak sytuacja wygląda w świetle dziś obowiązujących przepisów zapytaliśmy w Urzędzie Ochrony Danych Osobowych. - To zarówno niedopatrzenia, jak i naruszenia bezpieczeństwa przetwarzania danych osobowych - mówi nam dyrektor Zespołu ds. Sektora Prywatnego w UODO Weronika Kowalik. Adres e-mail "w niektórych sytuacjach może być uznany za daną osobową i należy go traktować z uwzględnieniem zasad wynikających z przepisów o ochronie danych osobowych".
A naruszenie bezpieczeństwa przetwarzania danych osobowych to już poważna sprawa. Każdy taki przypadek wymaga jednak indywidualnej oceny i to od niej zależy, jakie działania PUODO podejmie w stosunku do firmy, która dokonała naruszenia.
Mogą to być m.in. zalecenia, upomnienia, ostrzeżenia czy nakazy.
- Należy bowiem podkreślić, że kluczowym elementem każdego planu reagowania na naruszenia powinna być ochrona osób fizycznych i ich danych osobowych - wskazuje dyrektor Zespołu ds. Sektora Prywatnego w Urzędzie Ochrony Danych Osobowych.
Jak dodaje, jeśli sytuacja będzie tego wymagała, Prezes Urzędu Ochrony Danych Osobowych może również nałożyć administracyjną karę pieniężną. Zgodnie z przepisami RODO, maksymalna taka kara może sięgnąć nawet 4 proc. rocznego obrotu firmy lub kwoty 20 mln euro. Niemniej przy jej wymierzaniu pod uwagę branych powinno być aż 11 różnych, wskazanych w RODO czynników, które będą miały wpływ na jej wysokość.
- Każda z sytuacji musi być analizowana zależnie od okoliczności danego przypadku. Trzeba bowiem, po pierwsze, stwierdzić, czy w wyniku naruszenia doszło do ujawnienia danych identyfikujących osoby. Po drugie ustalić m.in. charakter, wagę i czas naruszenia, jego umyślny czy nieumyślny charakter, to, jakie działania zostały podjęte przez administratora czy podmiot przetwarzający, czy wcześniej w firmie tej zdarzały się już jakieś naruszenia, jakich kategorii danych osobowych dotyczy konkretne naruszenie. Analizowane muszą być te i inne łagodzące lub obciążające okoliczności, w tym wpływ na prawa i wolności osób, których dane dotyczą - podkreśla dyrektor Zespołu ds. Sektora Prywatnego w UODO.
Na korzyść firmy, w której doszło do naruszenia ochrony danych, może np. podziałać jej postawa, m.in. to, czy współpracuje z organem nadzorczym i czy sama zgłosiła naruszenie do Prezesa UODO. Zgodnie z przepisami RODO, w sytuacji, gdy spowodowane takim przypadkiem ryzyko naruszenia praw i wolności osób, których dane dotyczą, jest większe niż mało prawdopodobne, administrator powinien zgłosić naruszenie do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godz. od jego stwierdzenia.
- Taki sygnał może też wpłynąć od osoby, której dane dotyczą, ale od nikogo nie oczekujemy "obywatelskich donosów" - podkreśla Weronika Kowalik.
Przede wszystkim jednak to firmy powinny informować osoby, których dane zostały naruszone, gdy naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. - To bowiem bardzo ważne, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami - dodaje urzędniczka.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl