arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
08.01.2021

Jak bezpiecznie przesyłać dane pocztą elektroniczną

Monika Matuszewska

Zabezpieczenie przesyłanych danych jest konieczne w kilku przypadkach. Pierwszy z nich dotyczy sytuacji gdy zawierają one tajemnice przedsiębiorstwa. Może tu chodzić o informacje o strategii przedsiębiorstwa, planach biznesowych lub sprawozdania dotyczące sytuacji finansowej. Ze względu na niekorzystne konsekwencje ujawnienia takich danych, zabezpieczenie ich leży w najlepszym interesie firmy.

Jednak istnieją również liczne sytuacje, w których ochrona poufnych danych jest wymagana przez prawo. Zgodnie z przepisami rozporządzenia RODO jest tak zawsze wtedy, gdy dotyczą one osób fizycznych. A więc chodzi o wszelkiego rodzaju akta personalne, ewidencje wynagrodzeń a nawet umowy czy faktury, jeżeli kontrahentami są osoby fizyczne. W takim przypadku w grę wchodzą nie tylko biznesowe skutki utraty kontroli nad danymi ale również odpowiedzialność odszkodowawcza i administracyjna. Dlatego forma przesyłania danych musi gwarantować ich poufność, integralność i autentyczność.

Najważniejsze zagrożenia to możliwość ujawnienia, zniszczenia lub modyfikacji zbiorów danych. Rozporządzenie RODO nie określa ściśle, jakie zabezpieczenia należy stosować. Wybór środków należy do administratora, a najważniejsze jest to, żeby były one skuteczne i właściwie dobrane pod kątem spodziewanych zagrożeń. Tak naprawdę oznacza to, że w przypadku gdy mamy do czynienia z danymi poufnymi, przesyłane pliki muszą być w odpowiedni sposób zaszyfrowane. Jedną z najważniejszych zasad powinien być też zakaz przesyłania poufnych danych za pomocą prywatnej poczty elektronicznej. 

W przypadku przesyłania zaszyfrowanych plików powstaje problem związany z koniecznością przekazania odbiorcy hasła. Hasło musi być dostarczone w bezpieczny sposób, z oczywistych względów inną metodą niż sam zaszyfrowany plik. Wbrew obiegowej opinii, przesłanie hasła osobno sms-em niekoniecznie musi być bezpieczną metodą, tym bardziej że wiele aplikacji biznesowych jest obecnie dostępnych poprzez smartfony. Pomocne może być jednak przesłanie hasła np.za pomocą szyfrowanego czatu. Dobrą praktyką jest też żądanie zmiany hasła przez użytkownika podczas pierwszego logowania.  

W celu zabezpieczenia przesyłanej poczty rekomenduje się stosowanie protokołu szyfrującego np. S/MIME. Jego włączenie spowoduje, że wysyłane wiadomości będą automatycznie szyfrowane zawsze, gdy to będzie możliwe. Zabezpieczenie przesyłanych wiadomości zawsze zależy od poziomu szyfrowania obsługiwanego przez usługi pocztowe poszczególnych adresatów. Jednak w przypadku przesyłania korespondencji wewnątrz firmy lub do stałych kontrahentów, można tym poziomem dość łatwo zarządzać.

Do zaszyfrowania poufnych danych należy wykorzystywać silne hasła. Najlepiej aby składały się z kilkunastu znaków, wielkich i małych liter, liczb i znaków specjalnych. Użytkownicy nie powinni używać tych samych loginów i haseł w celu logowania się do różnych aplikacji.  Należy też pamiętać o tym aby w przypadku jednoczesnego przesyłania wiadomości do wielu odbiorców wpisywać ich adresy email jako „ukryta kopia”. W przeciwnym wypadku każdy odbiorca będzie widział adresy email wszystkich pozostałych odbiorców, co może naruszać przepisy z zakresu ochrony danych osobowych.

Przedsiębiorcy powinni pamiętać, że w związku w przetwarzaniem danych osobowych ciąży na nich szczególna odpowiedzialność. Dlatego konieczne jest też systematyczne szkolenie pracowników z zakresu bezpieczeństwa IT.