Przechowywanie danych na wszelki wypadek

Eksperci zwracają uwagę, że przedsiębiorcy bardzo często przechowują dane „na wszelki wypadek”, nie analizując rzeczywistej potrzeby dalszego przetwarzania informacji znajdujących się w skrzynkach mailowych. Problem nie dotyczy wyłącznie dużych korporacji. Ryzyko pojawia się praktycznie w każdej organizacji – od małych spółek po jednostki sektora publicznego.

Największym zagrożeniem okazują się przy tym nie tylko cyberataki, ale zwykłe błędy pracowników. Wysłanie wiadomości do niewłaściwego adresata, pozostawienie w skrzynce dokumentów zawierających dane osobowe przez wiele lat, brak szyfrowania załączników czy niekontrolowane przekazywanie korespondencji pomiędzy działami to dziś jedne z najczęstszych przyczyn naruszeń ochrony danych osobowych.

RODO opiera się na zasadzie minimalizacji danych. Oznacza to, że administrator powinien przetwarzać wyłącznie takie dane, które są niezbędne do określonego celu, i tylko przez okres konieczny do jego realizacji. W praktyce właśnie z tym przedsiębiorcy mają największy problem. Skrzynki mailowe bardzo szybko stają się bowiem nieformalnym repozytorium dokumentów, umów, CV kandydatów, danych klientów, informacji medycznych pracowników czy wewnętrznych analiz biznesowych.

E-mail powinien pełnić funkcję komunikacyjną, a nie archiwizacyjną

Z perspektywy organu nadzorczego e-mail powinien pełnić przede wszystkim funkcję komunikacyjną, a nie archiwizacyjną. Tymczasem w wielu firmach można spotkać skrzynki zawierające korespondencję sprzed 5, 10, a nawet 15 lat. Problem polega na tym, że przedsiębiorcy często nie są w stanie wykazać:

• dlaczego dane są nadal przechowywane,
• jaki jest okres retencji wiadomości,
• kto ma dostęp do skrzynki,
• czy dane są odpowiednio zabezpieczone,
• kiedy wiadomości powinny zostać usunięte lub zanonimizowane.

W praktyce brak takich procedur może zostać uznany za naruszenie podstawowych zasad RODO, w szczególności zasady ograniczenia przechowywania oraz integralności i poufności danych.

Szczególnie istotny jest konflikt pomiędzy wartością biznesową informacji a obowiązkami wynikającymi z przepisów o ochronie danych osobowych. W wiadomościach e-mail znajdują się często kluczowe ustalenia handlowe, historia projektów, informacje o reklamacjach czy dowody wykonania obowiązków umownych. Z tego powodu firmy obawiają się automatycznego usuwania korespondencji. Eksperci podkreślają jednak, że pozostawianie pełnych skrzynek „na wszelki wypadek” staje się coraz trudniejsze do obrony podczas kontroli UODO.

Przykładowe naruszenia RODO związane z pocztą e-mail

Warto pamiętać, że naruszenie związane z pocztą elektroniczną nie musi oznaczać spektakularnego wycieku danych. W wielu przypadkach problemem okazuje się zwykła organizacja pracy. Przykładowo:

• pracownik przesyła plik z danymi klientów do niewłaściwego odbiorcy,
• dział HR przechowuje CV kandydatów bez określonego terminu usunięcia,
• pracownik odchodzący z firmy pozostawia wieloletnią skrzynkę bez żadnej procedury dalszego zarządzania,
• wiadomości zawierające dane osobowe trafiają do prywatnych archiwów lub lokalnych kopii na komputerach pracowników,
• przedsiębiorstwo nie posiada polityki usuwania nieaktualnej korespondencji.

Każda z tych sytuacji może skutkować nie tylko obowiązkiem zgłoszenia naruszenia do UODO, ale również odpowiedzialnością finansową i wizerunkową.

Coraz większe znaczenie ma również kwestia dostępu do skrzynek służbowych pracowników. Wielu pracodawców nadal nie posiada jasnych procedur określających:

• kto i w jakich sytuacjach może uzyskać dostęp do poczty pracownika,
• jak postępować po zakończeniu zatrudnienia,
• kiedy należy usunąć konto e-mail,
• jak zabezpieczyć korespondencję zawierającą dane osobowe.

Brak takich regulacji może prowadzić nie tylko do naruszeń RODO, ale również przepisów dotyczących tajemnicy komunikacji oraz prawa pracy.

UODO coraz wyraźniej podkreśla także znaczenie budowania tzw. „śladu zgodności”. Oznacza to konieczność wykazania, że administrator nie tylko deklaruje zgodność z RODO, ale faktycznie wdrożył odpowiednie środki organizacyjne i techniczne. W praktyce podczas kontroli liczyć się będzie nie samo posiadanie polityki ochrony danych, lecz możliwość udowodnienia, że procedury są realnie stosowane.

Jak zapewnić zgodność poczty e-mail z RODO

Dlatego nowoczesne podejście do zgodności z RODO powinno obejmować kompleksowe zarządzanie pocztą elektroniczną. W szczególności przedsiębiorcy powinni wdrożyć:

• politykę retencji wiadomości e-mail,
• procedury usuwania i archiwizacji danych,
• zasady korzystania ze skrzynek służbowych,
• system klasyfikacji informacji,
• procedury obsługi incydentów związanych z pocztą elektroniczną,
• szkolenia pracowników dotyczące bezpiecznej komunikacji,
• rozwiązania techniczne ograniczające ryzyko błędów ludzkich.

Coraz częściej konieczne staje się również przeprowadzenie audytu istniejących skrzynek pocztowych. W wielu organizacjach dopiero taka analiza pokazuje skalę problemu – tysiące wiadomości zawierających dane osobowe, brak kontroli nad załącznikami czy wieloletnie archiwa bez podstawy dalszego przechowywania.

Warto podkreślić, że odpowiedzialność administratora danych nie kończy się na wdrożeniu systemu pocztowego. RODO wymaga ciągłej analizy ryzyka i dostosowywania środków bezpieczeństwa do rzeczywistych zagrożeń. Dotyczy to szczególnie obszarów, w których przetwarzane są duże ilości danych klientów, pracowników lub kontrahentów.

Dla wielu przedsiębiorców najbliższe lata będą okresem intensywnego porządkowania obszaru komunikacji elektronicznej. To już nie tylko kwestia dobrej praktyki organizacyjnej, ale realny element bezpieczeństwa prawnego firmy. Odpowiednio przygotowane procedury, polityki retencji oraz audyty zgodności mogą dziś decydować o tym, czy przedsiębiorca będzie w stanie skutecznie obronić swoje działania podczas kontroli organu nadzorczego.

W praktyce właśnie dlatego coraz więcej podmiotów korzysta ze wsparcia ekspertów zajmujących się ochroną danych osobowych, wdrażaniem procedur RODO oraz audytami bezpieczeństwa informacji. Profesjonalne przygotowanie organizacji do zarządzania pocztą elektroniczną pozwala nie tylko ograniczyć ryzyko kar i incydentów, ale również uporządkować procesy biznesowe oraz zwiększyć bezpieczeństwo całej organizacji.

Kontakt z ekspertami fundacji możliwy jest za pośrednictwem poniższego formularza kontaktowego:

Artykuł Skrzynka mailowa a RODO. Dlaczego przechowywanie e-maili staje się jednym z największych ryzyk RODO dla firm? pochodzi z serwisu .