Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. RODO skrzynki mailowej - zasady przechowywania danych

RODO skrzynki mailowej - zasady przechowywania danych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Standardowym sposobem komunikacji firm z klientami jest e-mail. Warto pamiętać, że skrzynka służbowa w takim samym stopniu jak inne obszary podlega zasadom Rozporządzenie Parlamentu Europejskiego i rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Jakie zasady są kluczowe dla zapewnienia zgodności z RODO skrzynki mailowej? Dowiesz się z poniższego artykułu!

Służbowy e-mail a obowiązek informacyjny

Zasady rzetelnego i przejrzystego przetwarzania wynikające z RODO wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach.

Administrator powinien podać jej wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych.

Niejednokrotnie pierwszy kontakt z klientem odbywa się właśnie poprzez e-mail służbowy. To wtedy administrator dokonuje jednej z pierwszych operacji przetwarzania danych. W takim wypadku podmiot, w którego imieniu podejmujemy kontakt, staje się administratorem danych osobowych adresata wiadomości. Adresat wiadomości powinien otrzymać od administratora informacje o przetwarzaniu jego danych osobowych.

Zgodnie z RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji o przetwarzaniu danych osobowych. W przypadku, gdy kontakt z adresatem prowadzony jest elektronicznie – uzasadnione jest, by również w tej formie zostały jej przekazane informacje o przetwarzaniu danych.

Nadawca powinien poinformować adresata:

  • o swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;

  • o danych kontaktowych inspektora ochrony danych – jeżeli taki został powołany;

  • o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu – nadawca powinien także wskazać ten uzasadniony interes;

  • o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  • o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – jeżeli dotyczy.

Poza powyższymi informacjami podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  • jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Nadawca służbowej korespondencji mailowej powinien zadbać o należyte wypełnienie wobec adresata obowiązku informacyjnego wynikającego z RODO.

RODO wskazuje, że administrator powinien ustalić procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO. Gdy zatem korespondencja wysyłana ze służbowego konta odbywa się na podstawie zgody lub uzasadnionego interesu, w tym w związku z prowadzeniem marketingu bezpośredniego – nadawca powinien umożliwić odbiorcy, by ten w łatwy sposób mógł odwołać zgodę na otrzymywanie korespondencji (lub wyrazić sprzeciw wobec jej otrzymywania).

Szczególnie istotne jest zapewnienie odbiorcy możliwości skorzystania z opcji „unsubscribe”, jeżeli nie chce w dalszym ciągu otrzymywać korespondencji od nadawcy.

Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności.

Przekazanie klauzuli informacyjnej nie jest jednak konieczne, jeżeli odbiorca dysponuje już tymi informacjami.

Obowiązek informacyjny można zrealizować poprzez dodanie na końcu maila klauzuli informacyjnej, dodanie klauzuli do załącznika maila bądź dodanie linka do strony zawierającej klauzulę informacyjną. Niejednokrotnie w takim przypadku administratorzy dołączają także do maila link do polityki prywatności opisującej całościowo zasady ochrony danych przez administratora.

RODO skrzynki mailowej - wprowadzenie odpowiednich środków ochrony danych

RODO przewiduje, że administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym między innymi w stosownym przypadku administrator powinien zastosować:

  • pseudonimizację i szyfrowanie danych osobowych;

  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Nadawca powinien ocenić ryzyko związane z przetwarzaniem danych z wykorzystaniem służbowych skrzynek mailowych. Przy takiej ocenie administrator powinien uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych lub przechowywanych.

Kwestia bezpieczeństwa danych osobowych przetwarzanych w ramach mailowej korespondencji była przedmiotem rozważań Prezesa UODO, który doszedł do wniosku, że: „Administrator danych dopuszczający możliwość wykorzystania do komunikacji z klientem pocztę elektroniczną powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów” – decyzja Prezesa Urzędu Ochrony Danych Osobowych z 9 grudnia 2020 roku (DKN.5131.5.2020).

Okres przechowywania danych osobowych na skrzynce e-mail

Istotnym aspektem prawidłowego przetwarzania danych osobowych z użyciem służbowych skrzynek mailowych jest kwestia retencji danych znajdujących się na serwerach pocztowych i w skrzynkach.

Zgodnie z RODO dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.

Prawidłową praktyką jest ustalenie przez administratora odpowiedniej polityki retencji danych osobowych, w której ramach administrator określi termin usuwania poszczególnych danych osobowych bądź ich okresowy przegląd.

Przechowywanie w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane, jest niezgodne z RODO. 

Polecamy:

Jak zaksięgować bilet za przejazd PKP?

Naruszenie dóbr osobistych – co należy wiedzieć?
Rejestr czynności przetwarzania, czyli centrum utr...
Kwiecień 2024
26
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o Usługach Cyfrowych jako pomoc w ochronie danych w sieci

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

KSeF, VIDA, akcyza, VAT tematami 8. Kongresu Podatkowego Lewiatan
semKRK#22 BIG - marketing internetowy
Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów