Naruszenie przepisów RODO przy masowej wysyłce maili z ofertą handlową• Data: 01-10-2024 • Autor: Radca prawny Paulina Olejniczak-Suchodolska |
Popełniłem błąd, wysyłając pocztą mailową oferty współpracy handlowej. Adresy mailowe zostały udostępnione wszystkim, do których były kierowane. Kilkadziesiąt maili było imiennych, wszystkie pochodzą z publicznego katalogu firm, gdzie figurują jako kontakt do firmy. Treść samej oferty była krótka, mnie więcej taka: „Chciałbym zaoferować współpracę w zakresie… Jeżeli zainteresowała Państwa propozycja, z chęcią przygotuję ofertę.” Do tego podany był link ze spotem reklamowym. Jedna z osób odpisała, że wysyłanie w ten sposób maili jest naruszeniem RODO. Poprosiła o usunięcie maila z bazy oraz poinformowanie, jak odnotowałem naruszenia RODO. Co w takiej sytuacji powinienem zrobić? |
|
Niezamówiona informacja handlowaZacznę od tego, że wysyłanie niezamówionych informacji handlowych jest naruszeniem prawa, za które grożą wysokie kary. Pan jednak dopiero spytał o możliwość wysłania oferty, więc tutaj co do zasady nie ma powodu do obaw, aczkolwiek z podawaniem linku do spotu, filmu zalecałabym ostrożność, bowiem informacja handlowa to już wszelkie informacje opisujące firmę, rekomendujące ją. Aby zatem mail nie był uznany za informację niezamówioną, powinien być bardzo krótki, krótko wskazywać i to ogólnie, czym się Pan zajmuje, i zawierać pytanie, czy może Pan wysłać ofertę. To tak na marginesie. Maile imienne jako dane osobowe pod ochroną prawaPan pozyskał maile z sieci Internet, a problem polega na tym, że wysłał Pan swoje zapytanie o możliwość wysłania oferty do licznych osób, nie ukrywając adresatów, tj. każdy adresat widział innych adresatów Pana wiadomości.
Wskazuje Pan, że część maili była imienna, czyli stanowiła dane osobowe, bowiem mail, który zawiera nazwisko, imię i nazwisko, pierwszą literę imienia i nazwisko jest daną osobową – zwykle pozwala bowiem zidentyfikować osobę fizyczną. Nawet zaś przypadkowe ujawnienie danych to naruszenie przepisów RODO (art. 4 pkt 12 RODO). Błąd przy wysyłce mailingu jako incydent naruszenia ochrony danych osobowychW sytuacji naruszenia ochrony danych osobowych poprzez błąd przy wysyłce maila należy w pierwszej kolejności wyjaśnić wszystkie okoliczności związane z naruszeniem, a także ustalić, jakie dane osobowe, w jakim zakresie i komu zostały udostępnione. Incydent powinien zostać ujawniony w Pana wewnętrznym rejestrze naruszeń ochrony danych osobowych (jako przedsiębiorca i jednocześnie Administrator danych osobowych powinien go Pan prowadzić.
Nadto, powinien Pan dokonać oceny ryzyka naruszenia, tj. oceny poziomu wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. W zależności od wyniku takiej oceny (niski, średni, wysoki poziom ryzyka) powinien Pan dobrać kroki prawne przewidziane w RODO w stosunku do organu nadzorczego, jak i osób, których dane dotyczą. Natomiast niezależnie od ustalonego poziomu ryzyka musi Pan podjąć działania zaradcze, by zminimalizować ryzyko wystąpienia podobnych naruszeń w przyszłości. I teraz tak. Jeśli w wyniku podjęcia ww. działań ustali Pan, że pomimo incydentu ryzyko naruszenia praw i wolności osób fizycznych jest niskie, wtedy nie musi zgłaszać naruszenia Prezesowi Urzędu Ochrony Danych Osobowych ani nie musi Pan informować o tym naruszeniu osób, których dane dotyczą. Ocena ryzyka naruszenia praw i wolności osób fizycznych, zgłoszenie do UODOW mojej ocenie u Pana ryzyko jest niskie. Po pierwsze, maile były dostępne publicznie, po drugie treść wiadomości nie zawierała nic „tajnego”, „prywatnego”. Prezes UODO wskazał, że wiadomość e-mail z nieukrytymi odbiorcami wiadomości, która trafiła do kilku znanych administratorowi danych odbiorców, z którymi pozostaje on w stałych kontaktach, zawierająca jedynie adresy mailowe odbiorców (a zatem ich dane podstawowe) i dotyczą zadania, w którym osoby te biorą udział lub razem współpracują, jest wprawdzie naruszeniem ochrony danych, ale nacechowanym niskim ryzykiem, i nie ma konieczności zgłaszać takiego naruszenia do Prezesa UODO ani informować o nim podmiotów danych. Tym bardziej w Pana sytuacji, gdy mail (treść) był zapytaniem o zgodę na przesłanie oferty, a kontakty były dostępne w sieci w bazie portalu X nie zaś prywatnie pozyskane, ryzyko będzie trzeba ocenić jako niskie.
