Każdego dnia wysyłamy dziesiątki wiadomości elektronicznych, ale czy zgodnie z obowiązującymi zasadami?
Adres e-mail jest daną osobową i należy ją chronić, ale czy zawsze? Zgodnie z Art. 4 pkt 1 RODO
Art. 4 pkt 1
„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej
W związku z powyższym łatwo można zidentyfikować konkretną osobę dzięki adresowi e-mail, jeśli zawiera on format imie.nazwisko@domena.pl. Natomiast adresy takie jak podatki@urzad.pl (pochodzące od nazwy wydziału lub referatu) albo kotki2@domena.pl (będące pseudonimami) nie są uznawane za dane osobowe.
W przypadku adresów typu skarbnik@urzad.pl, gdzie dane osoby piastującej to stanowisko są łatwo dostępne na portalu JST, należy je uznać za daną osobową.
Instytucje rządowe, samorządowe, placówki oświatowe itp. często rozsyłają korespondencję e-mail do wielu odbiorców jednocześnie. W takich przypadkach należy zwrócić szczególną uwagę na sposób adresowania wiadomości, aby chronić adresy e-mail odbiorców.
Zasada Nr. 1
Adresując wiadomości e-mail należy prawidłowo korzystać z pól adresowych.
W polu „Do” (To): umieszczamy adres e-mail głównego odbiorcy wiadomość. Adresy w tym polu są widoczne dla wszystkich odbiorców. (najczęściej stosujemy w przypadku, gdy piszemy do jednej osoby)
W polu „DW” (CC): umieszczamy adres e-mail odbiorcy, który ma dostać kopię żeby znał stan sprawy. Adresy w tym polu również są widoczne dla wszystkich.
W polu „UDW” wpisujemy adresata ukrytej wiadomości, żeby znał stan sprawy. Adresy e-mail nie są widoczne z pola „UDW”, odbiorca z pola „UWD” widzi adresy z pola „DO” i „DW”.
Przykłady:
Jeśli chcemy wysłać e-mail do głównej księgowej z opcją do wiadomości skarbnika a główna księgowa ma wiedzieć, że skarbnik zapoznał się z treścią, to wysyłamy adresując „DO” – adres głównej księgowej i „DW” – adres skarbnika.
Jeśli chcemy wysłać jeden e-mail w postepowaniu do 10 podmiotów/osób to umieszczamy adresy tych osób w polu „UDW”. W polu „Do” – bezpiecznie jest wstawić adres nadawcy. W takim przypadku mamy zachowaną poufność adresów e-mail. Każda ze stron otrzyma wiadomość a w polu nadawca „DO” odbiorca będzie widniał tylko nasz adres e-mail.
Zasada Nr. 2
Dane osobowe i informacje chronione powinny być szyfrowane przed wysłaniem e-mailem.
Wczoraj otrzymałem wiadomość ze szpitala od jednostki organizacyjnej zajmującej się ruchem chorych. W załącznikach znajdowały się wzory szablonów zaświadczeń, które należy wypełnić i uzyskać od lekarza rodzinnego w celu przyjęcia do szpitala. Dla mojej wygody w tych plikach PDF umieszczono dane osobowe pacjenta, w tym adres zamieszkania oraz numer PESEL. Niestety, treść nie została zaszyfrowana.
Gdyby nadawca pomylił się w adresie e-mail, wiadomość mogłaby trafić do osoby nieupoważnionej. Taka sytuacja stanowi naruszenie ochrony danych osobowych i wymaga zgłoszenia jako incydent.
Pamiętajmy, aby wszystkie dane osobowe i informacje chronione umieszczać w załącznikach oraz szyfrować je (np. kompresując plik z hasłem w programie 7-Zip lub innym narzędziu).
Poniżej link do artkułu jak WARTA zapłaciła karę 85 tys. zł dotyczy błędnie zaadresowanego e-mail Zachęcam do lektury.
https://uodo.gov.pl/decyzje/DKN.5131.5.2020
