Okazuje się, że można usunąć dane osobowe na żądanie większej grupy osób w ten sposób, by jednocześnie każda z tych osób weszła w posiadanie danych innych osób proszących o to samo. Taka sytuacja zdarzyła się w sklepie internetowym Redcoon.
Trudno sobie wyobrazić większy paradoks na tle zasad ochrony danych osobowych. Oto dzięki nowym regulacjom wprowadzonym przez RODO klienci sklepu internetowego zostali poinformowani o przysługującym im prawie do zaprzestania przetwarzania ich danych osobowych. Niektórzy z nich zdecydowali się z takiego prawa skorzystać i zgłosili to administratorowi. Ten jednak – niezależnie od tego czy zawinił człowiek czy skrypt komputerowy – rozesłał do każdej z tych osób z osobna informację o zaprzestaniu przetwarzania danych, jednak w tej samej informacji znalazły się dane osobowe wszystkich pozostałych osób, czyli adresy e-mail.
Tym samym adres poczty elektronicznej każdej z osób żądających zaprzestania przetwarzania jej danych został ujawniony pozostałym 179 osobom, które chcąc nie chcąc weszły w jego posiadanie. Czy w takiej sytuacji każda osoba z tego kręgu powinna wskutek błędu sklepu internetowego rozesłać prośby o usunięcie (zaprzestanie przetwarzania) swoich danych do pozostałych 179 osób?
Wydaje się to sporą przesadą biorąc także pod uwagę, że inspektor ochrony danych sklepu Redcoon szybko zareagował na pomyłkę i rozesłał do zainteresowanych informację o incydencie prosząc o usunięcie maila z dnia 13 sierpnia 2018 r. z godz. 18:44 o temacie „usunięcie danych” oraz dalszej korespondencji z udziałem osób, które otrzymały przedmiotową wiadomość.
Sklep poinformował wszystkich zainteresowanych, że w wyniku błędu ich adresy e-mailowe zostały udostępnione innym osobom, których prawa równocześnie były realizowane. Z uwagi na wąski zakres danych osobowych i charakter incydentu sklep uznał, że nie zidentyfikował wysokiego ryzyka naruszenia przysługujących tym osobom praw i wolności. W trybie prewencyjnym incydent został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych.
A wystarczyło przypilnować, czy rozsyłając informacje klientom używa się funkcji DW (do wiadomości) czy też UDW (ukryte do wiadomości)…
Komentarze