8:48
19/7/2017

O braku BCC w wysyłce e-maili piszemy niemal regularnie, starając się naświetlać Wam tylko te ciekawsze przypadki, bo prawdę mówiąc nie ma tygodnia, aby ktoś nie przesłał nam informacji o tego typu zdarzeniu. Przyjęło się, że po tego typu wpadce, winni przepraszają, a niektóre firmy, zgodnie z tradycją, w ramach “zadośćuczynienia” przekazują książki do bibliotek. Albo nie przekazują, bo przecież nie każdy musi, chce lub martwi się o swój wizerunek. Okazuje się jednak, że istnieje jeszcze jeden typ reakcji, z którym wczoraj zetknęliśmy się po raz pierwszy i właśnie dlatego warto go przybliżyć.

Załączam do korespondencji redakcję Niebezpiecznika

Wczoraj jeden z czytelników dodał nas na CC do e-maila, jakiego skierował do firmy Parkanizer. Firma ta, informując swoich klientów o “utrudnieniach”, ujawniła ich dane osobowe, zapominając o wklejeniu listy adresowej do pola BCC. Oto wiadomość, jaką podzielił się z nami nasz czytelnik, będący prawowitym jej odbiorcą:

I pewnie tę wiadomość, tak jak dziesiątki innych w podobnych wpadkach, byśmy zignorowali. Gdyby nie reakcja firmy Parkanizer. Dwie i pół godziny później, firma Parkanizer przesłała na nasz adres takiego e-maila:

Wraz z takim pismem, jako załącznik:

Pochwalamy firmę Parkanizer za to, że przeprosiła swoich klientów za ten “niefortunny przypadek” i że wyciągnęła wnioski z tego zdarzenia “wdrażając niezwłocznie dodatkowe środki ochrony poufności” (szkoda, że nie zdradzono jakie?). Doceniamy też dbanie o dobro klientów i bardzo profesjonalny ruch, tj. prośbę o usunięcie danych (mamy nadzieję, że została ona skierowana do każdego z odbiorców e-maila, bo tylko wtedy ma ona sens). Z tego też powodu, wniosek firmy Parkanizer o usunięcie przesłanych do nas danych jej klientów, które to — przypomnijmy — firma Parkenizer udostępniła im nawzajem, a które to do nas zostały przesłane przez jednego z poszkodowanych klientów, w całości i bez zastrzeżeń rozpatrzyliśmy pozytywnie. Choć wniosek ten w ogóle nie był potrzebny, bo dane, czyli adres e-mail klientów, jak zwykle zresztą w tego typu przypadkach usuwamy. Robimy to nawet bez takich “przypominaczy”.

Natomiast “wniesienie” (czyli tłumacząc z prawniczego na polski: prośbę) o zachowanie sprawy w tajemnicy tym razem musimy odrzucić, bo w tej sprawie coś zainteresowało nas bardziej niż sam fakt pomyłki pracownika firmy Parkanizer. Mianowicie, firma Parkanizer podnosi, że — tu cytat — “dane są poufne” i “zostały Państwu (tj. Redakcji Niebezpiecznik.pl) przekazane przez nieuprawnioną osobę z naruszeniem prawa“.

Postanowiliśmy upewnić się, czy rzeczywiście te dane zostały nam przekazane z naruszeniem prawa i czy rzeczywiście osoba, która była w ich posiadaniu była “osobą nieuprawnioną”. Pytania w tej sprawie zadaliśmy doktorowi Pawłowi Litwińskiemu, adwokatowi z kancelarii Barta Litwiński, związanemu także z instytutem Allerhanda, ale przede wszystkim znanemu ekspertowi z zakresu tematyki ochrony danych osobowych.

Niebezpiecznik: Czy w przypadku, kiedy nasz adres e-mail znajdzie się na skutek błędu nadawcy, w polu CC, wraz z setkami innych adresów e-mail, to my faktycznie zapoznajemy się w takiej sytuacji z “danymi poufnymi” i stajemy się “nieuprawnioną osobą“? Co to w ogóle znaczy i czy coś za to grozi?

dr Paweł Litwiński: Wypada zacząć od tego, że — zgodnie z art. 82 ustawy o prawie autorskim i prawach pokrewnych — osoba, do której korespondencja jest skierowana, ma prawo dysponowania nią. W przypadku, którego dotyczy niniejszy tekst, korespondencja w postaci treści wiadomości i adresów email jej adresatów została skierowana do określonego adresata, który mógł nią dysponować. W tym kontekście nie ma więc wątpliwości — adresat był “uprawnioną osobą”. Natomiast podejmując decyzje o ew. rozpowszechnianiu takiej korespondencji bez zamaskowania adresów albo bez zgody wszystkich adresatów, możemy się narazić na zarzut naruszenia dóbr osobistych osób, których adresy rozpowszechniamy. Może się bowiem zdarzyć tak, że ktoś nie życzy sobie pojawić się publicznie w jakimś kontekście (np. wiadomość o zmianie regulaminu sklepu dla dorosłych), czy w ogóle nie chce, by ten jego adres email został ujawniony. W takim przypadku w grę wchodzi odpowiedzialność przed sądem cywilnym, w praktyce sprowadzająca się do konieczności zapłaty zadośćuczynienia.

Czy w takich przypadkach możemy “odpowiedzieć do wszystkich” (co często się zdarza) albo czy możemy poinformować np. redakcję Niebezpiecznika, forwardując wiadomość e-mail? Czy może tego typu działanie to “naruszenie prawa”, a jeśli tak, co za to grozi?

Odpowiedzieć “do wszystkich” na pewno możemy, wszak to adresaci tej samej wiadomości, którą i my otrzymaliśmy — dysponenci tej samej korespondencji. Z jakąkolwiek formą rozpowszechniania wiadomości byłbym o tyle ostrożny, że możemy narazić się na wspomniany już wyżej zarzut naruszenia dóbr osobistych — co oczywiście w ocenianym przypadku nie miało miejsca, wszak rozmawiamy o dojeździe (utrudnionym) do określonego budynku.

Podsumowując, kto i komu może ujawnić treść e-maila jakiego dostał, (a może łatwiej ustalić komu nie możemy ujawniać treści e-maili jakie są do nas kierowane)?

Adresat — komu tylko zechce. Jeżeli adresatów jest więcej, trzeba uszanować wolę każdego z nich. Nadawca nie może się sprzeciwić takiemu ujawnianiu treści wiadomości. Na marginesie zwrócę uwagę, że twierdzenie, jakoby nadawca — osoba fizyczna — bezprawnie udostępnił listę adresatów, jest z gruntu chybione. Osoba fizyczna, która przetwarza dane osobowe wyłącznie w swoim osobistym celu, nie podlega przepisom ustawy o ochronie danych osobowych. Nie może więc danych ujawnić “bezprawnie”.

Wreszcie, czy można domagać się od redakcji, żeby incydenty tego typu zachowywała w tajemnicy?

Zdecydowanie nie. Redakcja działa tutaj w interesie społecznym, a próba powstrzymywania redakcji przed takimi publikacjami to wręcz byłby przykład przestępstwa tłumienia lub utrudniania krytyki prasowej. I znów nie mogę się powstrzymać od małej dygresji — RODO, nowe rozporządzenie o ochronie danych osobowych (stosowane od 25 maja 2018 r.) tego rodzaju przypadek, jak opisywany w artykule, traktuje jako naruszenie ochrony danych osobowych. I wymaga, żeby zgłosić go w ciągu 72 godzin od wykrycia do organu ochrony danych osobowych (następca GIODO), a w niektórych przypadkach poinformować też osoby, których dane dotyczą. Trzeba się więc przyzwyczaić do tego, że tego rodzaju wpadki staną się niestety jawne.

Na marginesie; wiemy że dr Paweł Litwiński, który konsultuje firmy w temacie wdrożeń pod RODO/GDPR, jako uznany ekspert, ma pełne ręce roboty. Wiemy też, że sporo z Was podpytuje nas o różne kwestie w kontekście nadchodzącej zmiany przepisów. Obiecujemy, że jeśli tylko uda nam się na dłużej spotkać z Pawłem Litwińskim, odpytamy go o Wasze “rozterki” i opublikujemy podsumowanie tej rozmowy na Niebezpieczniku (pytania można wysyłać tutaj). Do momentu kiedy to nastąpi — jeśli macie pilne pytania związane z tematyką RODO/GDPR lub potrzebę konsultacji wdrożenia — polecamy zgłosić się do Pawła bezpośrednio.

Podziękuj, przeproś, popraw

Na koniec tego artykułu dodajmy, że dziennikarze bardzo często spotykają się z sytuacjami, gdy ktoś próbuje przekonać ich do bezprawności publikowania informacji w oparciu o tajemnicę korespondencji, ochronę danych osobowych lub ochronę praw autorskich. Nasza redakcja nie jest wyjątkiem. Sporo z opublikowanych na naszych łamach artykułów ma w redakcyjnej szafie związane z nimi różnego rodzaju wezwania pisane przez różnego rodzaju kancelarie. Jest to już niemała kolekcja… Do tej pory jednak nigdy nie usunęliśmy ani jednego artykułu, który dla kogoś mógł być niewygodny. O treści publikowane na naszych łamach walczymy do końca, a o tej walce powstała prezentacja, którą mieliśmy pokazać na tegorocznym InfoShare (ale nie wyszło, bo WannaCry) — właśnie dorzuciliśmy do niej kolejny slajd :-)

Jako małą zajawkę “problemu”, prezentujemy kilka przykładów tego typu działań zmierzających do cenzury prasy:

  • Serwisy prowadzone przez naciągaczy (np. naciągające na Premium SMS-y) umieszczały w swoich regulaminach zapisy zabraniające cytowania treści z portalu lub pokazywania jego elementów graficznych. Zdarzało się, że dziennikarz ostrzegający przed takim serwisem był następnie straszony wizją pozwu o naruszenie praw autorskich.
  • Przedsiębiorcy, których dane są dostępne publicznie w CEiDG, potrafią straszyć dziennikarzy odpowiedzialnością za publikowanie ich danych powołując się na artykuły prasowe o tym, że dane przedsiębiorcy też podlegają ochronie (bo w pewnych sytuacjach rzeczywiście podlegają, co nie znaczy, że nie wolno pisać o danym przedsiębiorcy).
  • Znane są nam sytuacje, gdy przedsiębiorca “hakował tajemnicą” tzn. wprost napisał w mailu do dziennikarza o czymś kompromitującym, a następnie wymagał zachowania tego w tajemnicy ze względu na “tajemnicę korespondencji” (true story :)).

Generalnie warto zapamiętać jedną złotą zasadę, która przyda się osobom pracującym z informacjami. To co jest “tajemnicą” dla jednych, może być po prostu “informacją” dla drugich, a zachowanie tajemnicy jest wyłącznie problemem osoby, której tajemnice powierzono. Nie można – przykładowo – pociągnąć do odpowiedzialności dziennikarza za to, że adwokat wyjawił mu tajemnicę adwokacką (to adwokat miał się nie wygadać). Tajemnica korespondencji dotyczy poczty (instytucji), ale nie nadawcy czy odbiorcy. Tajemnica przedsiębiorstwa to coś, o czego zachowanie ma zadbać zainteresowane przedsiębiorstwo. Tajemnica ujawniona przestaje być tajemnicą… i tyle!

Z tego też powodu, większość stopek pod firmowymi e-mailami, które informują o tajemnicach zawartych w mailu, jest niepotrzebnym i możliwym do zignorowania w całości, nic nie wartym komunikatem.

Wszystkim firmom, które kiedyś odnotują podobną wpadkę, radzimy więc stuknąć się w pierś, podziękować za zwrócenie uwagi, przeprosić strony zamieszane w incydent …i poprawić swoje procedury na przyszłość.

Przeczytaj także:



37 komentarzy

Dodaj komentarz
  1. “RODO, nowe rozporządzenie o ochronie danych osobowych (stosowane od 25 maja 2018 r.)”
    Rok się przestawił ;)

    • Nie – Rok jest OK. GDPR wchodzi w życie 25 maja 2018.

    • Jest dobrze – ono wchodzi w życie w 2018.

    • Tylko, że weszło w życie w 2016, a stosuje się od 2018 :)

    • W jednym z opublikowanych ostatnio gdzie indziej materiałów informacyjnych dotyczących tego nowego rozporządzenia napisano: “Prawdopodobnie doprowadzi to do zmian we wprowadzonym obecnie protokole IPv6 tak, aby zawierał w sobie dane osobowe użytkownika jak dane personalne, adres e-mail oraz lokalizację.” – ktoś wie coś więcej na ten temat? Czy rzeczywiście mamy spodziewać się RFC, które wprowadzi do nagłówka IPv6 “dane personalne, adres e-mail oraz lokalizację” użytkownika?

    • @Gość Nie czytaj takich bzdur!! Co akapit, to totalna dezinformacja. Dawno takiego czegoś nie widziałem.

  2. Tajemnica korespondencji dotyczy nie tylko instytucji, czyli poczty, ale wszystkich, których korespondencja nie dotyczy – czyli także osoby trzecie, postronne. Przykład: jeśli przejąłeś domenę xxx.com i masz catch-all na mailu, a ktoś wyśle maila do support@xxx.com to, chociaż trafia to na twojego maila, to kierowane jest do poprzedniego właściciela domeny — vel. należy maila nie czytać i usunąć. Inna sprawa, gdy korespondencja zostanie ujawniona przez strony zainteresowane, powyższe nie ma zastosowania wówczas.

    • A skąd mam wiedzieć, że wiadomość nie jest do mnie jeśli jej nie przeczytam? Adresatem jest właściciel konta pocztowego na domenie, a nie ktoś kto kiedyś posiadał tam konto.

    • Tutaj korespondencja dotyczyła osoby która ją otrzymała.

    • jeżeli na kwiatowej 5 mieszkał jan kowalski ale zmarł był i dzieci sprzedały spadek zupełnie przypadkowo janowi kowalskiemu to co dalej?

      przecież listy do poprzedniego będą przychodziły z jego imieniem i nazwiskiem na jego adres…

    • Zmarłych tajemnica korespondencji nie dotyczy. Można czytać ich listy do bólu

  3. “wszak rozmawiamy o dojeździe (utrudnionym) do określonego budynku”?? Jakieś niefortunne kopiuj-wklej? Czy sprawdzacie czujność czytelników? :>

    • Utrudnionego dojazdu dotyczyła korespondencja z rozbudowanym CC:)

  4. procedura wdrożenia “dodatkowych środków ochrony poufności”:
    “pani Krysiu, jak jeszcze raz takiego baboka pani pierdyknie to po premii polecę!!1!”

    • Pani Krysia na to: “oj tam, wielkie rzeczy. Co za róznica? Bcc, cc to tylko jedna literka.” ;)

  5. W ostatnim zdaniu artykułu zabrakło zakończenia: “… i kupić książki”. Ja bym tego elementu nie pomijał, bo jak wiemy “poprawienie się w przyszłości” nie oznacza absolutnie żadnego działania.

  6. “Z tego też powodu, większość stopek pod firmowymi e-mailami, które informują o tajemnicach zawartych w mailu, jest niepotrzebnym i możliwym do zignorowania w całości, nic nie wartym komunikatem.” – chyba, że adresat podpisał klauzulę poufności, wtedy to po prostu przypomnienie.

  7. „mieliśmy pokazać na tegorocznym InfoShare (ale nie wyszło, bo WannaCry)” – hej, przecież macie nowiuśki kanał na YouTube!

  8. “Odpowiedzieć “do wszystkich” na pewno możemy, wszak to adresaci tej samej wiadomości, którą i my otrzymaliśmy — dysponenci tej samej korespondencji.”
    Tu chyba mamy jakiś niebezpieczny skrót myślowy, bo przeczymy odpowiedzi na pierwsze pytanie.
    Po pierwsze, wcale nie wiadomo, czy jest to ta sama wiadomość – mogła przecież zostać zmieniona, mogłem też dodać informację, że mam znajomego prawnika, który pomoże w problemach z ochroną danych.
    Po drugie, na jakiej podstawie będę przetwarzał te dane? Prawnie usprawiedliwiony cel?

