UODO i UKE próbują przekonać branżę pocztową, by opracowała i przyjęła kodeks dobrych praktyk wyznaczający zasady m.in. zawiadamiania nadawców listów o zdarzeniach ocenianych jako naruszenie bezpieczeństwa danych osobowych. Jest to szczególnie ważne w przypadku listów zwykłych Poczty Polskiej, a ta raczej nie jest przychylna wprowadzaniu zmian. To problem dla przedsiębiorców nadających nierejestrowane przesyłki, które zawierają dane osobowe (np. medyczne). W przypadku zaginięcia tego typu korespondencji, to oni mają obowiązek zgłoszenia naruszenia bezpieczeństwa danych osobowych. Rzecz w tym, że nie mogą tego zrobić, dopóki Poczta Polska nie powiadomi ich o tego typu zdarzeniu, a z tym jest kłopot.
Witold Chomiczewski radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy / DGP
„Jakie obowiązki ma przedsiębiorca, gdy list nierejestrowany nie dotarł do nadawcy?” – pytają przedstawiciele biznesu. Takich zapytań można znaleźć wiele w internecie, trafiają one też do Urzędu Ochrony Danych Osobowych (UODO). O ile dla konsumentów niedostarczenie przesyłki zwykle jest co najwyżej rozczarowujące (zwłaszcza że w 2017 r. zmieniono przepisy w taki sposób, aby nie można było uzyskać odszkodowania w związku z zagubieniem takich listów), o tyle dla przedsiębiorców wysyłających pisma problem jest większy. W ten sposób może bowiem dojść do naruszenia bezpieczeństwa danych osobowych, za co grozi odpowiedzialnością karną z RODO.

Obowiązek zgłoszenia wycieku

Przypomnijmy: zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych administrator zgłasza je organowi nadzorczemu nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W razie przekroczenia tego terminu, poślizg trzeba uzasadnić organowi nadzorczemu. Zaś zgodnie z art. 34 ust. 1 RODO o naruszeniu informuje się również osobę, której dane dotyczą. Wyjątkiem od powyższych obowiązków jest sytuacja, gdy jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zawiadomienie osoby nie jest też konieczne, gdy wymagałoby niewspółmiernie dużego wysiłku. Przy czym w takiej sytuacji powinno się wydać publiczny komunikat, za pomocą którego osoby, których dane dotyczą, zostają poinformowane o zdarzeniu.

Kto za co odpowiada

Najwięcej wątpliwości w kwestii odpowiedzialności i zakresu obowiązków przy zagubieniu przesyłek jest w przypadku tych, które nie są rejestrowane (zwykłe listy). Kto jest administratorem danych osobowych? Kto powinien zgłosić wyciek danych: poczta czy nadawca? To tylko niektóre pytania, na które odpowiedź nie zawsze jest jednoznaczna. Rzecz w tym, że w przypadku listów zwykłych często przedsiębiorca nawet nie wie, że korespondencja nie dotarła do adresata, lecz znalazła się np. na śmietniku lub trafiła w niepowołane ręce. Niestety może się tego domyślać dopiero wówczas, gdy to adresat zgłosi, że nie otrzymał obiecanej korespondencji (w przeciwieństwie do przesyłek rejestrowanych, gdzie nadawca i adresat mogą śledzić drogę wysłanego listu dzięki uzyskiwanym od Poczty Polskiej kodom, które wpisuje się na jej witrynie internetowej). Przedsiębiorcy pytają zatem, dlaczego mają odpowiadać za naruszenia danych osobowych, skoro przekazując listy poczcie, powierzają je profesjonalnemu podmiotowi zajmującemu się ich wysyłką.
W ocenie ekspertów przy wysyłaniu przesyłek nierejestrowanych obowiązki i odpowiedzialność poczty i nadawców wyglądają podobnie jak w przypadku przesyłek rejestrowanych. Choć kwestia pod kątem formalnym jest dość złożona i budzi w szczegółach kontrowersje wśród prawników, to w podstawowym zakresie można rozdzielić kwestie odpowiedzialności następująco: nadawca przesyłki pozostaje odpowiedzialny za dane osobowe zawarte w przesyłce, zaś Poczta Polska odpowiada za dane znajdujące się na kopercie czy paczce. I ona też ma obowiązek zgłaszania naruszeń ochrony danych osobowych. Tyle że często może być to kwestia skomplikowana.
Zdaniem dra Pawła Litwińskiego, adwokata w kancelarii Barta Litwiński, poczta będzie zobowiązana do zgłoszenia wycieku w przypadku, gdy np. samochód wiozący listy będzie miał wypadek i przesyłki wysypią się na ulicę. Albo gdy pracownicy sortowni stwierdzą, że zagubił im się cały worek z listami zwykłymi. Absurd całej sytuacji polega na tym, że choć wyciek danych pocztowcy powinni zgłosić, to w przypadku nierejestrowanych przesyłek nie są w stanie wskazać, jakie konkretnie listy zaginęły.

