Omyłkowe wysłanie faktur do innych klientów a RODO

Naruszenie ochrony danych osobowych poprzez nieuprawnione ujawnienie przesyłanych danych

W Pańskiej sprawie należy oprzeć się na art. 33 i 34 RODO. Zgodnie z art. 33 „w przypadku naruszenia ochrony danych osobowych administrator musi poinformować o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych – najpóźniej w ciągu 72h od stwierdzenia naruszenia”. Wyjątek stanowi sytuacja, gdy jest mało prawdopodobne, aby to naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W tym przypadku możemy mówić o naruszeniu ochrony danych osobowych poprzez nieuprawnione ujawnienie przesyłanych danych. Pytanie, na które musi Pan odpowiedzieć, jest następujące: czy w tym przypadku istnieje ryzyko naruszenia praw osób fizycznych? Jeżeli tak, czy jest to ryzyko bądź wysokie ryzyko? O takim ryzyku mówimy, gdy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej.

Omyłkowe udostępnienie faktur z cudzymi danymi osobom nieuprawnionym

Wspomniał Pan, że wysłał Pan złe faktury – rozumiem, że załączył Pan tylko zły plik, zgadza się? Czy faktury zawierały wyłącznie dane rejestrowe, które można znaleźć w KRS lub CEIDG? Czy faktury były wystawione na osoby prawne (sp. z o.o.) czy podmioty prowadzące jednoosobowe działalności gospodarcze? Czy też znajdowały się tam również np. dane kontaktowe pracownika/kontrahenta, jak np. indywidualny adres e-mailowy takiej osoby? Jeżeli przesłane dokumenty zawierały tylko informacje niezbędne do wystawienia faktury, to w mojej ocenie ta sytuacja nie wiążę się z ryzykiem naruszenia praw osób fizycznych. W konsekwencji nie widzę potrzeby zgłaszania tego zdarzenia do PUODO. Jednakże ze względu na zasadę rozliczalności sporządziłbym pisemną notatkę ze zdarzenia, ocenę jego skutków wraz z uzasadnieniem podjętych działań. Natomiast zgodnie z art. 34 obowiązek zawiadomienia osoby, której dane zostały naruszone, powstaje wyłącznie w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zatem jedynie, gdyby w pierwszym etapie oceny sytuacji ustalone zostało, iż istnieje ryzyko naruszenia praw osób fizycznych i ryzyko byłoby wysokie, musiałby Pan zawiadomić osoby, do których wysłano błędne faktury. Z biznesowego punktu widzenia oczywiste jest, że należy wysłać do takiej osoby przepraszającego e-maila dotyczącego omyłkowego załączenia złego pliku, z prośbą skasowania wcześniej otrzymanego dokumentu. Jednak nie musi on spełniać wymagań wskazanych w art. 34 ust. 3 RODO.