    I ciekawostka. Czy po dopełnieniu obowiązku informacyjnego mogę przetwarzać te dane dla marketingu własnych produktów i usług? Zostały udostępnione z naruszeniem prawa, ale ja przecież prawa nie naruszyłem zbierając te dane…

    • Ale tu już mówisz o przetwarzaniu przez osobę prawną, a nie fizyczną. Firma tego typu danych nie mogłaby przetwarzać.

  9. Ha, ha!
    Robię pourlopowy przegląd spamu, a tam od kilku dni czeka mail z załącznikiem z bazą klientów jednej z większych firm „od bezpieczeństwa”. Maile, telefony. Może to jakaś epidemia?
    Przeprosili. Dali rabat na szkolenie, o którym informowali w mailu. Szkoda, że dla mnie nieprzydatne. A może to taka nowa forma sprzedaży szkoleń?

  10. Dlaczego adres email jest uważany za daną osobową? Przez daną osobową rozumiemy daną, która pozwala zidentyfikować osobę, a przecież nawet jeśli w adresie jest imię i nazwisko, to nie ma gwarancji, że jest to prawdziwe imię i nazwisko (vide: powszechnie znany użytkownik emailowy Józef Bąk, w rzeczywistości ma całkiem inne imię i nazwisko). Jeśli zaś jest to adres z domeny służbowej, no to jest to nie tyle dana osobowa, co dane dot. osoby funkcyjnej. Szczerze mówiąc, to mnie bardziej irytuje to, że GiODO pozwala bankom na przechowywanie wiernych kopii dowodów osobistych (włącznie z kompletem zdjęć umieszczonych na tych dowodach).

    • Przez analogię – adres zamieszkania, tj. adres pocztowy, też jest daną osobową. A i jeden i drugi prowadzi do tej samej osoby :)

    • Nie wiem czy odpowiadać na takie komentarze, bo jeżeli ktoś upiera się przy swoim zdaniu, a definicji danych osobowych nie sprawdzi i wypowiedzi GIODO ze zrozumieniem nie przeczyta…

      Po pierwsze definicja. Dane osobowe, to nie są dane pozwalające na zidentyfikowanie osoby, a wszelkie dane _dotyczące_ zidentyfikowanej lub możliwej do identyfikacji osoby.

      Po drugie GIODO słusznie powiedział, że adres email _może_ być daną osobową.
      W podanym przykładzie sam sobie przeczysz. Co z tego, że w adresie jest zmyślone imię i nazwisko, jeżeli potrafisz na jego podstawie zidentyfikować osobę? To jest nie tylko dane osobowa ale też dana pozwalająca na identyfikację osoby (gdzieniegdzie nazywana PII).

      Co z tego, że nie potrafię zidentyfikować osoby po adresie, jeżeli w treści maila poda swoje dane? Adres email stanie się automatycznie daną osobową, bo będzie dotyczył zidentyfikowanej osoby.
      A jeżeli wpiszę adres w wyszukiwarkę i znajdę osobę? Oznacza to, że osoba jest możliwa do zidentyfikowania.

      Ale to i tak nie ma znaczenia w biznesowej praktyce, bo nie będę się nad każdym adresem zastanawiał, tylko przyjmę, że przetwarzając adres email, przetwarzam dane osobowe.

  11. Skoro mowimy o danych osobowych to pytanie – wedle slynnego precedensu adres IP stacji moze byc uwazany za dane osobowe (o ile nie zapewnilismy ze nie da sie z tego IP wyciagnac danych adresowych albo innych oczywistych danych adresowych). Wedle sadu nie da sie tego zapewnic (przynajmniej w tamtym przypadku sie nie dalo) a wiec IP nalezy chronic dane osobowe.
    Skoro tak to jak nalezy chronic logi systemowe? Przyklad – mamy witrynke, na witrynce ciasteczko ‘sesyjne’. Witrynka generuje logi gdzie sa i dostepy ciasteczkowe i IP i czas itd. Co z tym zrobic? Skasowac? No to nie przedsiebierzemy wszystkich krokow w celu utrudnienia / wykrycia / namierzenia potencjalnego przestepstwa. Nie skasowac i trzymac na serwerze? No to trzeba by zarejestrowac baze danych w GIODO i miec ABI do glupiej witryny o rzyci Maryni albo o innych srubkach? A co jesli ‘wtajemniczeni’ mieli by prawo logowania (ale bez wymogu ujawniania danych osobowych – tylko skrot hasla i ksywka w systemie)? Co jesli w celu odzyskania hasla moglby podac email ktory bylby przechowywany w skrocie i sprawdzany z podanym?
    Moze podrzucicie jakis bryk w kwestii przetwarzania danych na tego typu witrynach?

