Przesyłasz e-mailem dokumenty z danymi osobowymi? Sprawdź, jak je zabezpieczyć

Dariusz Skrzyński

Autor: Dariusz Skrzyński

Dodano: 6 lutego 2017
Dokument archiwalny
Przesyłasz e-mailem dokumenty z danymi osobowymi? Sprawdź, jak je zabezpieczyć

Dokumenty zawierające dane osobowe często są przesyłane drogą elektroniczną. Trzeba wówczas pamiętać o odpowiednich środkach zabezpieczeń, żeby dane nie dostały się w niepowołane ręce. Przede wszystkim, co podkreśla GIODO, nie można przesyłać służbowych dokumentów z danymi na prywatną skrzynkę e-mail. Sprawdź, jakie zabezpieczenia powinieneś zastosować.

Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych. Przetwarzaniem będzie zatem także przesyłanie dokumentów zawierających dane osobowe drogą elektroniczną. Jako administrator danych jesteś odpowiedzialny za ochronę przetwarzanych danych osobowych. Dlatego musisz odpowiednio zabezpieczyć pocztę elektroniczną. Sam musisz wybrać, jakie zabezpieczenia zastosować. Najważniejsze jest, żeby były one skuteczne i dostosowane do zagrożeń.

Uwaga

Jeżeli przesyłasz dane osobowe e-mailem w celach osobistych lub domowych, nie musisz stosować przepisów ustawy o ochronie danych osobowych, w tym stosować środków bezpieczeństwa. Pamiętaj jednak, że nie możesz wykorzystywać prywatnej skrzynki e-mail do wysyłania służbowych dokumentów z danymi osobowymi. Podczas jednej z kontroli GIODO zwrócił uwagę na ten problem.

Jeżeli dane osobowe są przetwarzane w systemie informatycznym, przepisy ustawy o ochronie danych osobowych trzeba stosować nawet w wypadku, gdy dane są przetwarzane poza zbiorem. Nawet jeśli w e-mailu umieścisz informacje dotyczące jednej osoby fizycznej (jeżeli tylko osoba ta jest zidentyfikowana lub możliwa do zidentyfikowania), będziesz przetwarzać dane osobowe.

Jakie są obowiązki administratora danych

Przepisy zobowiązują administratora danych do zastosowania odpowiednich środków zabezpieczających dane osobowe przy przesyłaniu ich drogą elektroniczną. Wynika to z ustawy o ochronie danych osobowych i rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jednym z podstawowych obowiązków ADO jest obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (art. 36 ust. 1 ustawy o ochronie danych osobowych). W szczególności chodzi o zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym. Dotyczy to przetwarzania danych osobowych zarówno w sposób tradycyjny, jak i z wykorzystaniem systemów informatycznych.

Jaką odpowiedzialność ponosi administrator

Jeżeli administrator nie zabezpieczy odpowiednio danych osobowych, może ponieść odpowiedzialność karną. „Kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 51 lub 52 ustawy o ochronie danych osobowych).

Jeśli osoba, której dane dotyczą, stwierdzi, że doszło do naruszenia zasad ochrony jej danych osobowych, może wystąpić do administratora danych z wnioskiem o usunięcie uchybień. Może zwrócić się również z pisemną skargą do GIODO, który po przeprowadzeniu indywidualnego postępowania administracyjnego stwierdzi, czy w konkretnym przypadku doszło do naruszenia prawa do ochrony danych osobowych. Jeśli GIODO stwierdzi naruszenie prawa, wyda decyzję administracyjną nakazującą przywrócenie stanu zgodnego z prawem, m.in. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe.

Uwaga

Zastosowane środki bezpieczeństwa danych osobowych należy opisać w dokumentacji ochrony danych – polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych i zapoznać z nimi pracowników podczas szkolenia.

Jakie zabezpieczenia trzeba zastosować

Administrator danych musi odpowiednio do zagrożeń, zabezpieczyć dane przed ich utratą. Przepisy prawa nie wskazują, jaki sposób zabezpieczenia jest odpowiedni. Administrator powinien sam zadbać o stosowanie odpowiedniego rodzaju zabezpieczeń. Musi opisać go w dokumentacji dotyczącej ochrony danych osobowych i zapoznać z nim pracowników poprzez szkolenia. Powinien również zebrać od nich oświadczenia o zachowaniu danych w poufności i zapoznaniu się z dokumentacją.

Zasady korzystania z poczty elektronicznej w celu przesyłania dokumentów zawierających dane osobowe, trzeba określić w polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Przesyłasz dane osobowe e-mailem – jak je zabezpieczyć

Przy przekazywaniu danych osobowych drogą elektroniczną, zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Administrator danych musi więc zastosować odpowiednie zabezpieczenia, które ochronią przesyłane dane osobowe przed dostępem osób nieuprawnionych.

Zgodnie z § 6 ust. 4 rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. administrator danych przy przekazywaniu danych drogą elektroniczną, musi zastosować środki bezpieczeństwa na poziomie wysokim. Typ C, czyli wysoki poziom zabezpieczeń przewidziany jest dla danych przesyłanych w ramach sieci publicznej, a więc między innymi przesyłanych e-mailem na zewnętrzny serwer, nienależący do sieci lokalnej podmiotu.

Wysoki poziom zabezpieczeń, poza koniecznością przestrzegania procedur przewidzianych dla poziomów A i B, dodatkowo charakteryzuje się koniecznością wdrożenia fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem osób nieuprawnionych.

Sposób zabezpieczeń logicznych określony jest ogólnie. Sprowadza się do sprawowania kontroli nad przepływem informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontroli nad działaniami inicjowanymi z sieci publicznej i systemu informatycznego administratora danych.

Ważny środek bezpieczeństwa – szyfrowanie danych

Administrator danych musi stosować środki kryptograficznej ochrony wobec danych osobowych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Decyzję o wyborze sposobu zabezpieczeń każdorazowo podejmuje sam administrator danych.

Przykład

W ramach stosowania środków kryptograficznej ochrony danych osobowych można np. korzystać z połączenia szyfrowanego protokołem SSL przy przesyłaniu wiadomości lub też z szyfrowania poczty elektronicznej i klucza publicznego odbiorcy.

Szyfrowanie wiadomości jest dość skomplikowane technicznie, dlatego jest mało popularne. W korporacjach, tam, gdzie regularnie wymienia się poufne dane z określonymi partnerami, stosuje się do tego celu np. programy szyfrujące. Natomiast jeśli przesyła się pojedyncze pliki, dokumenty lub korespondencja jest niezbyt częsta, stosuje się:

  • plik Word, Excel, PowerPoint zabezpieczony hasłem,
  • spakowane pliki i foldery za pomocą ZIP/7Zip/RAR,
  • PDF zabezpieczony hasłem.

Należy używać hasła składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne i zmieniać je co 30 dni. Trzeba zwrócić uwagę, aby hasło zostało dostarczone innym kanałem niż plik (może być to SMS, e-mail – ale inny adres e-mail niż ten, na który został wysłany plik, podanie hasła przez telefon).

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
Dariusz Skrzyński

Autor: Dariusz Skrzyński

Prawnik, trener, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego, project manager projektów oświatowych realizowanych z funduszy UE, prowadzi szkolenia i konferencje dla kierowniczej kadry oświaty, rad pedagogicznych, nauczycieli oraz wychowawców

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel