3 minute read
Poczta elektroniczna a RODO
Artur Majchrzycki
Poczta elektroniczna (maile) to pokaźny zbiór informacji ważnych, mniej ważnych, strategicznych, wrażliwych, w tym również danych osobowych.
Advertisement
Mimo pokaźnej ilości danych, temat retencji danych w tym obszarze, tj. usuwania danych po określonym czasie, jest lekceważony przez administratorów.
Administrator przetwarzając dane (przechowując maile) do „wielkości skrzynki na serwerze” (póki miejsca starcza) naraża się na:
- brak podstawy prawnej do przetwarzania danych,
- przetwarzanie nieprawidłowych, nieaktualnych danych,
- przetwarzanie danych niegodnie z celem, dla którego zostały zebrane.
Łatwo zauważyć, że aby system ochrony danych w organizacji działał sprawnie i prawidłowo, konieczne jest opracowanie procedur retencji danych, w tym danych znajdujących się na serwerze pocztowym i poczcie elektronicznej.
Jak opanować tysiące maili znajdujących się na poczcie?
Administrator powinien zacząć od zbudowania świadomości wśród pracowników i współpracowników w tym zakresie oraz dbać o przestrzeganie ustalonych terminów wynikających z procedur retencji danych w codziennej pracy.
Artur Majchrzycki – Inspektor Ochrony Danych, jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem przepisów ochrony danych osobowych. Posiada wieloletnie doświadczenie związane z zabezpieczeniami informatycznymi w ochronie danych. Audytor Wewnętrzny Systemów Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001.
Kontakt do autora:
tel. 501 15 11 15 email: a.majchrzycki@moment24.pl Przede wszystkim nie przechowuj żadnych niepotrzebnych danych i przeglądaj je regularnie!
• Spróbuj wyrobić sobie nawyk regularnych kontroli wiadomości.
• Przechowuj wiadomości w folderach, co przyczynia się do przechowywania na poczcie jedynie potrzebnych maili, tym samym ograniczając je do niezbędnego minimum.
• Usuwaj nieistotne maile, kopie robocze, wiadomości zawierające nieaktualne dane.
• Jeżeli korzystasz z Outlooka, używaj funkcji automatycznego usuwania e-maili.
Nie ma złotej reguły, którą można by było rekomendować administratorom w zakresie retencji danych. Jak widać, konieczne jest posiadanie odpowiednich procedur, zbudowanie świadomości wśród pracowników, aby wiedzieli jak ważna jest okresowa weryfikacja wiadomości.
Można zapytać, czy istnieje lista, która zawierałaby informacje jak długo przetrzymywać jakie maile. Nie powstały żadne wytyczne w tej materii. Można się jedynie oprzeć na brytyjskim orzecznictwie, wg. którego wszystkie dane przechowuje się przez tak długi czas, na jaki pozwalają przepisy. Stworzono listę kategorii wiadomości mającą ponad 20 stron.
Należy jednak do problemu podejść zdroworozsądkowo i działania dostosować do wielkości przedsiębiorstwa. Najlepszą i pierwszą zasadą jest fizyczne rozdzielenie wiadomości prywatnych od służbowych i umieszczenie ich w odpowiednio oznaczonych folderach programu pocztowego. Podstawą do takiego działania mogą być regulacje wewnętrzne np. polityki bezpieczeństwa czy procedury.
Warto pamiętać, że administrator może mieć wgląd do korespondencji służbowej, ale nie ma prawa wglądu w prywatne treści wiadomości. Jednak co ma zrobić, jeżeli pracownik, kończąc współpracę z firmą, zostawia w skrzynce swoje prywatne wiadomości? Do prywatnych wiadomości należą m.in: spersonalizowane maile reklamowe, powiadomienia z banków (wyciągi z kont) czy powiadomienia ze sklepów internetowych (status przesyłki, lista zakupowa), a nawet wiadomości stricte medyczne, np. powiadomienie o wizycie lekarskiej, czy nawet zwykła wymiana informacji dotycząca spotkania imieninowego.
W większych organizacjach, aby uprościć życie administratora, stosuje się w procedurach zapisy o zakazie używania poczty służbowej do celów prywatnych.
Administrator, który nie dopilnuje odpowiednich regulacji, naraża się na konsekwencje finansowe. Pierwsze kary za tego typu działania zostały już nałożone na podmioty we Włoszech. Co powinna zawierać procedura retencji danych?
Procedura to swoisty przewodnik dla pracowników. Ważne, aby pracownicy używający na co dzień poczty elektronicznej od początku mieli świadomość odpowiednich nawyków i potrafili używać narzędzi, które często wbudowane są w programy pocztowe. Istotne jest, aby prawidłowo administrować załącznikami w mailach. Często załączniki nie są przenoszone do np. folderu klienta. Takie działanie może być niebezpieczne, gdy administrator ustawi odgórnie reguły usuwania wiadomości. Narazimy się tym samym na utratę ważnych dokumentów.
Pamiętaj, retencja danych to ważna kwestia i duże wyzwanie dla administratorów, które musi być podjęte. Znane są przypadki ukarania podmiotów, które przechowywały maile po ustaniu podstaw prawnych.