Urząd chce uporządkować

Adam Sanocki, rzecznik prasowy UODO, mówi nam, że urząd od dłuższego czasu poszukuje rozwiązania, jak zwiększyć bezpieczeństwo wszystkich przesyłek, a w szczególności nierejestrowanych. – Wewnątrz przesyłek może znajdować się wiele rodzajów dokumentów bądź ich kopii zawierających w swojej treści bardzo różne kategorie danych osobowych, np. dane o stanie zdrowia zawarte w dokumentacji medycznej. W przypadku zgubienia zarówno rejestrowanej, jak i nierejestrowanej przesyłki przez operatora pocztowego jej nadawca, gdy się o tym dowie, powinien to zgłosić do prezesa UODO, gdy istnieje ryzyko dla naruszenia praw i wolności osób – mówi Adam Sanocki. I dodaje, że największy problem dotyczy korespondencji nierejestrowanej. Dlatego też prezes UODO wspólnie z Urzędem Komunikacji Elektronicznej zasygnalizowali rynkowi pocztowemu, że ten powinien wypracować mechanizmy, które by ograniczyły problem. Operatorzy odpowiadają bowiem za bezpieczeństwo przesyłek i należyte wykonywanie usługi (dostarczenie listów). Przy czym obowiązek zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej wynika z art. 41 ust. 6 ustawy z 23 listopada 2012 r. – Prawo pocztowe (t.j. Dz.U. z 2018 r. poz. 2188). – Bezpieczeństwo przesyłek trzeba niewątpliwie wzmocnić – podkreśla Adam Sanocki. Urząd zachęca więc organizacje zrzeszające operatorów pocztowych, by tworzyły kodeksy postępowań. W takich dokumentach szczegółowo mogą być uregulowane zasady postępowania na wypadek zgubienia przesyłki i mechanizmy powiadamiania o tym nadawcy.

Pocztowcom… się nie spieszy

Doktor Paweł Litwiński przyznaje, że wysyłanie danych osobowych listem zwykłym jest kontrowersyjne. Nie dziwi go też, że organ nadzorczy ma z tym szczególny problem. Między innymi z tego względu większość prawników wciąż rekomenduje swoim klientom korzystanie z droższych przesyłek rejestrowanych. – Zwiększa to pewność, że list dotrze do nadawcy i że wycieku nie będzie – mówi dr Litwiński. Ekspert zauważa, że poczta mogłaby mieć kłopot z wprowadzeniem rozwiązania polegającego na monitorowaniu przesyłek zwykłych w kodeksie dobrych praktyk. To wymagałoby zmian w prawie, które – zdaniem eksperta – mogłyby być niezgodne z regulacjami europejskimi.
I faktycznie – jak wynika z naszych nieoficjalnych informacji – Poczta Polska raczej niechętnie podchodzi do pomysłu. A na nasze oficjalne pytanie w tej sprawie odpowiada wymijająco. Zapytana o pomysły na zwiększenie bezpieczeństwa przesyłek nierejestrowanych, rzeczniczka prasowowa PP Justyna Siwek odpowiedziała jedynie, że spółka kieruje się postanowieniami ustawy – Prawo pocztowe. Cała reszta spraw techniczno-organizacyjnych dotyczących systemu zabezpieczeń obrotu przesyłek stanowi zaś tajemnicę przedsiębiorstwa.

Jak się zabezpieczyć

Prezes UODO zachęca zatem, by administratorzy (przede wszystkim nadawcy masowi), którzy korzystają z usług pocztowych, wspólnie z operatorami wypracowali w indywidualnych przypadkach zasady współpracy na wypadek zagubienia korespondencji. Takie mechanizmy powinny umożliwiać sprawną obustronną komunikację między tymi podmiotami, aby jak najszybciej zapewniać odpowiednią ochronę utraconym danym lub podjąć działania minimalizujące negatywne konsekwencje takich naruszeń. Chodzi tu np. o szybkie sygnalizowanie problemów z dostarczeniem przesyłek czy usprawnienie postępowań reklamacyjnych. – Warto też, by podmioty te pracowały nad rozwiązaniami zmierzającymi do wyeliminowania nieprawidłowości polegających na gubieniu przesyłek lub ich dostarczaniu złym adresatom – mówi Adam Sanocki.

