Przesyłasz e-mailem dokumenty z danymi osobowymi? Sprawdź, jak je zabezpieczyć

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych. Przetwarzaniem będzie zatem także przesyłanie dokumentów zawierających dane osobowe drogą elektroniczną. Jako administrator danych jesteś odpowiedzialny za ochronę przetwarzanych danych osobowych. Dlatego musisz odpowiednio zabezpieczyć pocztę elektroniczną. Sam musisz wybrać, jakie zabezpieczenia zastosować. Najważniejsze jest, żeby były one skuteczne i dostosowane do zagrożeń.

Jeżeli dane osobowe są przetwarzane w systemie informatycznym, przepisy ustawy o ochronie danych osobowych trzeba stosować nawet w wypadku, gdy dane są przetwarzane poza zbiorem. Nawet jeśli w e-mailu umieścisz informacje dotyczące jednej osoby fizycznej (jeżeli tylko osoba ta jest zidentyfikowana lub możliwa do zidentyfikowania), będziesz przetwarzać dane osobowe.

Przepisy zobowiązują administratora danych do zastosowania odpowiednich środków zabezpieczających dane osobowe przy przesyłaniu ich drogą elektroniczną. Wynika to z ustawy o ochronie danych osobowych i rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jednym z podstawowych obowiązków ADO jest obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (art. 36 ust. 1 ustawy o ochronie danych osobowych). W szczególności chodzi o zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym. Dotyczy to przetwarzania danych osobowych zarówno w sposób tradycyjny, jak i z wykorzystaniem systemów informatycznych.

Jeżeli administrator nie zabezpieczy odpowiednio danych osobowych, może ponieść odpowiedzialność karną. „Kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 51 lub 52 ustawy o ochronie danych osobowych).

Jeśli osoba, której dane dotyczą, stwierdzi, że doszło do naruszenia zasad ochrony jej danych osobowych, może wystąpić do administratora danych z wnioskiem o usunięcie uchybień. Może zwrócić się również z pisemną skargą do GIODO, który po przeprowadzeniu indywidualnego postępowania administracyjnego stwierdzi, czy w konkretnym przypadku doszło do naruszenia prawa do ochrony danych osobowych. Jeśli GIODO stwierdzi naruszenie prawa, wyda decyzję administracyjną nakazującą przywrócenie stanu zgodnego z prawem, m.in. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe.

Administrator danych musi odpowiednio do zagrożeń, zabezpieczyć dane przed ich utratą. Przepisy prawa nie wskazują, jaki sposób zabezpieczenia jest odpowiedni. Administrator powinien sam zadbać o stosowanie odpowiedniego rodzaju zabezpieczeń. Musi opisać go w dokumentacji dotyczącej ochrony danych osobowych i zapoznać z nim pracowników poprzez szkolenia. Powinien również zebrać od nich oświadczenia o zachowaniu danych w poufności i zapoznaniu się z dokumentacją.

Zasady korzystania z poczty elektronicznej w celu przesyłania dokumentów zawierających dane osobowe, trzeba określić w polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Przy przekazywaniu danych osobowych drogą elektroniczną, zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Administrator danych musi więc zastosować odpowiednie zabezpieczenia, które ochronią przesyłane dane osobowe przed dostępem osób nieuprawnionych.

Zgodnie z § 6 ust. 4 rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. administrator danych przy przekazywaniu danych drogą elektroniczną, musi zastosować środki bezpieczeństwa na poziomie wysokim. Typ C, czyli wysoki poziom zabezpieczeń przewidziany jest dla danych przesyłanych w ramach sieci publicznej, a więc między innymi przesyłanych e-mailem na zewnętrzny serwer, nienależący do sieci lokalnej podmiotu.

Wysoki poziom zabezpieczeń, poza koniecznością przestrzegania procedur przewidzianych dla poziomów A i B, dodatkowo charakteryzuje się koniecznością wdrożenia fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem osób nieuprawnionych.

Sposób zabezpieczeń logicznych określony jest ogólnie. Sprowadza się do sprawowania kontroli nad przepływem informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontroli nad działaniami inicjowanymi z sieci publicznej i systemu informatycznego administratora danych.

Administrator danych musi stosować środki kryptograficznej ochrony wobec danych osobowych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Decyzję o wyborze sposobu zabezpieczeń każdorazowo podejmuje sam administrator danych.

Szyfrowanie wiadomości jest dość skomplikowane technicznie, dlatego jest mało popularne. W korporacjach, tam, gdzie regularnie wymienia się poufne dane z określonymi partnerami, stosuje się do tego celu np. programy szyfrujące. Natomiast jeśli przesyła się pojedyncze pliki, dokumenty lub korespondencja jest niezbyt częsta, stosuje się:

• plik Word, Excel, PowerPoint zabezpieczony hasłem,
• spakowane pliki i foldery za pomocą ZIP/7Zip/RAR,
• PDF zabezpieczony hasłem.

Należy używać hasła składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne i zmieniać je co 30 dni. Trzeba zwrócić uwagę, aby hasło zostało dostarczone innym kanałem niż plik (może być to SMS, e-mail – ale inny adres e-mail niż ten, na który został wysłany plik, podanie hasła przez telefon).