Klient sam podaje błędny adres email. Wysyłamy dane osobowe na podany emaile i … mamy pasztet … Boleśnie przekonała się o tym WARTA S.A ( 85 000 zł kary ) . Ale czy można takiej wtopy uniknąć ?

Zgodnie z RODO to Administrator powinien mieć świadomość ryzyka wykorzystując ten czy inny sposób przetwarzania danych ( w tym wypadku korzystanie z poczty e-mail ) . I to również na administratorze spoczywa obowiązek wdrażania, adekwatnych do zagrożeń, środków ochrony. I nie ma tu tłumaczenia iż klient sam wpisał błędny adres a Administrator tylko wysłał dane na adres podany przez klienta.

Całościowy opis incydentu i stanowisko UODO można znaleźć na stronie :

https://uodo.gov.pl/pl/138/1801

Z punktu widzenia IT kluczowe są 2 informacje :

• Adresowi uzyskanemu od klienta nie można ufać. i nie można uznać że adres należy do Kowalskiego tylko dlatego że Kowalski go podał.
• Należy wdrożyć szyfrowanie zawartości emaili oraz/lub załączników. I to tak działająca aby tylko rzeczywisty kowalski mógł rozszyfrować co trzeba.

Najprostszym systemem który można wdrożyć to używanie zaszyfrowanych załączników do przesyłania danych osobowych emaili .

Do tego celu potrzebny jest darmowy program 7zip ze strony www.7-zip.org .

Program ten pozwala na kompresowanie plików wraz z użyciem hasła.

I oczywiście całym clue przedsięwzięcia jest podanie Kowalskiemu hasła inną drogą niż email (np . telefonicznie) . Spotkałem się również w bankach z systemem iż hasłem do załącznika jest PESEL klienta (jakieś wyjście to jest , mimo iż nie idealne).

Zzipowany i za hasłowany załącznik jeśli nawet trafi do nie Kowalskiego , to nie będzie on w stanie nic z nim zrobić bez podania hasła .

Podsumowując , bez wydawania dużych środków, można wdrożyć sensowny system zabezpieczenia emiali pod kątem RODO . I tego chyba Warcie wtedy brakło .