Przechowywanie dokumentów klientów na poczcie e-mail – czy to naruszenie RODO?

W wielu firmach skrzynka e-mail stała się nieformalnym archiwum dokumentów klientów. Umowy, skany dowodów osobistych, dane kadrowe, dokumentacja finansowa, pełnomocnictwa - wszystko „bezpiecznie” zapisane w folderze „Ważne”. Problem w tym, że takie przechowywanie dokumentów klientów na poczcie e-mail bardzo często narusza przepisy RODO.

Czy samo korzystanie z poczty elektronicznej jest niezgodne z prawem? Nie. Ale sposób jej wykorzystywania - już często tak.

Dlaczego przechowywanie dokumentów w e-mailu może łamać RODO?

RODO (Rozporządzenie o Ochronie Danych Osobowych) nakłada na przedsiębiorców obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych. Chodzi nie tylko o to, aby dane „były gdzieś zapisane”, ale aby były:

• przetwarzane zgodnie z zasadą minimalizacji,

• odpowiednio zabezpieczone technicznie i organizacyjnie,

• przechowywane przez określony czas,

• chronione przed nieuprawnionym dostępem.

Tymczasem skrzynka e-mail:

• nie jest systemem do bezpiecznego przechowywania dokumentów,
• często nie ma wdrożonej kontroli dostępu,
• nie zapewnia odpowiedniego szyfrowania danych w spoczynku,
• nie umożliwia prawidłowego zarządzania okresem retencji danych,
• bywa współdzielona przez kilka osób w firmie.

W praktyce oznacza to ryzyko naruszenia art. 5 i 32 RODO - czyli zasad przetwarzania danych oraz obowiązku zapewnienia odpowiednich środków bezpieczeństwa.

W jakim zakresie dochodzi do naruszenia RODO?

1. Naruszenie zasady integralności i poufności

Administrator danych ma obowiązek zapewnić odpowiednie zabezpieczenia przed nieuprawnionym dostępem. W przypadku poczty e-mail ryzyko obejmuje:

• przejęcie konta przez osoby trzecie,

• phishing,

• brak uwierzytelniania dwuskładnikowego,

• brak szyfrowania załączników,

• dostęp byłych pracowników do archiwum korespondencji.

Jeżeli skrzynka zawiera dokumenty klientów z danymi osobowymi (np. PESEL, adres, dane medyczne, dane finansowe), poziom ryzyka rośnie znacząco.

2. Brak kontroli nad okresem przechowywania danych

RODO wprowadza zasadę ograniczenia przechowywania danych. Dokumenty klientów nie mogą być przechowywane „na wszelki wypadek” bez określonego terminu usunięcia.

Skrzynki e-mail rzadko posiadają system retencji danych zgodny z polityką ochrony danych osobowych. W efekcie dane są przechowywane latami, bez podstawy prawnej.

3. Brak odpowiedniej organizacji systemu przetwarzania

RODO wymaga wdrożenia środków technicznych i organizacyjnych. E-mail jako archiwum:

• nie zapewnia ewidencji czynności przetwarzania,

• nie umożliwia łatwej realizacji prawa do usunięcia danych („prawo do bycia zapomnianym”),

• nie gwarantuje kontroli nad kopiami danych w backupach.

Czy za takie działanie grożą kary?

Tak. Naruszenie zasad bezpieczeństwa danych osobowych może skutkować:

• administracyjną karą pieniężną,

• nakazem wdrożenia dodatkowych zabezpieczeń,

• odpowiedzialnością cywilną wobec klientów,

• utratą reputacji firmy.

W praktyce organ nadzorczy ocenia, czy przedsiębiorca wdrożył adekwatne środki bezpieczeństwa. „Bo było wygodnie” nie jest wystarczającym uzasadnieniem.

Bezpieczeństwo danych to obowiązek, nie opcja

Przechowywanie dokumentów klientów na poczcie e-mail może wydawać się wygodne, ale w wielu przypadkach stanowi naruszenie RODO i realne zagrożenie dla bezpieczeństwa danych osobowych.

Odpowiedzialny przedsiębiorca powinien traktować ochronę danych jako element zarządzania ryzykiem w firmie – nie jako formalność.

Jeżeli nie masz pewności, czy sposób przechowywania dokumentów w Twojej firmie jest zgodny z RODO, warto przeprowadzić audyt ochrony danych osobowych i wdrożyć odpowiednie procedury. Koszt prewencji jest zawsze niższy niż koszt naruszenia.