Jednym ze standardowych sposobów komunikacji wewnętrznej i zewnętrznej w firmach są maile. To fakt, z którym trudno dyskutować. Poczta firmowa, podobnie jak inne obszary i procesy firmowe, powinna być odpowiednio zorganizowana i zabezpieczona. Zwłaszcza w kontekście ochrony danych osobowych i przepisów RODO. Dlaczego i jakie zasady, oraz dobre praktyki zapewnią firmowej poczcie zgodność z tymi zasadami? Czy adres e-mail to już dana osobowa? Co z mailami po byłym pracowniku? O czym jeszcze powinniście pamiętać? Odpowiedzi na te i inne pytania znajdziecie w dzisiejszym artykule. Zapraszamy!
Adres e-mail a RODO
Zacznijmy od wyjaśnienia i rozwiania jednego z mitów RODO. Czy adres mailowy to dana osobowa? Zgodnie z RODO, dane osobowe to każde dane, które umożliwiają nam zidentyfikowanie danej osoby. Art. 6 wskazuje, że „dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. Nie ma ustawowego, zamkniętego katalogu danych osobowych. Przepisy z jednej strony wprost wskazują, że danymi osobowymi jest numer PESEL, numeru paszportu, dowodu osobistego ale z drugiej strony ten katalog jest otwarty. W niektórych przypadkach, dołączyć do niego może także adres mailowy. Kiedy? Odpowiedź jest wbrew pozorom prosta – zawsze gdy adres mailowy pozwala zidentyfikować konkretną osobę, czyli na przykład w sytuacji, gdy zawiera on imię i nazwisko. W takim przypadku proces identyfikacji danej osoby jest łatwy, nie wymaga dużego nakładu kosztów ani pracy. Tak adres e-mail powinien być zatem traktowany jak dane osobowe i podlegać szczególnej ochronie. Szczegółowe wskazówki w tej sprawie wydał GIODO:
Adres poczty elektronicznej związany jest z usługą dostarczania/wysyłania wiadomości przy użyciu sieci telekomunikacyjnej. Podobnie jak numer telefonu komórkowego, adres poczty elektronicznej związany jest z infrastrukturą sieciową zarządzaną przez określonego operatora/dostawcę, u którego podczas tworzenia konta poczty elektronicznej rejestrowane są dane użytkownika. Natomiast, dla oceny, czy określony adres e-mail będzie daną osobową niezbędnym jest analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego). Informacje uzyskane z tej analizy mogą pozwolić na bezpośrednie zidentyfikowanie osoby fizycznej lub umożliwią jej pośrednią identyfikację. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu, podobnie jak na podstawie adresu IP użytkownika komputera. Elementarnym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten prowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych nie będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku.
Ustawodawca założył, że tożsamość osoby możliwej do zidentyfikowania wystarczy określić jedynie pośrednio. Warto więc ocenić, co konkretnie zawiera domena adresu e-mail. Nie uznamy za daną osobową adresu e-mail, który zawiera nazwę fikcyjnej postaci, pseudonim, albo samo imię lub nazwę stanowiska. Taki adres nie pozwala zidentyfikować konkretnej osoby w prosty sposób. Oczywiście można namierzyć osobę w oparciu o numer IP i inne dane, natomiast to proces który wymaga wiedzy specjalistycznej, umiejętności, odpowiedniego oprogramowania i czasu. Jeżeli firmowy adres e-mail będzie skonstruowany według wzoru: stanowisko@nazwafirmy.pl, a dane osoby, która pracuje na danym stanowisku, są powszechnie dostępne i na przykład wystarczy sprawdzić to na stronie internetowej firmy, w takim przypadku, mimo że adres mailowy nie zawiera żadnych informacji bezpośrednio o pracowniku, można uznać uznać go za daną osobową. Ponieważ stosunkowo szybko i bez podejmowania szczególnie skomplikowanych działań możemy zidentyfikować osobę, do której jest dany adres przypisany. Warto o tym pomyśleć zarówno na etapie tworzenia i konfigurowania poczty elektronicznej w firmie ale też w przypadku, gdy wzór adresów e-mail jest już ustalony. W niektórych wypadkach wystarczy niewielka modyfikacja, na przykład usunięcie lub ograniczenie danych na stronie. O czym jeszcze warto pamiętać firmowej poczty i RODO?
