W codziennej pracy biurowej może się zdarzyć, że omyłkowo zostanie wysłany do złego adresata mail zawierający dane osobowe osób fizycznych. Art. 33 ust. 1 RODO nakłada na administratora danych osobowych obowiązek zgłoszenia wystąpienia naruszenia danych osobowych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, do Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO). Zakłada przy tym wyjątek – nie trzeba dokonywać zgłoszenia, gdy „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności fizycznych”.
Europejska Rada Ochrony Danych (EROD, wcześniej znana jako Grupa Robocza art. 29) oraz UODO stoją na stanowisku, iż taki przypadek zachodzi w sytuacji, gdy dane zostaną w sposób nieuprawniony ujawnione osobie trzeciej w rozumieniu art. 4 pkt 10 RODO, czyli podmiotowi nieuprawnionemu do przetwarzania tych konkretnych danych, która administrator może uznać za odbiorcę zaufanego. EROD podaje przykład wysłania danych osobowych do niewłaściwego działu organizacji, z której usług się korzysta.
Administrator może wtedy poprzestać na wezwaniu odbiorcy danych do zwrotu albo bezpiecznego zniszczenia otrzymanych danych, ze względu na fakt, iż administrator pozostaje z takim podmiotem w stałych stosunkach i może znać stosowane przez niego procedury, ich historię i inne szczegóły ich dotyczące. „Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu.”[1]
W takich sytuacjach administrator może wziąć kwestię długotrwałej współpracy między nim a przypadkowym odbiorcą danych i wynikającą z tej współpracy znajomość postępowania odbiorcy w zakresie ochrony danych osobowych, pod uwagę przy ocenie ryzyka przeprowadzanej w następstwie naruszenia – jeżeli odbiorca może być uznany za zaufanego może spowodować, że skutki naruszenia nie będą poważne. W takim wypadku administrator nie musi powiadamiać Prezesa UODO czy nawet samych osób fizycznych, których dane wyciekły, a może poprzestać na samym zadokumentowaniu naruszenia.
Prezes UODO, przy okazji decyzji DKN.5131.1.2024[2], w której mBank argumentował, że przypadkowy wyciek danych klientów do innej instytucji finansowej, którą obowiązuje tajemnica bankowa oznacza, że dane wyciekły do odbiorcy zaufanego, podkreślił że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. „odbiorcę zaufanego”.
Podstawa prawna:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
[1] Wytyczne Europejskiej Rady Ochrony Danych (EROD) nr 9/2022 przyjęte 28 marca 2023 r., str. 27.
[2] Decyzja PUODO z 20.08.2024 r., DKN.5131.1.2024, LEX nr 3753484.