Udzieliliśmy ponad 139,9 tys. porad prawnych i mamy 15 605 opinii Klientów

Zespół prawników

Specjaliści z różnych dziedzin prawa

Zadaj pytanie prawnikowi

(bezpłatna wycena)

Wycena do 2 godzin

(w większości przypadków do 1 h)

Chcę zapytać prawnika

(bezpłatna wycena)

Zadanie pytania nic Cię nie kosztuje

Poznanie wyceny do niczego nie zobowiązuje

Chcę zapytać prawnika

(bezpłatna wycena)

W serwisie

ilość pytań i artykułów: 8873

ilość opinii: 13681

Omyłkowe wysłanie faktur do innych klientów a RODO

• Autor: Łukasz Marciniak

Omyłkowo do 15 klientów wysłałem e-maile, do których załączyłem pliki z fakturami innych klientów, tym samym przesłałem im dane osobowe, których nie powinni otrzymać. Czy powinienem zgłosić to naruszenie do organu nadzorczego, czy wystarczy, że poinformuję te osoby o tym co się wydarzyło? Czy powinienem podjąć jeszcze jakieś kroki związane z RODO?

Masz podobny problem? Kliknij tutaj i zadaj pytanie. Pomagamy w podobnych sprawach.

Omyłkowe wysłanie faktur do innych klientów a RODO

Fot. Fotolia

Naruszenie ochrony danych osobowych poprzez nieuprawnione ujawnienie przesyłanych danych

W Pańskiej sprawie należy oprzeć się na art. 33 i 34 RODO. Zgodnie z art. 33 „w przypadku naruszenia ochrony danych osobowych administrator musi poinformować o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych – najpóźniej w ciągu 72h od stwierdzenia naruszenia”. Wyjątek stanowi sytuacja, gdy jest mało prawdopodobne, aby to naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym przypadku możemy mówić o naruszeniu ochrony danych osobowych poprzez nieuprawnione ujawnienie przesyłanych danych. Pytanie, na które musi Pan odpowiedzieć, jest następujące: czy w tym przypadku istnieje ryzyko naruszenia praw osób fizycznych? Jeżeli tak, czy jest to ryzyko bądź wysokie ryzyko? O takim ryzyku mówimy, gdy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Masz problem prawny? Kliknij tutaj i zapytaj prawnika ›

Omyłkowe udostępnienie faktur z cudzymi danymi osobom nieuprawnionym

Wspomniał Pan, że wysłał Pan złe faktury – rozumiem, że załączył Pan tylko zły plik, zgadza się? Czy faktury zawierały wyłącznie dane rejestrowe, które można znaleźć w KRS lub CEIDG? Czy faktury były wystawione na osoby prawne (sp. z o.o.) czy podmioty prowadzące jednoosobowe działalności gospodarcze? Czy też znajdowały się tam również np. dane kontaktowe pracownika/kontrahenta, jak np. indywidualny adres e-mailowy takiej osoby? Jeżeli przesłane dokumenty zawierały tylko informacje niezbędne do wystawienia faktury, to w mojej ocenie ta sytuacja nie wiążę się z ryzykiem naruszenia praw osób fizycznych. W konsekwencji nie widzę potrzeby zgłaszania tego zdarzenia do PUODO. Jednakże ze względu na zasadę rozliczalności sporządziłbym pisemną notatkę ze zdarzenia, ocenę jego skutków wraz z uzasadnieniem podjętych działań. Natomiast zgodnie z art. 34 obowiązek zawiadomienia osoby, której dane zostały naruszone, powstaje wyłącznie w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zatem jedynie, gdyby w pierwszym etapie oceny sytuacji ustalone zostało, iż istnieje ryzyko naruszenia praw osób fizycznych i ryzyko byłoby wysokie, musiałby Pan zawiadomić osoby, do których wysłano błędne faktury. Z biznesowego punktu widzenia oczywiste jest, że należy wysłać do takiej osoby przepraszającego e-maila dotyczącego omyłkowego załączenia złego pliku, z prośbą skasowania wcześniej otrzymanego dokumentu. Jednak nie musi on spełniać wymagań wskazanych w art. 34 ust. 3 RODO.

