Nadawca listu zgłasza naruszenie ochrony danych do UODO, w przypadku jego zagubienia
Myślę, że nie tylko mi spędza sen z powiek kwestia przesyłania dokumentów z danymi osobowymi (np. umów) tradycyjną pocztą lub poprzez firmę kurierską. I nie chodzi mi o koszty, a fakt, że te przesyłki zbyt często (jak na moje standardy) giną lub są przekazane niewłaściwej osobie. Nie ulega wątpliwości, że takie zdarzenie to naruszenie ochrony danych osobowych. Powstaje jednak pytanie, kto za nie odpowiada i powinien je (ewentualnie) zgłosić do organu nadzorczego?
Problem wynika przede wszystkim z faktu, że od nadania przesyłki, nadawca nie ma już żadnego wpływu na to, czy i w jaki sposób została dostarczona. Zatem to podmiot doręczający ponosi odpowiedzialność, za prawidłowe zrealizowanie usługi. Ale przesyłka nie trafi do adresata, to zagubieniu lub ujawnieniu podlegają dane, dla których administratorem jest nadawca.
Dotychczasowe opinie oraz stanowiska Prezesa UODO, wskazują na jednoznaczne podejście: naruszenie zgłasza nadawca, jako administrator danych zawartych w przesyłce.
Co więcej, może ponieść karę, jeżeli naruszenie będzie się powtarzać lub nie zgłosi na czas naruszenia lub nie zawiadomi niezwłocznie osób, których dotyczyło naruszenie. Przynajmniej taki wniosek wynika z kar nałożonych na Cyfrowy Polsat oraz Bank Millennium. Problematyczne w tym kontekście jest to, że przy masowej wysyłce korespondencji w zasadzie należałoby wprowadzić także mechanizm kontroli podmiotów dostarczających przesyłki i śledzić stausty dostarczenia w ich systemach elektronicznych (dobrze jeśli jest system agregujący dane, gorzej jeśli trzeba będzie je ręcznie wklepywać, list po liście). A to co najbardziej boli, to marginalna odpowiedzialność podmiotu, który tę przesyłkę zagubił lub niewłaściwie dostarczył.
Powyższe stanowisko zostało potwierdzone przez WSA w Warszawie w orzeczeniu z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21). „To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada. Co prawda, operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.”
Mówiąc krótko, jeśli zaginęła Ci przesyłka z dokumentami, należy przeprowadzić analizę ryzyka naruszenia i przejść przez wymagania z art. 33 i 34 RODO, zgodnie z wynikiem tej oceny.
Jak w praktyce ograniczyć ryzyka związane z tego typu zdarzeniami? U moich klientów dążymy do ograniczania tradycyjnej formy korespondencji. Nie za bardzo widzę inne rozwiązanie. I niestety, jak napisałam wcześniej, trzeba śledzić statusy doręczeń. Ponieważ jest to działanie zależne od człowieka, nie można wykluczyć błędu ludzkiego, niedopatrzenia lub braku regularności. Niestety nie jest to rozwiązanie doskonałe, ponieważ często w takich systemach przesyłka zagubiona widnieje przez dłuższy czas jako „w doręczeniu”, więc bez kontaktu z dostawcą nie dowiemy się jaki jest problem.
Być może kary umowne za zagubienie byłyby rozwiązaniem, ale obawiam się, że jest to dla większości z nas nieosiągalne. W przypadku Poczty Polskiej ograniczenie odpowiedzialności zostało pięknie wskazane u prawie pocztowym, a firmy kurierskie mają tylu klientów, że nie zależy im na „małym graczu”, który będzie korzystał z ich usług, dopiero po zgodzie na karę umowną. Potrzebne są raczej odgórne działania, np. zainteresowanie ze strony organu nadzorczego. W końcu zagubienie przesyłki jest też naruszeniem po stronie podmiotu, który ją dostarcza, bo jest administratorem danych adresowych.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.