Wysyłając wiadomości e-mail do większej liczby adresatów często korzysta się z funkcjonalności „korespondencja seryjna”, która pozwala na wysyłanie wiadomości, których treść jest w większości powtarzalna, ale różnią się spersonalizowanymi uwagami lub unikatowymi adresami i pozdrowieniami. Korespondencja seryjna wykorzystuje określoną bazę danych np. książkę adresową w programie pocztowym czy przygotowaną w arkuszu kalkulacyjnym tabelę z danymi adresatów do szybkiego przygotowania spersonalizowanego tekstu, bez konieczności każdorazowej edycji całego dokumentu oraz umożliwia automatyczne dodanie adresów e-mail do pola DW (kopia otwarta) lub UDW (kopia ukryta) w programie pocztowym. Te opcje różnią się tym, iż kopia otwarta pozwala adresatom na podgląd wszystkich innych adresów na które została wysłana wiadomość, a kopia ukryta ukrywa te informacje.
Na kanwie wykorzystywania tej funkcjonalności i wysłaniu wiadomości w kopii otwartej Prezes Urzędu Danych Osobowych wydał decyzję, w której przypomina, że adres e-mail jest daną osobową w rozumieniu art. 4 pkt 1 RODO, w zakresie w jakim umożliwia zidentyfikowanie jego posiadacza. Wobec tego na administratorze danych osobowych spoczywa obowiązek zapewnienia poufności adresu e-mail (art. 5 ust. 1 lit. f RODO), czyli odpowiedniego bezpieczeństwa danych w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, a zgodnie z art. 24 ust. 1 RODO, ma być w stanie wykazać wdrożenie tychże środków.
Dlatego wysyłanie adresów e-mail przy użyciu kopii otwartej może naruszać zasady ochrony danych osobowych, poprzez niezgodne z prawem udostępnienie danych osobowych osobom trzecim. Adresaci wiadomości nie mają prawa podejrzeć adresu innej osoby, który często zawiera imię i nazwisko, czy nazwę instytucji lub przedsiębiorstwa w której ona pracuje. Wysyłając masowo wiadomości e-mail należy używać opcji UDW, która sprawia, że adresaci widzą wyłącznie swój adres mailowy.
Podstawa prawna:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).