Potrzebujesz pomocy prawnika? Kliknij tutaj i opisz swój problem ›

Przykłady

Nie ten plik w załączniku
Pani Maria, prowadząca biuro rachunkowe, podczas wysyłki miesięcznych faktur do klientów, pomyliła załączniki i do kilku e-maili dołączyła faktury wystawione dla innych firm. Dokumenty zawierały m.in. imiona i nazwiska właścicieli JDG, ich adresy i NIP-y. Po odkryciu błędu natychmiast wysłała sprostowanie, poprosiła o usunięcie załącznika i sporządziła wewnętrzną notatkę z oceną ryzyka. Zgłoszenia do PUODO nie dokonała, uznając, że ryzyko było niskie, ale wdrożyła dodatkową weryfikację przed wysyłką maili.

Faktura zawierająca dane osobowe pracownika kontrahenta
W hurtowni budowlanej pracownik działu księgowości wysłał przez pomyłkę fakturę przeznaczoną dla firmy A do przedstawiciela firmy B. Faktura zawierała dane kontaktowe konkretnego pracownika firmy A – imię, nazwisko i prywatny adres e-mail. Po analizie uznano, że ujawnienie tych danych może wiązać się z ryzykiem naruszenia prywatności tej osoby. Firma poinformowała zarówno odbiorcę błędnego maila, jak i osobę, której dane ujawniono, oraz złożyła zgłoszenie do PUODO.

Faktury z danymi publicznymi – czy to naruszenie?
Pan Tomasz, prowadzący sklep internetowy, przez pomyłkę wysłał kilku klientom faktury z danymi innych przedsiębiorców. Dokumenty zawierały wyłącznie dane firm z CEIDG – nazwy, adresy prowadzenia działalności i NIP-y. Po konsultacji z prawnikiem uznał, że skoro dane są publiczne i nie zawierają danych osobowych pracowników, nie ma obowiązku zgłaszania tego do PUODO. Dla celów rozliczalności sporządził jednak dokumentację wewnętrzną opisującą zdarzenie.

Podsumowanie

Omyłkowe wysłanie faktur zawierających dane innych klientów może stanowić naruszenie ochrony danych osobowych, jednak nie każda taka sytuacja wymaga zgłoszenia do organu nadzorczego. Kluczowa jest ocena, czy doszło do ujawnienia danych osobowych oraz czy istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli ujawnione informacje mają charakter publiczny lub dotyczą wyłącznie osób prawnych, obowiązek zgłoszenia może nie wystąpić. Niezależnie od oceny ryzyka, warto udokumentować incydent i poinformować nieuprawnionych odbiorców o pomyłce, prosząc o usunięcie błędnie otrzymanych dokumentów. Zachowanie przejrzystości i zastosowanie zasady rozliczalności pozwala zminimalizować konsekwencje takiego zdarzenia.

Oferta porad prawnych

Potrzebujesz szybkiej i rzetelnej pomocy prawnej? Skorzystaj z naszej oferty porad prawnych online – bez wychodzenia z domu, w dogodnym dla Ciebie czasie. Nasi prawnicy udzielają indywidualnych konsultacji, analizują dokumenty i pomagają w rozwiązaniu konkretnych problemów prawnych, takich jak ochrona danych osobowych, błędy w korespondencji z klientami czy obowiązki wobec organów nadzorczych. Wystarczy wypełnić formularz i opisać swoją sprawę – odpowiedź otrzymasz nawet w ciągu 24 godzin.

Źródła:

1. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych - Dz.U. 2018 poz. 1000

Nie znalazłeś odpowiedzi na swoje pytania? Opisz nam swoją sprawę, wypełniając formularz poniżej ▼▼▼. Zadanie pytania do niczego nie zobowiązuje.

Zapytaj prawnika - porady prawne online

WAŻNE 🡆 Akceptuję Regulamin świadczenia usług i zapoznałem się z informacjami o danych osobowych.

WAŻNE 🡆 Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia i numeru telefonu, które podałem/podałam w tym formularzu, przez „Lexine” Gawek i Kielar Spółkę jawną, z siedzibą przy ul. Witkowickiej 82, 31-242 Kraków, będącą administratorem moich danych osobowych — w celu otrzymywania sms-ów związanych z realizacją usługi.

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia i adresu e-mail, które podałem/podałam w tym formularzu, przez „Lexine” Gawek i Kielar Spółkę jawną, z siedzibą przy ul. Witkowickiej 82, 31-242 Kraków, będącą administratorem moich danych osobowych — w celu przesłania rabatu na kolejną usługę.

Zgadzam się na przesyłanie informacji handlowych przez administratora na podany e-mail zgodnie z ustawą z 18.07.02 r. o świadczeniu usług drogą elektroniczną (t. j. Dz. U. 2017 poz. 1219, z późn. zm.).

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny

O autorze: Łukasz Marciniak

Czy wspólnik spółki jawnej musi opłacać składki ZUS, czy może opłacać KRUS?

Poprzedni materiał

Przekazanie w formie darowizny udziałów w spółce z o.o.

Następny materiał

»Podobne materiały

➟ Zmiana umowy o pracę na czas nieokreślony na umowę na czas określony

➟ Kiedy świadek w sprawie rozwodowej może odmówić zeznań?

➟ Jak nie dopuścić do ubezwłasnowolnienia matki?

➟ Problemy po naprawie samochodu w serwisie

➟ Dojazd do drogi publicznej przez działkę drogową

➟ Umowa dożywocia a opłacanie rachunków, czy dziadkowie mogą płacić za media?

➟ Upublicznienie danych zgłaszającego zakłócanie ciszy nocnej

➟ Wysłanie listu służbowego pod zły adres a RODO

➟ Przetwarzanie danych osobowych w postaci głosu

➟ Kontrola w jednostce budżetowej a przepisy RODO

➟ Upublicznienie protokołu Państwowej Inspekcji Pracy z kontroli firmy

Zapytaj prawnika »

Porad przez Internet udzielają
prawnicy z dużym doświadczeniem.

Zapytaj prawnika

Dodaję kolejny plik +

WAŻNE 🡆 Akceptuję Regulaminem świadczenia usług i zapoznałem się z informacjami o danych osobowych.

WAŻNE 🡆 Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia i numeru telefonu, które podałem/podałam w tym formularzu, przez „Lexine” Gawek i Kielar Spółkę jawną, z siedzibą przy ul. Witkowickiej 82, 31-242 Kraków, będącą administratorem moich danych osobowych — w celu otrzymywania sms-ów związanych z realizacją usługi.

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny

Najnowsze pytania w dziale

Możliwość udostępnienia danych byłego administratora jednostki organizacyjnej Możliwość uzyskania danych właściciela lokalu, który odpowiada za zalanie mieszkania Przetwarzanie danych osobowych pracownika po zakończeniu stosunku pracy, wycofanie zgody a obowiązki pracodawcy Czy pracownik może odmówić zainstalowania firmowej aplikacji na prywatnym telefonie? Naruszenie przepisów RODO przy masowej wysyłce maili z ofertą handlową Czy wysyłanie ofert handlowych pocztą tradycyjną jest zgodne z prawem? Czy żarty telefoniczne są dozwolone? Przechowywanie prac semestralnych a RODO Zgoda na udostępnianie wizerunku pracowników Wizerunek pracownika w protokole pokontrolnym Państwowej Inspekcji Sanitarnej, czy należało uzyskać zgodę?