Dacă pun destinatarii în e-mail în CC în loc de BCC am o breșă de securitate?
8 minute • Monica Stoica • 16 mai 2021
Să trimiți un e-mail e foarte simplu, nu-i așa? Scrii mesajul, introduci adresa destinatarului și apeși send. Ei bine, odată cu intrarea în vigoare în 2018 a Regulamentului general privind protecția datelor al Uniunii Europene (bine-cunoscutul GDPR), ar trebui să acorzi o atenție mai mare prelucrării și utilizării datelor cu caracter personal, chiar și atunci când scrii un mail. De ce? Pentru că și simpla greșeală de a pune destinatarii în CC în loc de BCC poate constitui o breșă de securitate.
La ce trebuie să fii atent când trimiți un e-mail?
Chiar dacă la o primă vedere poate părea prea puțin important, atunci când vrei să trimiți un mail, trebuie să ai grijă în ce câmp treci adresele destinatarilor. Altfel spus, contează foarte mult dacă pui destinatarul în TO, în CC sau în BCC. Care e diferența între acestea?
- TO – aici trebuie să treci destinatarul direct al mailului, adică persoana principală cu care vrei să comunici și de la care, eventual, aștepți un răspuns. Spre exemplu, poți adăuga toți destinatarii în To dacă le trimiți un mail colegilor tăi de echipă, împreună cu care lucrezi la un proiect.
- CC – prescurtarea de la Carbon copy, în acest câmp vei trece toate persoanele care vrei să primească o copie a mailului, dar cărora mesajul nu le e adresat în mod direct și de la care nu vrei un răspuns. Spre exemplu, dacă vrei ca angajatul tău să te țină la curent legat de corespondența cu un client, îl poți ruga să îți trimită și ție mailurile respective în CC. Atenție, totuși – adresele de mail din CC vor fi vizibile tuturor celorlalți destinatari, la fel ca cele din domeniul To.
- BCC – prescurtarea de la Blind carbon copy, e un domeniu folosit pentru a trimite un mail mai multor persoane, avantajul fiind că toate adresele din BCC sunt ascunse față de ceilalți destinatari ai mailului. Funcția BCC trebuie utilizată în cazul mailurilor cu un număr mare de destinatari, în special atunci când ei nu se cunosc reciproc, pentru ca adresele să nu fie vizibile tuturor. Spre exemplu, ar trebui să trimiți mailuri în BCC atunci când vrei să transmiți o notă informativă către mai mulți clienți, dar nu vrei ca ei să „afle unul de altul”.
De ce e un BCC important și ce legătură are cu GDPR-ul?
General Data Protection Regulation (GDPR) sau, în română, Regulamentul general privind protecția datelor (RGPD) este un regulament adoptat la nivelul Uniunii Europene în 2016 și intrat în vigoare în 2018. El cuprinde dispoziții amănunțite referitoare la protecția datelor cu caracter personal, protejând drepturile omului într-o eră digitală. Aici poți citi tot ce trebuie să știi despre GDPR în general.
Sunt adresele de e-mail protejate de GDPR?
Pe scurt, răspunsul este da. GDPR-ul protejează toate „datele cu caracter personal”, care sunt definite ca fiind orice informații privind o persoană fizică identificată sau identificabilă. Spre exemplu, sunt date cu caracter personal, printre altele:
- Numele și prenumele;
- Un număr de identificare (cum ar fi CNP-ul);
- Numărul de telefon;
- Domiciliul;
- Adresa IP;
- Adresa de e-mail.
Așadar, și adresele de mail sunt protejate de GDPR. Ca urmare, pentru a respecta protecția datelor, destinatarii unui mail trebuie trecuți, de regulă, în BCC. După cum am văzut, greșeala de a-i trece în CC (sau chiar în To) ar însemna o divulgare a datelor personale către ceilalți destinatari, cărora le vor fi vizibile toate adresele. În continuare, vom vedea care sunt consecințele unei astfel de divulgări, chiar și în cazul în care aceasta este accidentală, pentru că și atunci vorbim de o breșă de securitate.
Citește și: GDPR: prevenirea si abordarea incidentelor (breselor de securitate) – Avocatoo
Ce se întâmplă dacă fac publică o adresă de e-mail?