Firmowa poczta a ochrona danych osobowych
Poczta elektroniczna stała się jednym z głównych kanałów komunikacji, a wiadomości e-mail stały się tym samym nośnikiem istotnych informacji i danych firmowych – pracowników, klientów, czasami też danych poufnych. Dlatego też tak ważne jest przeanalizowanie: co dokładnie znajduje się w firmowych skrzynkach mailowych, co i komu przesyłamy, jak zabezpieczony jest serwer (na którym zlokalizowana jest skrzynka mailowa) i kto ma dostęp do tych wszystkich informacji. Służbowe skrzynki i maile powinny być objęte szczególną uwagą administratora danych osobowych w firmie. Administrator powinien zadbać aby obie strony (adresaci i nadawcy) były rzetelnie i jasno poinformowane, między innymi o zakresie i charakterze przetwarzania danych osobowych w przedsiębiorstwie. Uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych. Często już pierwszy mail wysłany do danej firmy wiąże się z procesem przetwarzania, o czym musimy poinformować nadawcę. Zgodnie z RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i dostępnej formie udzielić osobie (której dane dotyczą), wszelkich informacji o charakterze i zakresie przetwarzania danych osobowych. O jakie informacje chodzi?
Administrator powinien udostępnić informacje między innymi o:
danych kontaktowych, tożsamości administratora,
danych inspektora ochrony danych (jeżeli taki został powołany),
zakresie i celach przetwarzania danych osobowych,
podstawie prawnej przetwarzania;
uzasadnionym interesie przetwarzania danych (jeśli taki istnieje),
odbiorcach danych osobowych lub o kategoriach odbiorców (jeśli istnieją)
prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania
prawie do wniesienia sprzeciwu i skargi wobec przetwarzania,
gdy jest to uzasadnione o prawie do przenoszenia danych,
jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
zautomatyzowanym podejmowaniu decyzji i profilowaniu danych (jeśli takie istnieją).
Jeśli chodzi o klauzulę informacyjną – nie zawsze jest ona konieczna. Zwłaszcza jeśli odbiorca dysponuje już tymi informacjami. Jeśli nie dysponuje, obowiązek informacyjny można zrealizować poprzez dodanie na końcu maila (w szablonie wiadomości) treści klauzuli, albo w formie załącznika, albo jako link odnoszący do polityki prywatności gdzie szczegółowo zostały opisane wszystkie informacje dotyczące przetwarzania danych osobowych. A jak można dodatkowo zabezpieczyć firmową pocztę?
Zabezpieczenie poczty firmowej
W kontekście zabezpieczeń poczty firmowej istnieje szereg aspektów, o których warto pamiętać. Część z nich opisaliśmy w poprzednich artykułach. Są to wszelkiego rodzaju kwestie techniczne, zabezpieczenia samej skrzynki ale też konkretne działania, które ograniczają ryzyko naruszeń. Wśród nich warto wymienić:
wybór wiarygodnego dostawcy zarówno w zakresie przechowywania informacji, jak i zabezpieczenia komunikacji,
korzystanie z mechanizmów uwierzytelnienia (w tym zalecanego uwierzytelniania wielopoziomowego),
weryfikację otrzymanej korespondencji,
skanowanie poczty pod kątem wirusów,
szkolenia kadry zarządzającej i pracowników.
Warto, aby działania pracodawcy (będącego zarazem administratorem danych osobowych) obejmowały także przeszkolenie pracowników z podstawowych zagadnień dotyczących cyberbezpieczeństwa. Świadomość zagrożeń takich jak: spam, wirusy, trojany, ransomware, phishing mogą okazać się jedną z najskuteczniejszych form zabezpieczeń firmowej poczty. Nadal bowiem duża część incydentów związana jest z niewiedzą lub błędem ludzkim. Budowanie świadomości pracowników powinno wiązać się też z opracowaniem odpowiedniej procedury, z którą każdy w organizacji będzie zapoznawany i do której będzie mógł sięgać w razie potrzeby.
