Czy wysłanie e-maila na błędny adres jest incydentem bezpieczeństwa?

Wyobraźmy sobie następującą sytuację: wysyłamy e-maila do klienta naszej agencji ubezpieczeniowej. W wiadomości znajdują się dane osobowe (np. z polisy lub zdjęcia dowodu rejestracyjnego samochodu). Niestety przez przypadek wysłaliśmy e-maila nie do Mariana Kowalskiego, a do Zenona Kowalskiego (innego klienta). Co w takiej sytuacji powinien zrobić agent ubezpieczeniowy?

Opisana powyżej sytuacja to tzw. incydent bezpieczeństwa.Sformułowaniem tym posługiwała się norma ISO/IEC 27001, standaryzująca systemy zarządzania bezpieczeństwem informacji.

Obecnie posługujemy się pojęciem: „naruszenie ochrony danych osobowych”. Zostało ono zdefiniowane w unijnym ogólnym rozporządzeniu o ochronie danych osobowych (RODO). Zgodnie z art. 4 pkt 12 RODO oznacza ono: naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Naruszenie ochrony danych osobowych może być umyślne lub nieumyślne. Zdarzenia nieumyślne dzielą się na zewnętrzne (występujące z przyczyn niezależnych od administratora danych) i wewnętrzne (zależne od administratora i jego pracowników).

Jak widać – w podanym przykładzie doszło do nieumyślnego, wewnętrznego naruszenia ochrony danych osobowych, poprzez nieuprawnione ujawnienie danych osobie trzeciej (która nie miała nic wspólnego z wysyłanym e-mailem). Podobnie rzecz ma się z wysyłką korespondencji masowej (np. newslettera) do wielu adresatów. W takim przypadku należy ukryć pozostałe adresy (opcja ukrytej kopii – UDW), ponieważ ujawnilibyśmy osobom nieuprawnionym adresy poczty elektronicznej. Sam adres e-mail jest bowiem często daną osobową.Co powinien zrobić w takiej sytuacji agent ubezpieczeniowy?

Otóż musi rozważyć z jakiego typu naruszeniem ma do czynienia – umownie nazwijmy je: lekkim (1), średnim (2) i ciężkim (3).

Naruszenie lekkie (1), to naruszenie, gdzie jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Takie naruszenie nie musi być zgłaszane organowi nadzoru, wystarczy opisać je w wewnętrznym rejestrze naruszeń administratora oraz podjąć środki niwelujące jego skutki oraz zapobiegające powtórzeniu się danej sytuacji.

Naruszenie średnie (2), to naruszenie, gdzie ryzyko naruszenia praw i wolności osób fizycznych jest prawdopodobne. Wymaga ono podjęcia takich samych środków jak w przypadku nr 1 oraz – dodatkowo: zgłoszenia w ciągu 72 godzin po stwierdzeniu naruszenia właściwemu organowi nadzoru. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Informacje o sposobie dokonania zgłoszenia znajdują się na stronie internetowej: https://uodo.gov.pl/pl/134/233.

Naruszenie ciężkie (3) to naruszenie ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W takim przypadku administrator stosuje wszystkie środki opisane powyżej oraz dodatkowo – bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Jak widać jest to naruszenie wymagające od agenta największej pracy.

Jak ocenić z którym typem naruszenia mamy do czynienia?

Pomocna może być w tym metodologia oceny naruszeń stworzona przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji. Pozwala ona niejako „wyliczyć“ jaki typ naruszenia w danej sytuacji zaistniał.

W naszym przykładzie agent zastosował rozwiązanie nr 1, gdyż znał swoich klientów od wielu lat, natychmiast poinformował Pana Zenona Kowalskiego o pomyłce, a ten usunął błędnie otrzymaną wiadomość, która nie zawierała danych wrażliwych. Jednakże każdą sytuację trzeba ocenić indywidualnie i niewykluczone, że jedna okoliczność przesądzi jednak o tym, że zastosowanie będą miały rozwiązania 2 lub 3.

Oczywiście jednak to na administratorze danych osobowych ciąży odpowiedzialność za prawidłowe określenie typu incydentu (1, 2 lub 3), dobranie środków zaradczych oraz dokonanie odpowiednich czynności. Nieprawidłowości w tym zakresie mogą skończyć się kontrolą Prezesa Urzędu Ochrony Danych Osobowych. Prezes UODO prowadzi obecnie postępowanie wobec PZU Pomoc, odpowiedzialnego za akcję „Wakacje z PZU Bezpieczne dziecko”.


Zostań użytkownikiem Insly i korzystaj z bezpłatnych porad prawnych. Wypełnij formularz i dowiedz się więcej:


r.pr. Tomasz Klemt

Radca prawny, z wieloletnim doświadczeniem w branży ubezpieczeniowej. Doświadczenie zdobywał m.in. w Departamencie Licencji Ubezpieczeniowych Komisji Nadzoru Finansowego, Wojewódzkim Sądzie Administracyjnym, oraz najlepszych warszawskich kancelariach ubezpieczeniowych.

W zakładzie ubezpieczeń pełnił funkcję kluczową (wymagającą zgłoszenia do KNF) w zakresie zgodności z prawem (Chief Compliance Officer – CCO), pełnił również funkcję koordynatora współpracy z Ubezpieczeniowym Funduszem Gwarancyjnym. W swojej pracy zawodowej doradzał największym ubezpieczycielom majątkowym i życiowym (m.in. w zakresie OFE, PPK, modeli dystrybucyjnych) oraz dystrybutorom ubezpieczeń (m.in. w zakresie wdrożenia RODO, IDD i ustawy o dystrybucji ubezpieczeń).