Ochrona danych w poczcie elektronicznej

Większość e-maili to pisma służbowe i dlatego podlegają one okresom przechowywania zgodnie z prawem handlowym (6 lat), które konkurują z okresami usuwania (np. jeśli cel nie ma już zastosowania) ochrony danych.

Wiadomości e-mail zawierają wiele różnych rodzajów danych w postaci tekstów e-maili i załączników.

Oto kilka przykładów:

Okresy przechowywania:

  • Dokumenty aplikacyjne = 6 miesięcy po przyznaniu stanowiska, należy je usunąć z listu biznesowego bez usuwania listu biznesowego jako całości
  • Faktury = 10-letni okres przechowywania w oryginalnej formie potwierdzenia odbioru
  • i wiele innych jak umowy, potwierdzenia zamówień itp. mamy na to listę ponad 400 okresów retencji.

Bezpieczeństwo:

  • E-maile z danymi osobowymi powinny być wysyłane w formie zaszyfrowanej; nie chodzi tu tylko o zaszyfrowany transport e-maila z klienta na serwer za pomocą TLS, ale przede wszystkim o treść zawierającą dane osobowe; w tym celu wskazane jest korzystanie z zaszyfrowanych archiwów lub oparcie się na PGP lub czymś podobnym
  • Art. 9 Dane, czyli dane szczególnej kategorii, nie powinny być w miarę możliwości przesyłane pocztą elektroniczną. Istnieje szereg innych sposobów przekazywania danych, które są znacznie bardziej bezpieczne
  • Nie należy ufać e-mailom z obcych źródeł i z załącznikami
  • Skanowanie spamu i wirusów wszystkich e-maili powinno być stale zautomatyzowane.

Integralność i kopie zapasowe:

  • E-maile powinny być podpisane w firmie, szczególnie ważne e-maile z instrukcjami płatniczymi lub daleko idącymi instrukcjami powinny być przetwarzane tylko z podpisem. Nadawcy e-maili mogą być fałszowani, tzw. spoofing, więc e-mail może wyglądać na zgodny z prawem, np. od szefa, ale nim nie jest.
  • Kopie zapasowe zasobu poczty elektronicznej powinny istnieć na poziomie serwera jako codzienna kopia zapasowa, a skuteczność kopii zapasowych powinna być regularnie sprawdzana.
  • Klienty poczty elektronicznej nie powinny być nigdy ustawione w taki sposób, że po pobraniu kasują pobraną wiadomość e-mail na serwerze i przechowują ją tylko lokalnie; miałoby to tę wadę, że wiadomości e-mail musiałyby być codziennie lokalnie backupowane. Takie ustawienie byłoby nieoczekiwane i regularnie prowadzi do niebezpieczeństw dla inwentarza poczty elektronicznej, ponieważ lokalnie nie oczekuje się żadnych danych i dlatego dział IT lub usługodawca niechcący je przeoczy.
DSB buchen
pl_PLPolski