Użytkownicy poczty e-mail wysyłają średnio ponad 122 wiadomości e-mail związanych z pracą , a liczba ta prawdopodobnie wzrośnie dwukrotnie w najbliższych latach. Chociaż nie możemy uważać poczty e-mail za podstawowy cel, wdrożenia ogólnego rozporządzenia o ochronie danych Unii Europejskiej (RODO) , twoja skrzynka pocztowa zawiera w rzeczywistości zbiór danych osobowych. Od nazwisk i adresów e-mail po załączniki i rozmowy o ludziach – wszystkie mogą być objęte surowymi nowymi wymogami RODO dotyczącymi ochrony danych.
Każda organizacja (firmy, organizacje charytatywne, a nawet mikroprzedsiębiorstwa), która przetwarzają dane osobowe obywateli lub rezydentów UE, podlegają RODO. Powtarzamy te zdanie w wielu artykułach na tym blogu, ale to bardzo ważne. Często słyszymy, że nas RODO nie dotyczy, a to bzdura. Obejmuje to organizacje spoza UE, ale oferujące towary lub usługi tamtejszym ludziom. Wymagania zasadniczo sprowadzają się do dwóch rzeczy: zabezpieczenia danych osób i ułatwienia im sprawowania kontroli nad ich danymi osobowymi. (Nasz artykuł „ Czym jest RODO? ” Zawiera przegląd podstawowych informacji nt. bezpieczeństwa i ochrony danych). Ci, którzy nie przestrzegają zasad, mogą zostać ukarani grzywną w wysokości 20 milionów euro lub 4 procentami światowych przychodów, w zależności od tego, która z tych kwot jest wyższa, plus odszkodowanie za ewentualne szkody.
Chociaż większość wymagań dotyczących dotyczących poczty e-mail RODO dotyczyła marketingu e-mail i spamu, istnieją inne aspekty, takie jak szyfrowanie i bezpieczeństwo e-maili, które są równie ważne dla zgodności z RODO. Poniżej wyjaśnimy, co faktycznie mówi RODO i co to oznacza dla wiadomości e-mail.
Pamiętaj, że nic, co tu czytasz, nie jest dobrym zamiennikiem porady prawnej. Zalecamy skonsultowanie się z prawnikiem – praktykiem RODO, aby zrozumieć, w jaki sposób RODO stosuje się do konkretnej sytuacji.
Szyfrowanie i bezpieczeństwo RODO
Co mówi RODO:
Jeśli gromadzisz, przechowujesz lub używasz danych osób w UE, RODO dotyczy Ciebie. A to oznacza, że możesz mieć obowiązek zmiany sposobu działania organizacji w kilku podstawowych aspektach.
RODO wymaga „ochrony danych już w fazie projektowania i domyślnej”, co oznacza, że organizacje muszą zawsze brać pod uwagę wpływ na ochronę danych nowych lub istniejących produktów lub usług. W art. 5 RODO wymieniono zasady ochrony danych, których należy przestrzegać, w tym przyjęcie odpowiednich środków technicznych w celu zabezpieczenia danych. Szyfrowanie i pseudonimizacja są cytowane w prawie jako przykłady środków technicznych, które można zastosować, aby zminimalizować potencjalne szkody w przypadku naruszenia danych.
Co to znaczy dla e-maila:
Jeśli chodzi o pocztę e-mail, szyfrowanie jest najbardziej wykonalną opcją. Jeszcze pięć lat temu nie byłoby to prawdą. Technologia szyfrowania wiadomości e-mail szybko się jednak rozwinęła, a kilka firm oferuje obecnie kompleksową usługę szyfrowania wiadomości e-mail . Bezpieczna poczta e-mail oparta na chmurze jest teraz wygodną i praktyczną opcją. (Ujawnienie: GDPR.eu jest prowadzony przez ProtonMail , największą na świecie zaszyfrowaną pocztę elektroniczną i jest częściowo finansowany z programu ramowego Unii Europejskiej „Horyzont 2020”).
Chociaż szyfrowanie nie jest wymagane, każda organizacja musi opracować uzasadnienie dla opracowania najbardziej odpowiednich praktyk bezpieczeństwa danych.
Jakie jest najpopularniejsze hasło do kont pocztowych?
Odpowiedź nie będzie zaskoczeniem. Obojętnie, czy dotyczy to kont pocztowych, profili w portalach społecznościowych czy dostępu do routerów, prym wiedzie niezmiennie „123456”
Przechowywanie wiadomości e-mail na podstawie RODO
Co mówi RODO:
Usuwanie danych stanowi dużą część RODO. Jest to jedna z sześciu zasad ochrony danych: art. 5 lit. e) stanowi, że dane osobowe mogą być przechowywane „nie dłużej niż jest to konieczne do celów, dla których dane osobowe są przetwarzane”. Usuwanie danych jest również jednym z praw osobistych chronione przez RODO w art. 17 , słynne „ prawo do bycia zapomnianym ”. „Osoba, której dane dotyczą, ma prawo do uzyskania od administratora usunięcia danych osobowych jej dotyczących bez zbędnej zwłoki.” Istnieją pewne wyjątki od tego ten ostatni wymóg, taki jak interes publiczny. Ale ogólnie mówiąc, masz obowiązek usunąć dane osobowe, których już nie potrzebujesz.