A zatem incydent zapisuje Pan w rejestrze naruszeń, przeprowadza ocenę ryzyka, przypisuje status niskie i takie działania przechowuje u siebie na komputerze lub drukuje do teczki zatytułowanej RODO firmowe, czy podobnie. Jeśli Pan takich tabel nie ma, nie umie sporządzić oceny, to oczywiście zajmujemy się tym i możemy pomóc. Dalej zaś w odpowiedzi na maila owego klienta wskazuje jej Pan, że dokonał Pan oceny ryzyka, a jego status ustalił jako niski, wyjaśniając pokrótce dlaczego (zgodnie z powyższym). PrzykładyNieukryte adresy e-mail podczas wysyłki newslettera Pan Adam, właściciel małej firmy usługowej, wysłał newsletter do swoich klientów, w którym przedstawił nową ofertę promocyjną. Niestety, zapomniał ukryć adresy e-mail w polu "BCC", przez co wszyscy odbiorcy widzieli adresy pozostałych klientów. W krótkim czasie otrzymał od jednej z klientek wiadomość z prośbą o usunięcie jej danych z bazy oraz zgłoszenie naruszenia do Prezesa UODO. Pan Adam, zaniepokojony, skonsultował się z prawnikiem, który pomógł mu ocenić ryzyko naruszenia danych jako niskie, ze względu na publicznie dostępne dane. Incydent został zarejestrowany w wewnętrznym rejestrze, a klientka została poinformowana o podjętych krokach.
Wysyłka zaproszenia na konferencję z nieukrytymi odbiorcami Pani Maria, organizatorka branżowej konferencji, wysłała zaproszenie do kilkudziesięciu specjalistów, nieświadomie ujawniając ich adresy e-mail w polu "CC". Jeden z uczestników, zaniepokojony o ochronę swoich danych osobowych, zwrócił uwagę na możliwe naruszenie RODO. Pani Maria natychmiast skontaktowała się z ekspertem ds. ochrony danych, który zalecił jej dokonanie oceny ryzyka. Po przeanalizowaniu sytuacji uznano, że ryzyko naruszenia jest niskie, a incydent został zarejestrowany w rejestrze naruszeń. Uczestnik został poinformowany o podjętych działaniach oraz zabezpieczeniach na przyszłość.
Wysyłka propozycji współpracy bez ukrycia odbiorców Pan Jakub, reprezentujący firmę marketingową, wysłał e-mail z propozycją współpracy do potencjalnych partnerów biznesowych, ale nie zadbał o ukrycie adresów e-mail. W efekcie, wszyscy odbiorcy mogli zobaczyć, kto jeszcze otrzymał tę samą ofertę. Jeden z adresatów zgłosił swoje zastrzeżenia, wskazując na naruszenie przepisów RODO. Pan Jakub, chcąc naprawić sytuację, przeprowadził wewnętrzną ocenę ryzyka, która wykazała, że ryzyko naruszenia jest niskie, ponieważ adresy były publicznie dostępne. Incydent został odnotowany w rejestrze, a zainteresowany odbiorca otrzymał informację o przeprowadzonych działaniach korygujących. PodsumowanieWysyłanie e-maili z nieukrytymi odbiorcami może prowadzić do naruszenia przepisów RODO, szczególnie gdy wiadomości zawierają dane osobowe. W przypadku takiego incydentu kluczowe jest szybkie przeprowadzenie oceny ryzyka oraz odpowiednie udokumentowanie i podjęcie działań naprawczych. Warto pamiętać, że nawet przypadkowe ujawnienie danych może mieć poważne konsekwencje, dlatego zawsze należy zachować ostrożność przy wysyłaniu wiadomości do wielu odbiorców. Oferta porad prawnychJeśli potrzebujesz profesjonalnej porady prawnej online lub pomocy w przygotowaniu pism związanych z ochroną danych osobowych i RODO, skontaktuj się z nami – zapewniamy szybkie i skuteczne wsparcie dostosowane do Twoich potrzeb. Aby skorzystać z naszych usług, opisz swój problem w formularzu pod artykułem. Źródła:1. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych - Dz.U. 2018 poz. 1000
Nie znalazłeś odpowiedzi na swoje pytania? Opisz nam swoją sprawę, wypełniając formularz poniżej ▼▼▼. Zadanie pytania do niczego nie zobowiązuje.
Zapytaj prawnika - porady prawne online O autorze: Radca prawny Paulina Olejniczak-Suchodolska Radca prawny, absolwentka Wydziału Prawa na Uniwersytecie Mikołaja Kopernika w Toruniu. Ukończyła aplikację radcowską przy Okręgowej Izbie Radców Prawnych w Warszawie. Doświadczenie zawodowe zdobywała współpracując z kancelariami prawnymi. Specjalizuje się głównie w prawie gospodarczym, prawie pracy, prawie zamówień publicznych, a także w prawie konsumenckim i prawie administracyjnym. Obecnie prowadzi własną kancelarię radcowską oraz obsługuje spółki i instytucje państwowe. |
|
Zapytaj prawnika
Najnowsze pytania w dziale