Poza tym należy stosować pewne dobre praktyki, które zostały w jakimś sensie narzucone przez RODO. Chodzi między innymi o zasadę ograniczenia przechowywania danych. Konieczna do tego jest weryfikacja czy informacje, dane osobowe i wiadomości są nam rzeczywiście potrzebne. Jeśli stwierdzimy, że są nieistotne – usuwamy je, albo archiwizujemy. Kluczowe wydaje się ustalić jakie informacje możemy wyłączyć z obiegu, a jakie będą niezbędne do realizacji celów przetwarzania danych w firmie. RODO wprost określa to w Art. 5 ust. 1:
„Dane osobowe muszą być (…) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (…).”
Ideą umieszczenia zasady ograniczonego przechowywania w przepisach RODO było zakończenie procederu przechowania danych w nieskończoność i wymuszenie wyważenia relacji pomiędzy wartością informacji, oraz okresem, w którym jest ona niezbędna i powinna być przechowywana. Odpowiednie zastosowanie zasady ograniczenia przechowania znacząco zmniejsza skutki ewentualnych naruszeń. Dobitnie pokazuje to przykład SGGW w Warszawie (Decyzja PUODO z 21.08.2020 ZSOŚS.421.25.2019). Prezes Urzędu Ochrony Danych Osobowych nakładając na SGGW karę za naruszenie stwierdził, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia (który został określony w SGGW na trzy miesiące od zakończenia rekrutacji).
Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Okres przechowywania (lub kryteria jego ustalania) może być podyktowany takimi czynnikami, jak wymogi ustawowe lub wytyczne branżowe, jednak informacja o nim powinna być sformułowana w taki sposób, aby osoba, której dane dotyczą, miała możliwość ocenienia – na podstawie własnej sytuacji – ile będzie trwał okres przechowania w przypadku określonych danych/celów. Ogólne stwierdzenie przez administratora, że dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania, wydaje się niewystarczające.
RODO przewiduje, że administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Poza zasadą ograniczenia, warto wspomnieć jeszcze o:
zapewnieniu poufności, integralności i odporności systemów, oraz usług przetwarzania;
zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu;
regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa.
A co ze skrzynką mailową byłego pracownika?
A co z firmową pocztą po odejściu pracownika? Po odejściu pracownika lub zakończeniu współpracy, należy przyjąć, że poczta elektroniczna tej osoby (w naszej domenie) zawiera jedynie treści związane z realizacją obowiązków służbowych (w praktyce bywa różnie ;)). Dobrą praktyką jest, aby jeszcze przed zakończeniem współpracy, zalecić pracownikowi segregację wiadomości, usunięcie niepotrzebnych wątków i korespondencji, oraz przekazanie ważnych korespondencji oraz informacji osobie, która przejmuje obowiązki w firmie. Po zakończeniu współpracy, w interesie organizacji leży zarchiwizowanie posiadanych zasobów byłego pracownika, przynajmniej na okres ewentualnych roszczeń pracowniczych lub wynikających z umowy cywilnoprawnej.
Podsumowując temat, warto zadbać o kilka istotnych kwestii, w tym:
określić zasady postępowania z elektroniczną skrzynką pocztową – takie zasady mogą być częścią Polityki Ochrony Danych Osobowych;
wykorzystać okres wypowiedzenia, w którego trakcie można odpowiednio zorganizować i uporządkować kwestie poczty firmowej przed wygaśnięciem stosunku pracy;
poinformować potencjalnych odbiorców o zmianie adresu mailowego i poinformowanie o nowym adresie kontaktowym;
ochrona prywatności pracownika, który odchodzi.
Staraliśmy się dokładnie opisać kwestię firmowej poczty w kontekście RODO, choć z pewnością nie wyczerpaliśmy tematu. Jeśli macie dodatkowe wątpliwości, albo szukacie sprawdzonej firmy, która przeprowadzi wdrożenie lub szkolenia dla pracowników – zachęcamy do kontaktu z WBT-IT! Posiadamy zgrany zespół składający się ze specjalistów z różnych obszarów (IT, prawo, marketing), którzy są w stanie zapewnić zarówno kompleksowe wdrożenie RODO dla firm, jak również doradztwo i szkolenia! Zapraszamy!
Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.ZgodaPolityka prywatności
