ICO: Διοικητικό πρόστιμο 90.000 ευρώ σε πάροχο υγείας για την αποστολή ομαδικού email χωρίς BCC
Ένα στιγμιαίο ανθρώπινο λάθος και μια εντυπωσιακά άμεση αντίδραση δεν ήταν αρκετά για να αποτρέψουν την επιβολή διοικητικού προστίμου από τον ICO
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Επιμέλεια: Δημήτρης Βέρρας
Ο αρμόδιος υπάλληλος του Gender Identity Clinic ("GIC") του δημοσίου ιδρύματος του NHS Tavistock & Portman NHS Foundation Trust είχε αναλάβει να αποστείλει ομαδικό ενημερωτικό email σε 5.000 εξυπηρετούμενους της Κλινικής (των οποίων είχε ληφθεί η σχετική συγκατάθεση), προκειμένου να τους καλέσει να συμμετάσχουν σε διαγωνισμό καλλιτεχνικής δημιουργίας.
Κατόπιν άντλησης των ηλεκτρονικών διευθύνσεων των συγκεκριμένων προσώπων, που αφενός ήταν ενεργοί εξυπηρετούμενοι, αφετέρου είχαν συναινέσει στην επικοινωνία αυτή, και διαχωρισμού αυτών σε 5 ομάδες των χιλίων περίπου διευθύνσεων, ο υπάλληλος ανέλαβε τη διεκπεραίωση της αποστολής του μηνύματος.
Τράβηξε από το σύστημα τις 2 πρώτες ομάδες (912 και 859 emails αντίστοιχα) και τις φόρτωσε στο Outlook, κάνοντας το λάθος να τις τοποθετήσει στο πεδίο ‘to:’, αντί του ορθού ‘bcc:’. Αποτέλεσμα του λάθους αυτού ήταν 1.777 ενεργά emails να εμφανιστούν σε όλους τους παραλήπτες.
Το λάθος έγινε άμεσα αντιληπτό και ο υπάλληλος προσπάθησε να ακυρώσει την αποστολή, χωρίς όμως αποτέλεσμα. Μέσα σε 90 λεπτά το Ίδρυμα είχε επικοινωνήσει με τα υποκείμενα των δεδομένων, ανακοινώνοντας την παραβίαση, ζητώντας συγγνώμη και παρέχοντάς τους τα αναγκαία στοιχεία επικοινωνίας. Μέσα σε 2 ώρες η ανακοίνωση της παραβίασης είχε αναρτηθεί στον ιστότοπο του Ιδρύματος, ενώ 30 λεπτά αργότερα ενημερώθηκε και η αρμόδια εποπτική αρχή του Ηνωμένου Βασιλείου.
Η κρίση του ICO:
Ο ICO διαπιστώνει πως όχι μόνο τα emails αυτά αποτελούν προσωπικά δεδομένα, στον βαθμό που αυτά περιλαμβάνουν στοιχεία ταυτοποιήσιμων φυσικών προσώπων, αλλά και πως με τη διαβίβαση αυτή αποκαλύφθηκε και το ειδικής κατηγορίας προσωπικό δεδομένο της ιδιότητας του εξυπηρετούμενου από τη συγκεκριμένη κλινική. Από τη διατύπωση του μηνύματος γινόταν σαφές πως αυτό απευθυνόταν αποκλειστικά σε εξυπηρετούμενους, ως εκ τούτου, ο κάθε παραλήπτης (αλλά και αναγνώστης) μπορούσε να αντιληφθεί πως την ιδιότητα αυτή είχαν όλοι οι αποδέκτες.
