Nemčija: za nezaščiteno pošiljanje podatkov prek mejla visoka globa
Odgovor na zahtevo za dostop podatkov po GDPR po e-pošti? Nemški organ za varstvo podatkov zaradi neustreznih varnostnih ukrepov naložil šestmestno globo
Objavljeno 6.5.2021
Informacije iz 15. člena GDPR je treba predložiti tudi v elektronski obliki, če je to potrebno na podlagi 12(3) člena GDPR. V praksi to na primer pomeni po elektronski pošti. Tudi pri tem pa morajo podjetja upoštevati zahteve glede varnosti osebnih podatkov v skladu z 32. členom GDPR.
Organ za varstvo podatkov države Brandenburg je nedavno objavil novo poročilo o dejavnostih (v izvirniku dostopno tukaj). V njem DPA poroča, da je podjetju zaradi kršitve 32. člena GDPR v okviru zagotavljanja pravice dostopa do informacij naložil šestmestno globo.
Podjetje je na zahteve za dostop do podatkov odgovorilo po elektronski pošti. E-pošti je bil priložen z geslom zaščiten PDF dokument, ki je vseboval zahtevane podatke. Za odprtje PDF dokumenta je posameznik, na katerega se nanašajo osebni podatki, čez nekaj minut prejel drugo e-poštno sporočilo z geslom v besedilu. To sporočilo je bilo šifrirano samo s privzeto nastavitvijo Transport Layer Security.
DPA je uvodoma izpostavil, da je bilo geslo precej šibko in ni izpolnjevalo ustreznih varnostnih zahtev. Kritiziral pa je tudi dejstvo, da je TLS šifriral samo transportni kanal.
DPA je podjetje v preteklosti že opozarjal, da postopek dostopa oz. zagotavljanja informacij ni v skladu z zahtevami GDPR. Posledično je podjetje sicer spremenilo svojo prakso, vendar le za nekatere od svojih strank. S pritožbo se je DPA seznanil z zgoraj opisanim postopkom, zaradi česar je zoper podjetje sprožil postopek zaradi kršitve 32. člena GDPR.
Z vidika DPA je bila odločilna predvsem tesna časovna in vsebinska povezanost med pošiljanjem prvega e-poštnega sporočila z geslom zaščitenimi dokumenti in drugega e-poštnega sporočila z geslom, ki ni bilo ustrezno zavarovano.
Zahtevane informacije so vsebovale tudi posebne vrste osebnih podatkov, ki jih je podjetje dolžno zaščititi pred dostopom nepooblaščenih tretjih oseb s primernimi in ustreznimi ukrepi. Po mnenju DPA bi to lahko na primer zagotovili s celovitim šifriranjem (end-to-end encryption). Lahko pa bi bilo geslo recimo poslano tudi po telefonu.
Na podlagi opisanih dejstev je DPA podjetju izrekel šestmestno globo.
Glede stališča organa, da bi moralo biti e-sporočilo poslano z end-to-end šifriranjem, pisec tega članka dodaja, da to običajno zahteva sodelovanje posameznikov, na katere se osebni podatki nanašajo. Po njegovem mnenju GDPR ponuja tudi drugo alternativo, in sicer v skladu z uvodno izjavo 63 GDPR »mora upravljavec imeti možnost, da omogoči oddaljen dostop do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov«. Podjetja lahko zato denimo registriranim strankam po njihovi prijavi ponudijo tudi možnost neposrednega prenosa.
Vir: Carlo Piltz
Naslovna fotografija: RawPixel