  12. > email
    No proszę. Specjalista ds. prawa autorskiego i nie wie, jak napisać słowo e-mail bez błędu ortograficznego?

    • A może tak zwyczajnie, po polsku „mejl”?

  13. A mnie od dawna dręczy taka kwestia prawna: czy mogę zapoznać się z Listem Otwartym Pana XXX do np Prezydenta RP? Przecież jest to ja by nie patrzeć list skierowany do dokładnie określonego adresata i to nie jest adresat-wszyscy. A jeśli nie mogę, to kto jest winny przestępstwa – ja, czytające cudza korespondencję, czy Pan XXX, który podstępnie takową korespondencję udostępnił?

    • Myślę, że w tym przypadku wystarczą 2 słowa. List OTWARTY.

    • Nadawca też może udostępnić treść listu.
      Inna sprawa jest z petycjami online “skierowanymi do” – tam z kolei regulamin serwisu zastrzega, że wypowiedzi użytkowników nie są kwalifikowane jako korespondencja w rozumieniu ustawy.

    • Strona korespondencji (nadawca lub odbiorca) ma prawo (generalnie, chyba że jakieś NDA podpisał) nią dysponować, w to wchodzi opublikowanie – a pan XXX list zapewne opublikował skoro mogłeś przeczytać:)

  14. “Do tej pory jednak nigdy nie usunęliśmy ani jednego artykułu, który dla kogoś mógł być niewygodny.” – ta jak ten o awarii KSIP – Policji zeszlego roku. Byl i znikl, bo go wezwal NIK…

  15. Ale nie mogę się zgodzić z tezą, że tajemnica korespondencji dotyczy tylko Poczty czy innego operatora. Musimy rozróżnić tajemnicę korespondencji wynikającą z Konstytucji od tajemnicy pocztowej z prawa pocztowego (i tajemnicy telekomunikacyjnej z prawa telekomunikacyjnego).

  16. “To co jest “tajemnicą” dla jednych, może być po prostu “informacją” dla drugich, a zachowanie tajemnicy jest wyłącznie problemem osoby, której tajemnice powierzono.” “Tajemnica korespondencji dotyczy poczty (instytucji), ale nie nadawcy czy odbiorcy.” Oj coś redaktor liberalnie potraktował ochronę korespondencji.
    Za redakcją prawo w modzie: “Ochronę obejmuje nie tylko wiadomość wysyłana sobie przez pocztę tradycyjną. Zakres należy ujmować szeroko i chodzi tutaj o każdy sposób komunikowania się, np. listem, telefonicznie, e-mailowo, drogą radiową lub poprzez znaki świetlne.” http://www.prawowmodzie.pl/tajemnica-korespondencji-czyli-wszystko-na-temat-rozpowszechniania-e-maili/
    Wg tejże opinii autora prawowmodzie “brak zgody na rozpowszechnianie jest domniemany i wymagana będzie zgoda nadawcy i odbiorcy do rozpowszechniania treści wiadomości. Nie musisz umieszczać powyższego zakazu, chyba, że chcesz to zrobić „na przyszłość”.”

  17. ” Osoba fizyczna, która przetwarza dane osobowe wyłącznie w swoim osobistym celu, nie podlega przepisom ustawy o ochronie danych osobowych.” Na szczęście firmy zabezpieczają się klauzulami o wykorzystaniu przez pracownika danych osobowych (do których zbiorów powinien mieć pisemne upoważnienie) w celach wyłącznie służbowych.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: