Czy obowiązek informacyjny w stopce e-maila jest potrzebny i czy istnieją przepisy, które to regulują?
Często można spotkać się z praktyką umieszczania obowiązku informacyjnego (zgodnego z art. 13 lub 14 RODO) w stopce maila, jednak w żadnym z przepisów nie wskazuje się szczegółowo w jaki sposób powinien być realizowany obowiązek informacyjny.
Umieszczenie stosownej informacji w stopce wysyłanych wiadomości mailowych jest jedną z form realizacji tego obowiązku. Co do zasady informacja, którą przekazujemy osobie fizycznej, której dane przetwarzamy powinna być zwięzła, napisana zrozumiałym językiem i czytelna. Zakres informacji określonych w art. 13 i 14 RODO powinniśmy przekazać w chwili pozyskania danych, a o ile nie jest to możliwe, to przy najbliższej okazji i bez zbędnej zwłoki.
Informacja, o której mowa powinna zawierać:
tożsamość administratora lub jego przedstawiciela,
tożsamość inspektora ochrony danych (o ile został wyznaczony),
cel przetwarzania,
przesłanki przetwarzania oraz podstawy prawne,
odbiorców danych lub ich kategorie,
okres przechowywania,
przysługujące prawa,
wskazanie czy dane są transferowane poza EOG,
wskazanie czy podanie danych jest obligatoryjne oraz jakie będą konsekwencje odmowy ich podania,
określenie czy dane będą podlegały zautomatyzowanemu podejmowaniu decyzji w tym profilowaniu.
Spełniając te kryteria może okazać się, iż sama stopka zajmuje więcej miejsca niż adekwatna wiadomość. Dla zwiększenia przejrzystości przekazu można zastosować warstwową realizację obowiązku informacyjnego. Polega to na umieszczeniu w stopce jedynie krótkiej informacji, np. o tożsamości administratora i celu przetwarzania, a następnie dodaniu linku, pod którym zainteresowany może zapoznać się z pełną treścią informacji.
Obowiązek informacyjny powinien być skrojony pod adekwatny kontekst przetwarzania. W różnych kontekstach będą występowały różne okresy przechowywania, cele, przesłanki przetwarzania i dalej przysługujące prawa. Praktyka stosowania tzw. „ogólnej” informacji powoduje, iż nie spełniamy naszego obowiązku należycie. Zatem umieszczanie w stopce maila „ogólnej” informacji mija się z celem i jest zbędne.
Niemniej, o ile chcemy wykorzystać korespondencję mailową w tym celu, to powinniśmy się zastanowić do kogo ją kierujemy i w jakim kontekście. Załóżmy, iż prowadzimy proces rekrutacji. Zgłoszenia kandydatów przyjmujemy za pośrednictwem dedykowanego adresu mailowego. W takim wypadku w stopce maila, którym potwierdzamy przyjęcie kandydatury możemy umieścić treść obowiązku informacyjnego adekwatnego dla czynności związanych z prowadzoną rekrutacją. Podobnie w przypadku nawiązywania kontaktów biznesowych (zawierania umów), możemy wypełnić nasz obowiązek wobec kontrahentów lub ich przedstawicieli czy pracowników.
Obowiązek informacyjny powinien być realizowany z uwzględnieniem różnic wynikających ze specyfiki poszczególnych czynności przetwarzania. Inną treść będzie miała informacja przeznaczona dla nowozatrudnionego pracownika, a inną dla odbiorcy newslettera czy wspomnianego kandydata do pracy.
INFORMACJA O ZACHOWANIU W POUFNOŚCI KORESPONDECJI PRZEZNACZONEJ DLA INNEGO ADRESATA (BŁĘDNIE WYSŁANY MAIL)
Zdarza się, iż w stopce maila umieszcza się informację o sposobie postępowania na wypadek wysłania korespondencji do niewłaściwego odbiorcy, np.:
"Wiadomość zawiera informacje poufne, które mogą być również objęte tajemnicą handlową lub służbową. Jest on przeznaczony do wyłącznego użytku adresata. jeżeli nie są Państwo jego adresatem lub jeżeli otrzymaliście Państwo ten dokument omyłkowo, to wszelkie rozpowszechnianie, dystrybucja, reprodukcja, kopiowanie, publikacja lub wykorzystanie tego dokumentu czy też zawartych w nim informacji jest zabronione. jeżeli otrzymaliście Państwo tą wiadomość przez pomyłkę, prosimy o bezzwłoczne skontaktowanie się z nami oraz usuniecie tej wiadomości." Z całą pewnością nie należy takiej treści traktować jako realizację obowiązku informacyjnego. Tego rodzaju zobowiązanie nie powoduje, iż jest ono wymagalne. Tak sformułowane zobowiązanie do niczego nie obliguje osoby, która stała się przypadkowym odbiorcą wiadomości. Ktoś będący w posiadaniu takiego maila adekwatnie ma prawo zrobić z nim co chce. Może oczywiście spełnić prośbę nadawcy i go usunąć, ale nie musi tego robić. Może się zdarzyć sytuacja, gdy w wiadomości omyłkowo skierowanej do innego adresata, znajdą się informacje czy treści, które będą dowodem na to, iż ktoś łamie przepisy lub popełnia przestępstwo. W takim przypadku nieprzekazanie sprawy do adekwatnych organów i zastosowanie się do prośby nadawcy o jej usunięciu, może być potraktowane jako współudział w procederze.
PODSUMOWANIE
Zawarcie informacji o przetwarzaniu danych osobowych w stopce maila jest zbędne, o ile decydujemy się na zastosowanie „ogólnej” informacji. o ile natomiast taka informacja stosowana jest w ściśle określonym kontekście, który pozwala nam na doprecyzowanie jej elementów składowych, to jest to praktyka jak najbardziej dopuszczalna.
Umieszczanie w stopce procedury postępowania dla odbiorcy niebędącego adresatem na wypadek otrzymania przypadkowej korespondencji, do niczego odbiorcy nie zobowiązuje, stąd umieszczanie takich informacji jest niepotrzebne.
Dziękujemy, iż przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych oraz innych ważnych tematach dla oświaty.Jeżeli masz pytanie lub interesujące tematy na POSTY, wyślij do nas taką informację - opublikujemy odpowiedź na BLOGU.
Dodatkowe informacje:
NIK interweniuje w sprawie poczty e-mail w jednostkach samorządowych
Instrukcja wysyłania masowych wiadomości e-mail w kopii niejawnej
IOD - Inspektor Ochrony Danych dla placówki oświatowej
Wszystkie ważne informacje dla oświaty