Wolnoamerykanka u kurierów

Okazuje się, że dość specyficzna sytuacja z przesyłkami panuje także na rynku usług kurierskich i ona również – zdaniem dra Pawła Litwińskiego – powinna zostać uregulowana przez rząd lub wyjaśniona przez nadzorcę. Otóż część podmiotów kurierskich zastrzega sobie w umowach z klientami, że przejmując od nich przesyłki, działa jako administrator, inni – że jako procesor. W tym pierwszym przypadku współadministrator w umowie jasno określa zakres odpowiedzialności za ewentualne naruszenia, a incydenty zgłasza podmiot, który stwierdził naruszenie w administrowanym przez siebie zakresie. W drugim przypadku co prawda odpowiedzialność jest solidarna, ale obowiązek zgłoszenia naruszenia ciąży na administratorze, nie zaś na procesorze.

Rejestrowane bezpieczniejsze

Doktor Paweł Litwiński zwraca również uwagę, że jeżeli przedsiębiorca korzysta z usług poczty i zauważa, że jego listy notorycznie giną, to biorąc pod uwagę obowiązki wynikające z RODO, powinien wzmocnić bezpieczeństwo danych osobowych i zdecydować się na wysyłanie listów rejestrowanych. Albo gdy dowiaduje się, że firma kurierska często gubi przesyłki, przedsiębiorca powinien rozważyć skorzystanie z usług innego podmiotu. Powstrzymanie się od zmian w takiej sytuacji może być przesłanką zwiększającą ryzyko nałożenia kary przez organ nadzorczy.©℗

opinia eksperta

Administrator musi powiadomić o wycieku, nawet po latach

Witold Chomiczewski radca prawny i wspólnik w kancelarii Lubasz i Wspólnicy
Gdy dojdzie do zagubienia listu – niezależnie od tego, czy był on rejestrowany czy też nie – odpowiedzialność za naruszenie ochrony danych osobowych w odniesieniu do danych osobowych znajdujących się w kopercie spoczywa wciąż na nadawcy-administratorze. Poczta Polska jest bowiem administratorem tylko danych osobowych znajdujących się na kopercie.
W przypadku wysyłania listów nierejestrowanych administrator może dowiedzieć się o fakcie zagubienia przesyłki w zasadzie dopiero wtedy, gdy poinformuje go o tym adresat. Może on bowiem stwierdzić, że nigdy nie otrzymał listu, którego się spodziewał. Wtedy, zgodnie z RODO, administrator ma obowiązek poinformowania o naruszeniu organ nadzorczy oraz podmioty danych, oczywiście jeżeli spełnione są przesłanki określone w tych przepisach. Analizując art. 33 ust. 1 RODO, administrator powinien wykonać te obowiązki w przeciągu 72 godzin od stwierdzenia tego naruszenia. To zasadniczo termin wiążący, liczony od momentu dowiedzenia się przez administratora o naruszeniu. Nie ma zatem znaczenia, czy administrator dowiedział się o fakcie zaginięcia przesyłki nierejestrowanej po kilku dniach, po kilku miesiącach czy nawet po latach.
Administrator – nadawca przesyłki – powinien sam dokonać oceny, czy dane osobowe wysłać listem nierejestrowanym czy rejestrowanym. Administrator powinien pamiętać tu o zasadzie rozliczalności, która jest kluczowa dla RODO, oraz dostosować dobór zabezpieczeń i sposobów przetwarzania do ryzyka. Decydując się zatem na list nierejestrowany, administrator zwiększa ryzyko braku możliwości szybkiego ustalenia, gdzie znajduje się list i czy dotarł on do adresata. Dlatego osobiście nie rekomenduję przesyłania danych osobowych listami nierejestrowanymi.
Biorąc pod uwagę różnicę w kosztach listów rejestrowanych i nierejestrowanych oraz wymogi RODO, moim zdaniem dobrym rozwiązaniem byłoby wprowadzenie przez Pocztę Polską dodatkowej usługi w postaci systemu uproszczonego rejestrowania listów zwykłych. Dzięki temu administrator, nadając list zwykły zawierający dane osobowe, których zagubienie mogłoby powodować naruszenie praw i wolności osoby fizycznej, mógłby skorzystać z takiej usługi. Mógłby to być np. system pozwalający nadawcom generować przez stronę internetową kod kreskowy bądź kod QR, który administrator mógłby samodzielnie przylepiać na kopertę przed wrzuceniem jest do skrzynki czy oddaniem listonoszowi. Nadawca miałby wówczas przynajmniej informację, w jakiej sortowni czy na jakiej poczcie list był widziany po raz ostatni oraz czy został przekazany do doręczenia.