Το Ίδρυμα συνεργάστηκε με την εποπτική αρχή και προσκόμισε σειρά εγγράφων πολιτικών, μεταξύ των οποίων και ειδικό κείμενο για την αποστολή ηλεκτρονικών μηνυμάτων (“Email, Text and Internet Use Procedure”), στο οποίο γινόταν ρητή αναφορά στην αποφυγή χρήσης του πεδίου ‘to:’. Το 2017 είχαν προηγηθεί 2 παρόμοια περιστατικά σε άλλες υπηρεσίες του Ιδρύματος, γι’ αυτό και είχαν διαμορφωθεί ειδικές πολιτικές, ενώ είχε εκπαιδευτεί σχετικά και το προσωπικό. Ακριβώς όμως για το λόγο αυτό, επειδή δηλαδή το λάθος επαναλήφθηκε παρά τη λήψη μέτρων, ο ICO αξιολόγησε επιβαρυντικά το περιστατικό, έστω και αν αυτό θα μπορούσε να αποδοθεί σε στιγμιαίο ανθρώπινο λάθος.
Όπως χαρακτηριστικά παρατηρείται, ο υπεύθυνος επεξεργασίας, εκτός των μέτρων που έλαβε, μπορούσε να έχει αναζητήσει εναλλακτικούς τρόπους αποστολής email, ενδεικτικά με τη χρήση ειδικού software, που δεν επιτρέπει τέτοια προβλήματα, αντί να συνεχίσει να χρησιμοποιεί το Outlook. Εναλλακτικώς, ο email server θα μπορούσε να έχει ρυθμιστεί ώστε να μην επιτρέπει την αποστολή ομαδικών emails πέραν ενός συγκεκριμένου ορίου παραληπτών, έτσι ώστε να αποφεύγονται παραβιάσεις αυτής της κλίμακας. Τέλος, θα μπορούσε να έχει διαμορφωθεί μια ειδική διαδικασία αποστολής ηλεκτρονικών μηνυμάτων (double check procedure), με την οποία η αποστολή θα ήταν δυνατή μόνο κατόπιν ελέγχου από δεύτερο υπάλληλο του φορέα.
Μεταξύ των κριτηρίων επιμέτρησης του διοικητικού προστίμου ενδιαφέρον παρουσιάζει η δημοσιοποίηση της παραβίασης μέσω Twitter. Σύμφωνα με την απόφαση, περίπου 30 λεπτά μετά την αποστολή του μηνύματος, ένας από τους αποδέκτες το δημοσιοποίησε στο μέσο κοινωνικής δικτύωσης, ενώ αμέσως μετά, το Ίδρυμα δέχθηκε κλήση από δημοσιογράφο, ο οποίος είχε ενημερωθεί για το περιστατικό. Οι εκπρόσωποι του Ιδρύματος επιβεβαίωσαν πως είχαν δει ένα Tweet με screenshot του μηνύματος, όπου ήταν μερικώς ορατές ορισμένες από τις ηλεκτρονικές διευθύνσεις των παραληπτών. Τα στοιχεία αυτά εκτιμήθηκαν επιβαρυντικά από την εποπτική αρχή στο πλαίσιο αξιολόγησης της ζημίας την οποία υπέστησαν τα υποκείμενα των δεδομένων. Στο ίδιο πλαίσιο, ο ICO αξιολόγησε την υποβολή 30 καταγγελιών και την έγερση 10 αστικών αξιώσεων από τα πρόσωπα που είχαν ζημιωθεί.
Ελαφρυντικώς, μεταξύ άλλων, ελήφθησαν υπόψιν η άμεση αντίδραση του φορέα μετά το περιστατικό, ο τόπος κατοικίας των εξυπηρετούμενων (το γεγονός πως ο φορέας αποτελεί εθνικό ίδρυμα, που εξυπηρετεί ολόκληρη τη χώρα, περιορίζει τον κίνδυνο οι παραλήπτες να γνωρίζονται στην προσωπική τους ζωή) και ο δημόσιος χαρακτήρας του Ιδρύματος.
Για τον τελευταίο λόγο, ο ICO επέβαλε διοικητικό πρόστιμο 78.400 λιρών (91.400 ευρώ), αντί του δεκαπλασίου ποσού των £784.400, το οποίο θα μπορούσε να επιβληθεί σε άλλη περίπτωση.
