Η μη χρήση BCC σε ένα email κόστισε 80.000 λίρες σε αστυνομική διεύθυνση του Ηνωμένου Βασιλείου
Πρόστιμο ύψους 80.000 λιρών για παραβίαση προσωπικών δεδομένων επέβαλε στην αστυνομική διεύθυνση του Gloucestershire στο Ηνωμένο Βασίλειο, το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ICO).
Η απόφαση αφορά σε περιστατικό που έλαβε χώρα στις 19 Δεκεμβρίου 2016, όταν ένας αστυνομικός υπάλληλος απέστειλε μήνυμα ηλεκτρονικού ταχυδρομείου (email) σε 56 παραλήπτες, στο πλαίσιο ερευνών για υπόθεση κακοποίηση ανηλίκων.
Κατά την αποστολή του email, ο υπάλληλος εισήγαγε τις 56 διευθύνσεις στο πεδίο «Προς» (To) και όχι στις «κρυφές κοινοποίησεις» (BCC), επιτρέποντας στους παραλήπτες να λάβουν γνώση των στοιχείων των λοιπών παραληπτών.
Συνέπεια του σφάλματος του υπαλλήλου ήταν κάθε αποδέκτης του ηλεκτρονικού ταχυδρομείου – μεταξύ των οποίων θύματα, μάρτυρες, δικηγόροι και δημοσιογράφοι – να έχει πρόσβαση στα πλήρη ονόματα και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου όλων των άλλων παραληπτών.
Από τα 56 μηνύματα, παραδόθηκαν όλα εκτός από ένα, ενώ η αστυνομία κατάφερε να ανακαλέσει με επιτυχία, δύο ημέρες μετά την αποστολή, άλλα τρία μηνύματα, συνεπώς οι ενεργοί παραλήπτες ήταν 52.
«Ήταν μια σοβαρή παραβίαση της νομοθεσίας για την προστασία δεδομένων και μία που ήταν πιθανό να έχει σημαντικές συνέπειες σε ευάλωτα θύματα κακοποίησης, πολλά εκ των οποίων είχαν το δικαίωμα να διατηρούν την ανωνυμία τους καθ ‘όλη τη διάρκεια της ζωής τους.
Οι κίνδυνοι που σχετίζονται με την αποστολή μαζικών μηνυμάτων ηλεκτρονικού ταχυδρομείου έχουν αναγνωριστεί εδώ και καιρό και είναι γνωστοί, οπότε δεν υπήρχε δικαιολογία για την παραβίαση εκ μέρους της Αστυνομίας, ειδικά όταν εμπλέκονται τέτοιες ευαίσθητες και εμπιστευτικές πληροφορίες», ανέφερε στην ανακοίνωσή του το Γραφείο της Επιτρόπου.
Αξίζει να σημειωθεί ότι η απόφαση εκδόθηκε με βάση το προ-GDPR νομικό πλαίσιο.
Η απόφαση είναι διαθέσιμη εδώ.