Wysłanie wiadomości na niewłaściwy adres lub numer telefonu może wydawać się nieistotnym błędem, jednak konsekwencje takiego niedopatrzenia mogą być daleko idące. Jeżeli treść wiadomość zawiera dane osobowe, wysłanie jej na nieprawidłowy adres podlega ocenie w świetle przepisów RODO i może skutkować nałożeniem przewidzianej w tych przepisach administracyjnej kary pieniężnej. Wiele zależy od zakresu informacji zawartych w takiej wiadomości, jak i od działań podjętych przez nadawcę, po stwierdzeniu, że wiadomość trafiła do nieuprawnionego adresata.
Przypadki wysłania błędnie zaadresowanej wiadomości już kilkukrotnie były przedmiotem postępowań prowadzonych przez Prezesa Urzędu Ochrony Danych Osobowych i są traktowane przez ten organ jako naruszenie poufności danych. Zgodnie ze stanowiskiem prezentowanym przez PUODO do takiego naruszenia dochodzi nawet wtedy, gdy nieprawidłowo została wysłana tylko jedna wiadomość, a naruszenie dotyczyło danych osobowych tylko jednej osoby (por. decyzja PUODO z dnia 21 czerwca 2021 r., DKN.5131.3.2021). Co więcej PUODO wskazał, że do naruszenia może dojść nawet wtedy, gdy adresat sam błędnie podał swój adres poczty elektronicznej. W ocenie PUODO fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych. Kluczowe jest bowiem, że jego skutkiem jest udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych (por. decyzja PUODO z dnia 09 grudnia 2020 r., DKN.5131.5.2020). PUODO zaznacza przy tym, że naruszenie ochrony danych może mieć miejsce zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność (DKN.5131.5.2020).
Podstawowe znaczenie dla oceny naruszenia związanego z wysłaniem wiadomości na niewłaściwy adres ma zakres danych zawartych w jej treści. Zgodnie ze stanowiskiem prezentowanym przez PUODO nie bez znaczenia dla takiej oceny jest możliwość łatwej identyfikacji osób, których dane zostały objęte naruszeniem w oparciu o ujawnione dane. PUODO uznaje, że jeżeli naruszenie poufności danych dotyczy numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania, numerami telefonów oraz adresami poczty elektronicznej, to należy uznać, że może ono wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (DKN.5131.5.2020).
Z drugiej strony PUODO wskazuje, że na ocenę sytuacji związanej z wysłaniem wiadomości na niewłaściwy adres nie ma wpływu fakt zwrócenia się przez nadawcę do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem nadawca nie ma możliwości jego faktycznej weryfikacji (DKN.5131.5.2020). Wyjątkiem może być sytuacja, gdy wiadomość zostanie wysłana omyłkowo do tzw. zaufanego adresata, tj. takiego, którego nadawca zna i pozostaje w relacjach, które pozwalają mu ufać na tyle, aby móc racjonalnie oczekiwać, że nie odczyta on omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania (DKN.5131.5.2020).
W każdym przypadku, gdy dojdzie do wyłania błędnie zaadresowanej wiadomości, administrator powinien dokonać analizy tego zdarzenia pod kątem możliwości wystąpienia w jego wyniku ryzyka naruszenia praw lub wolności osób fizycznych tj. podmiotów, których dotyczą dane objęte zdarzeniem (decyzja PUODO z dnia 15 października 2025, DKN.5131.3.2025). W przypadku stwierdzenia istnienia takiego ryzyka administrator powinien powiadomić o zdarzeniu organ nadzorczy. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu wyłącznie wtedy, jeśli przeprowadzone badanie wykaże, że mało prawdopodobnym jest, aby incydent wiązał się z ryzykiem naruszenia praw lub wolności osób fizycznych. Należy jednak zauważyć, że zgodnie z wykładnią przyjętą przez PUODO „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. (DKN.5131.3.2025). W praktyce oznacza to, że zdecydowana większość zdarzeń związanych z wysłaniem wiadomości na niewłaściwy adres wymaga dokonania przedmiotowego powiadomienia. Dodatkowo, w sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany zawiadomić o tym naruszeniu osobę, której dane dotyczą, o takim naruszeniu. Niedopełnienie tych obowiązków stanowi podstawę do nałożenia na administratora kary pieniężnej.
Aby zminimalizować ryzyko związane z możliwością wysłania wiadomości na niewłaściwy adres, warto wprowadzić procedury zobowiązujące pracowników do każdorazowego weryfikowania adresów i numerów telefonów, na które kierują korespondencję. Warto też wprowadzić obowiązek przesyłania danych osobowych, których ujawnienie nieuprawnionej osobie może powodować ryzyko naruszenia praw lub wolności osób, których te dane dotyczą w formie zaszyfrowanych załączników, w połączeniu z wymogiem przesyłania hasła do ich odszyfrowania osobnym kanałem komunikacji. Dzięki takiemu rozwiązaniu, nawet w przypadku wysłania wiadomości na niewłaściwy adres, jej odbiorca nie będzie mógł zapoznać się ze znajdującymi się w jej treści danymi osobowymi. W sytuacji zaś, gdy dojdzie do wyłania błędnie zaadresowanej wiadomości, należy przyjąć jako zasadę konieczność zawiadomienia o tym zdarzeniu PUODO i podjąć ścisłą współpracę z tym organem. W sytuacji, gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, należy zawiadomić o tym naruszeniu osobę, której dane zostały ujawnione w błędnie zaadresowanej wiadomości. Brak realizacji tych obowiązków jest bowiem podstawą nałożenia przez PUODO kar pieniężnych częściej niż samo wysłanie błędnie zaadresowanej wiadomości.
Grzegorz Lubeńczuk
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.