Standardowym sposobem komunikacji firm z klientami jest e-mail. Warto pamiętać, że skrzynka służbowa w takim samym stopniu jak inne obszary podlega zasadom Rozporządzenie Parlamentu Europejskiego i rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Jakie zasady są kluczowe dla zapewnienia zgodności z RODO skrzynki mailowej? Dowiesz się z poniższego artykułu!
Służbowy e-mail a obowiązek informacyjny
Zasady rzetelnego i przejrzystego przetwarzania wynikające z RODO wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach.
Niejednokrotnie pierwszy kontakt z klientem odbywa się właśnie poprzez e-mail służbowy. To wtedy administrator dokonuje jednej z pierwszych operacji przetwarzania danych. W takim wypadku podmiot, w którego imieniu podejmujemy kontakt, staje się administratorem danych osobowych adresata wiadomości. Adresat wiadomości powinien otrzymać od administratora informacje o przetwarzaniu jego danych osobowych.
Zgodnie z RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji o przetwarzaniu danych osobowych. W przypadku, gdy kontakt z adresatem prowadzony jest elektronicznie – uzasadnione jest, by również w tej formie zostały jej przekazane informacje o przetwarzaniu danych.
Nadawca powinien poinformować adresata:
o swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;
o danych kontaktowych inspektora ochrony danych – jeżeli taki został powołany;
o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;
jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionego interesu – nadawca powinien także wskazać ten uzasadniony interes;
o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – jeżeli dotyczy.
Poza powyższymi informacjami podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
informacje o prawie wniesienia skargi do organu nadzorczego;
informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
RODO wskazuje, że administrator powinien ustalić procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO. Gdy zatem korespondencja wysyłana ze służbowego konta odbywa się na podstawie zgody lub uzasadnionego interesu, w tym w związku z prowadzeniem marketingu bezpośredniego – nadawca powinien umożliwić odbiorcy, by ten w łatwy sposób mógł odwołać zgodę na otrzymywanie korespondencji (lub wyrazić sprzeciw wobec jej otrzymywania).
Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności.
Obowiązek informacyjny można zrealizować poprzez dodanie na końcu maila klauzuli informacyjnej, dodanie klauzuli do załącznika maila bądź dodanie linka do strony zawierającej klauzulę informacyjną. Niejednokrotnie w takim przypadku administratorzy dołączają także do maila link do polityki prywatności opisującej całościowo zasady ochrony danych przez administratora.
RODO skrzynki mailowej - wprowadzenie odpowiednich środków ochrony danych
RODO przewiduje, że administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym między innymi w stosownym przypadku administrator powinien zastosować:
pseudonimizację i szyfrowanie danych osobowych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych lub przechowywanych.
Kwestia bezpieczeństwa danych osobowych przetwarzanych w ramach mailowej korespondencji była przedmiotem rozważań Prezesa UODO, który doszedł do wniosku, że: „Administrator danych dopuszczający możliwość wykorzystania do komunikacji z klientem pocztę elektroniczną powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów” – decyzja Prezesa Urzędu Ochrony Danych Osobowych z 9 grudnia 2020 roku (DKN.5131.5.2020).
Okres przechowywania danych osobowych na skrzynce e-mail
Istotnym aspektem prawidłowego przetwarzania danych osobowych z użyciem służbowych skrzynek mailowych jest kwestia retencji danych znajdujących się na serwerach pocztowych i w skrzynkach.
Zgodnie z RODO dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.
Przechowywanie w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane, jest niezgodne z RODO.