Źle zaadresowana przesyłka przez pracownika zawierająca dokumenty z danymi osobowymi, a może błąd ze strony firmy kurierskiej? Czy to nie brzmi znajomo? Kto w wymienionych sytuacjach ponosi odpowiedzialność za popełniony błąd? I czy jest to naruszenie ochrony danych, które należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych (PUODO)? Przyjrzyjmy się tej sprawie.

Co zrobić gdy przesyłka została źle zaadresowana, dostarczona pod inny adres lub zgubiona? Czy muszę poinformować PUODO?

W opisanych na wstępie sytuacjach winą łatwo obarczyć tych, którzy faktycznie dopuścili się zaniedbań podczas wykonywania swoich obowiązków. Pracownik jest rozliczany z realizacji swoich zadań pracowniczych, a firma kurierska z poprawnego i terminowego dostarczenia przesyłek. Jednak gdy w grę wchodzą dane osobowe, stanowiące zawartość przesyłki, pojawia się jeszcze inna odpowiedzialność – odpowiedzialność administratora danych (ADO).

Administrator danych decyduje o sposobie przetwarzania danych osobowych, w tym również o sposobie ich przesyłania do osób, których dotyczą. Zgodnie z art. 24 RODO, administrator danych powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić wysoki poziom bezpieczeństwa przetwarzanym danym osobowym.  

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”   Fragment Art. 24 RODO

A zatem, o ile za poprawne zaadresowanie przesyłki odpowiada pracownik administratora, a za jej dostarczenie pod wskazany adres odpowiada kurier, tak za zawartość przesyłki odpowiada administrator danych. Jeśli przesyłka zostanie zgubiona lub trafi do niewłaściwego odbiorcy – to czy mówimy o naruszeniu ochrony danych osobowych? Czy informację o tym należy zgłosić do PUODO? Co z poinformowaniem osoby, której dane osobowe znajdowały się w przesyłce?

Źle zaadresowana przesyłka – czy to już naruszenie?

Wysłanie przesyłki zawierającej dane osobowe na niewłaściwy adres łatwo zbagatelizować i uznać za błahostkę – zwłaszcza gdy odbiorca, po zorientowaniu się o błędzie, odesłał przesyłkę z powrotem lub zadeklarował jej zniszczenie. Podobnie rzecz się ma ze zgubieniem przesyłki.

Stanowisko Prezesa Urzędu Ochrony Danych Osobowych w takich przypadkach jest jednoznaczne – stało się! Aby się upewnić, czy doszło do naruszenia ochrony danych czy nie, ADO musi wykonać analizę ryzyka. W tym przypadku należy wziąć pod uwagę zawartość przesyłki, a zwłaszcza zakres danych osobowych:

• czego nieuprawniony odbiorca przesyłki dowiedziałby się o osobie, której dane dotyczą,
• czy informacje o osobie zawierały dane wrażliwe bądź numer PESEL lub inne dane, pozwalające na kradzież tożsamości,
• na jakie konsekwencje materialne i niematerialne byłaby narażona osoba, której dane dotyczą, jeśli nieuprawniony odbiorca wykorzystałby dane zawarte w przesyłce?

Jeżeli analiza wykaże, że istnieje prawdopodobieństwo poniesienia konsekwencji przez osobę, której dane dotyczą, ADO jest zobowiązany wnieść zgłoszenie do PUODO. Niejednokrotnie powinien również poinformować osobę, której dane dotyczą.  W sytuacji gdy przesyłka, zawierająca dane osobowe, zostaje wysłana na błędny adres, istnieje ryzyko wycieku danych. Nawet jeśli odbiorca przesyłki zadeklaruje jej zniszczenie lub odeśle ją z powrotem, nie mamy pełnej gwarancji, że będzie uczciwy. Zrobienie zdjęcia telefonem, skanu lub kopii dokumentu przed odesłaniem nie stanowi dziś problemu.

Czy można temu zapobiec?

Czy można jakoś zapobiec problemowi zgubionych lub źle zaadresowanych przesyłek, zawierających dane osobowe? Przede wszystkim potrzebna jest samoświadomość osób, które mają do czynienia z danymi osobowymi. Niezbędne są regularne szkolenia RODO (zalecane przynajmniej raz w roku).

Zobacz: Praktyczny kurs RODO online

Szkolenia z zakresu ochrony danych osobowych, podnoszące świadomość pracowników, mogą mieć realny wpływ na zmniejszenie częstotliwości występowania naruszeń ochrony danych w firmach. Dlaczego? Ponieważ pomagają zrozumieć sens dbania o bezpieczeństwo danych osobowych i wykonywać obowiązki pracownicze z większą ostrożnością.

Jednakże szkolenia to nie wszystko. Aby zapobiec naruszeniom, niezbędne jest również stworzenie wewnętrznych procedur, m.in. regulujących organizację pracy, aby zniwelować ryzyko wystąpienia naruszenia. Przykładem może być stworzenie szczegółowej procedury przygotowywania wysyłki dokumentów. Np. w formie double-check, gdzie jedna osoba adresuje i pakuje dokumenty, a inna dodatkowo to sprawdza.

W drugiej części tego artykułu poruszymy kwestię zgłoszenia naruszenia do POUDO w przypadku, np. źle zaadresowanej przesyłki.

Sprawdź, jak możemy pomóc chronić dane osobowe w Twojej firmie:
Kurs RODO online – https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/
Indywidualna oferta dla firm – https://www.e-kursyrodo.pl/oferta-dla-firm/
Pełna oferta ochrony danych osobowych w Twojej firmie – https://standarder.pl/oferta-ochrona-danych/