Conform legislației GDPR, divulgarea neautorizată a datelor cu caracter personal constituie o încălcare a securității datelor, adică se ajunge la o breșă de securitate („personal data breach”), care poate fi sancționată.
Ce poți face dacă afli că ești victima unei astfel de breșe de securitate?
Poate tu ai luat toate măsurile pentru a-ți proteja datele personale, dar apoi adresa ta de e-mail este făcută publică de operatorul de date. În asemenea cazuri, articolul 77 din regulamentul GDPR garantează dreptul persoanei de a depune o plângere la o autoritate de supraveghere. În România, este important de reținut că aplicarea acestui regulament este monitorizată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Care sunt sancțiunile aplicabile?
Atât Regulamentul general privind protecția datelor, cât și Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului general privind protecția datelor prevăd sancțiunile aplicabile în cazul unor breșe de securitate. Astfel, operatorul sau persoana împuternicită de operator poate fi nevoită:
- Să plătească despăgubiri victimei;
- Să răspundă contravențional, principalele sancțiuni contravenționale fiind avertismentul și amenda.
De reținut este că amenzile administrative prevăzute de GDPR sunt greu de trecut cu vederea. Ele pot ajunge chiar și la 20.000.000 de euro sau la o sumă egală cu 4% din cifra de afaceri din anul precedent, oricare dintre aceste două sume ar fi mai mare.
Ok, dar chiar pot fi tras la răspundere pentru că am pus destinatarii unui e-mail în CC în loc de BCC?
În ultimii ani, nerespectarea GDPR-ului a creat o jurisprudență bogată. Astfel, putem observa cazuri în care operatorii chiar au fost sancționați pentru greșeala de a fi trecut destinatarii unui e-mail în To sau în CC, în loc de BCC.
În România, în decembrie 2020, ANSPDPC a sancționat compania de IT Qualitance QBS SA cu o amendă de 1.000 de euro (4.867,50 lei) pentru încălcarea normelor de protecție a datelor personale. Investigația a pornit de la o plângere, în urma căreia s-a constatat că operatorul trimisese un e-mail către 295 de candidați care aplicaseră pentru un post în companie. Care a fost problema? Desigur, operatorul a uitat să folosească funcția BCC, astfel încât adresele de e-mail ale tuturor au putut fi văzute de către ceilalți destinatari. De asemenea, Qualitance va trebui să implementeze măsuri tehnice și organizatorice adecvate pentru protejarea datelor conform GDPR-ului, inclusiv prin instruirea regulată a angajaților care prelucrează datele.
Alte cazuri asemănătoare au avut loc și la nivel internațional. Spre exemplu, în 2018, autoritatea independentă de protecție a datelor din Marea Britanie (Information Commissioner’s Office sau ICO) a amendat organizația The Independent Inquiry into Child Sexual Abuse (IICSA) cu suma de 200.000 £ după ce aceasta a trimis un e-mail către 90 de persoane identificate ca fiind posibile victime ale unor abuzuri sexuale asupra minorilor. De fapt, IICSA trimisese inițial un mail în BCC, dar după ce a descoperit o greșeală în textul respectiv, a trimis un alt mail prin care să corecteze informația… doar că în noul mail adresele au fost trecute în To, în loc de BCC. Ceea ce ne demonstrează, încă o dată, importanța double-checkingului.
Ce ar trebui să reții în final din toate acestea?
- Trimiterea unor e-mailuri în care destinatarii sunt trecuți în To sau CC în loc de BCC încalcă protecția datelor cu caracter personal și constituie o breșă de securitate.
- Încălcarea GDPR-ului se poate sancționa cu amenzi foarte mari. Cel mai bine e să te asiguri de două ori că ai trecut toți destinatarii în BCC.
- Dacă ești o companie care prelucrează date cu caracter personal, asigură-te că toți angajații sunt instruiți cu privire la aceste reguli și că le cunosc importanța, chiar dacă pare un lucru banal – oricine poate greși.
- Dacă ești victima unei astfel de breșe de securitate și adresa ta de e-mail a fost dezvăluită altor persoane care nu trebuiau să aibă acces la ea, poți depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pentru nerespectarea drepturilor tale.
Poți să eviți breșele de securitate cu toolkit-ul nostru conceput în mod special pentru asta și să eviți amenzile usturătoare pe GDPR.
Fotografie creată de Pavel Danilyuk, de la Pexels