Gazeta Prawna
Cyberbezpieczeństwo

UODO bierze pod lupę służbowe maile. Przechowujesz tak wiadomości w firmie? Narażasz się na problemy

Mężczyzna piszący na klawiaturze laptopa
UODO przypomina: przechowywanie firmowych danych „na wszelki wypadek” w skrzynkach e-mail staje się dla przedsiębiorców realnym ryzykiemShutterstock
Justyna Klupa
Justyna Klupa
dzisiaj, 13:42

Praktyka przechowywania firmowych danych „na wszelki wypadek” w skrzynkach e-mail staje się dla przedsiębiorców realnym ryzykiem. Jak wynika z najnowszego biuletynu Prezesa UODO, poczta elektroniczna pozostaje jednym z głównych źródeł naruszeń ochrony danych – i to nie tylko ze względu na cyberataki, ale przede wszystkim przez błędy ludzkie. O czym powinny pamiętać firmy?

Skrót artykułu

E-mail jako źródło naruszeń: Błąd ludzki przed cyberatakiem

Radcowie prawni z kancelarii LBKP Legal zwracają uwagę, że firmy przechowują dane „na wszelki wypadek”, choć to właśnie poczta elektroniczna staje się dziś jednym z głównych źródeł naruszeń danych osobowych. Najnowszy biuletyn Prezesa Urzędu Ochrony Danych Osobowych (UODO) pokazuje, że problemem nie są wyłącznie cyberataki. Równie często do incydentów dochodzi przez błędy pracowników – wysłanie maila do niewłaściwej osoby, brak szyfrowania załączników czy przechowywanie w skrzynkach ogromnych ilości danych bez kontroli.

Konflikt potrzeb: Retencja danych a wartość biznesowa informacji

Co to oznacza dla firm? Obszar poczty elektronicznej może stać się jednym z kluczowych elementów przyszłych kontroli. Organ podkreśla, że e-mail powinien służyć przede wszystkim komunikacji, a nie pełnić funkcji archiwum firmowych danych. Zdaniem Jacka Cieślińskiego, radcy prawnego z kancelarii LBKP Legal (Leśniewski Borkiewicz Kostka & Partners), największą wartością biuletynu jest jego praktyczny charakter.

– Wiele firm mierzy się dziś z realnym konfliktem pomiędzy potrzebą retencji danych a wartością biznesową informacji przechowywanych w skrzynkach mailowych. E-maile często zawierają kluczową wiedzę operacyjną, historię ustaleń czy dokumentację procesów biznesowych, ale jednocześnie są „skażone” obecnością danych osobowych. W praktyce narzędzia pozwalające skutecznie anonimizować takie zasoby są nadal bardzo ograniczone – mówi Jacek Cieśliński.

Minimalizacja ryzyka. Katalog dobrych praktyk

Jak dodaje radca prawny, z tego powodu wiele firm przyjmuje bardziej elastyczne podejście do retencji skrzynek, co z perspektywy organu może budzić wątpliwości.

– I właśnie dlatego ten materiał UODO jest istotny. Uważam, że organ choć nie mówi tego wprost, to pokazuje, jak ograniczać ryzyko nawet wtedy, gdy model retencji nie jest idealny. Wdrożenie zabezpieczeń wskazywanych wprost przez UODO – takich jak MFA, szyfrowanie załączników czy procedury weryfikacji przed wysyłką – może mieć duże znaczenie przy ocenie organizacji po incydencie bezpieczeństwa. Innymi słowy: UODO pokazuje przedsiębiorcom, jak minimalizować ryzyko konsekwencji regulacyjnych w sytuacji, gdy retencja skrzynek nie jest modelowa – podkreśla radca prawny.

W swoim biuletynie UODO przedstawia zestaw praktyk, które powinny stanowić podstawę bezpiecznego korzystania z poczty elektronicznej. Urząd zaleca m.in.

  • wdrożenie wielopoziomowego uwierzytelniania użytkowników (MFA),
  • zabezpieczanie załączników poprzez szyfrowanie,
  • przekazywanie haseł za pośrednictwem odrębnych kanałów kontaktu,
  • zachowanie krótkiej chwili na weryfikację wiadomości przed jej wysłaniem,
  • uwzględnienie poczty elektronicznej w zasadach dotyczących przechowywania i usuwania danych.

Budowanie śladu zgodności, czyli jak wygrać z kontrolą UODO

Ewa Knapińska, radczyni prawna z kancelarii LBKP Legal, zwraca uwagę na znaczenie odpowiedniej dokumentacji. Jej zdaniem szczególnie istotny jest aspekt rozliczalności i możliwość wykazania przed organem, że organizacja realnie zarządza ryzykiem związanym z pocztą elektroniczną.

– Samo wdrożenie zabezpieczeń technicznych nie wystarczy. Z perspektywy organu bardzo ważne jest to, aby przedsiębiorca był w stanie wykazać, że określone działania rzeczywiście funkcjonują w organizacji. Jeżeli UODO wskazuje np. na „regułę 3 sekund” przed wysyłką wiadomości, to warto, aby taki element pojawiał się w procedurach i materiałach szkoleniowych. Podobnie z phishingiem – organ wyraźnie akcentuje potrzebę regularnych działań edukacyjnych i budowania świadomości pracowników – wskazuje Ewa Knapińska.

Warto pamiętać o jeszcze jednej kwestii. Zdaniem radczyni prawnej przy bardziej liberalnym podejściu do retencji skrzynek szczególnego znaczenia nabiera właśnie możliwość wykazania, że organizacja świadomie wdrożyła środki ograniczające ryzyko.

– W praktyce chodzi o budowanie śladu zgodności i pokazanie, że organizacja nie ignoruje problemu, tylko aktywnie nim zarządza. To może mieć bardzo duże znaczenie zarówno przy ocenie incydentu bezpieczeństwa, jak i podczas ewentualnej kontroli UODO – podkreśla Ewa Knapińska z LBKP Legal.

Autopromocja
381453mega.png
381455mega.png
381223mega.png
Źródło: gazetaprawna.pl

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

kontrolaUODOemail

Powiązane

choroba serca, pacjent, lekarz
PrawnikPrezes UODO: przetwarzanie danych osobowych w celu zaproszenia na badania, zgodne z RODO
AI sztuczna inteligencja prawo
PrawnikPrezes UODO zawiadamia prokuraturę w sprawie „rozebrania” zdjęcia nauczycielki za pomocą AI
Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych
PrawoPrezes UODO nie przeprowadzi konsultacji w sprawie przetwarzania danych osobowych kandydatów do KRS