Co to znaczy dla e-maila:
Wielu z nas nigdy nie usuwa wiadomości e-mail. Istnieje wiele dobrych powodów: być może kiedyś będziemy musieli odnieść się do nich jako do zapisu naszych działań lub nawet do ewentualnych sporów sądowych. Ale im więcej danych przechowujesz, tym większa odpowiedzialność w przypadku naruszenia danych. Ponadto zgodnie z prawem europejskim wymagane jest usunięcie niepotrzebnych danych osobowych. Ze względu na RODO należy okresowo sprawdzać zasady przechowywania wiadomości e-mail w organizacji w celu zmniejszenia ilości danych przechowywanych przez pracowników w skrzynkach pocztowych. Rozporządzenie wymaga, abyś był w stanie wykazać, że masz politykę, która równoważy twoje uzasadnione interesy biznesowe z obowiązkami ochrony danych na mocy RODO.
Z technicznego punktu widzenia usuwanie danych e-mail może być dość proste i często może być zautomatyzowane. ProtonMail i niektóre inne usługi poczty e-mail mają wygasającą opcję poczty e-mail, która pozwala ustawić wiadomości do usunięcia po określonym czasie. Bez względu na to, jaką strategię przechowywania wiadomości e-mail zdecyduje Twoja organizacja, będzie wymagała przyzwyczajenia się, ale znacznie obniży Twoją ekspozycję na RODO.
Marketing e-mailowy i spam
Co mówi RODO:
Wśród innych zasad ochrony danych zawartych w art. 5 są „zgodność z prawem, uczciwość i przejrzystość”. Oznacza to, że możesz wykorzystywać dane ludzi tylko wtedy, gdy jest to dozwolone na podstawie jednego z sześciu uzasadnień prawnych, musi być uczciwe wobec osoby, której dane dotyczą, i musi być oparty na przejrzystej i jednoznacznej komunikacji z osobą, której dane dotyczą. (Nawiasem mówiąc, „osoba, której dane dotyczą”, to osoba, której dane dotyczą).
Istnieje sześć „zgodnych z prawem podstaw” do „przetwarzania” (gromadzenia, przechowywania, wykorzystywania itp.) Danych osób. Są one wymienione w art . 6 . Pierwszą jest zgoda, którą należy uzyskać jednoznacznie i po pełnym wyjaśnieniu tego, co planujesz zrobić z danymi. Konkretnie:
• Zgoda musi być „dobrowolnie udzielona, konkretna, poinformowana i jednoznaczna”.
• Wnioski o zgodę muszą być „wyraźnie odróżnialne od innych kwestii” i przedstawione w „jasnym i prostym języku”.
• Osoby, których dane dotyczą, mogą wycofać uprzednio udzieloną zgodę, kiedy tylko chcą, a Ty musisz honorować ich decyzję. Nie można po prostu zmienić podstawy prawnej przetwarzania na inne uzasadnienie.
• Dzieci poniżej 13 roku życia mogą wyrazić zgodę tylko za zgodą rodzica.
• Musisz przechowywać dokumentację potwierdzającą zgodę.
Szósta podstawa prawna polega na „uzasadnionym interesie” przetwarzania danych osoby. Chociaż termin ten jest niejasny i może odnosić się do wielu różnych sytuacji, możesz mieć trudności z oparciem się na tej podstawie, ponieważ „podstawowe prawa i wolności osoby, której dane dotyczą”, często mogą zastąpić Twój uzasadniony interes. Ponadto okaże się, jak organy regulacyjne i sądy będą interpretować tę podstawę. Prawdopodobnie nie chcesz być przypadkiem testowym.
Pozostałe cztery legalne podstawy są mniej powszechne, ale dobrze jest przejrzeć artykuł 6, aby upewnić się, że nie dotyczą ciebie. Najważniejsze jest to, że powinieneś bardzo uważać na wykorzystywanie czyichś danych, chyba że jesteś pewien, że dana osoba chce, aby były wykorzystywane w ten sposób.
Dyrektywa o prywatności i łączności elektronicznej, w szczególności art. 13 , przedstawia jednak organizacjom inny sposób wykorzystania danych osoby do celów marketingowych, który wynika z umownej podstawy RODO. W kontekście sprzedaży towaru lub usługi organizacja „może wykorzystywać te elektroniczne dane kontaktowe w celu marketingu bezpośredniego własnych podobnych produktów lub usług, pod warunkiem, że klienci mają możliwość wyraźnego i wyraźnego sprzeciwienia się, nieodpłatnie i łatwy sposób ”zgodnie z art. 13 część 2. Zasadniczo oznacza to, że organizacja może zgodnie z prawem wysyłać Ci e-maile marketingowe dotyczące świadczonej przez ciebie usługi, o ile informują cię, że możesz zrezygnować w dowolnym momencie i istnieje opcja wypisania się z każdej komunikacji.
Co to oznacza dla e-maila:
Po przekroczeniu RODO niektórzy twierdzili, że będzie to „koniec e-mail marketingu” lub „koniec spamu”. Ale to nie będzie żaden. Spam zawsze był zakazany lub niezgodny z warunkami korzystania z większości dostawców poczty e-mail. Ci, którzy wysyłają niechciane lub złośliwe masowe wiadomości e-mail, prawdopodobnie nadal je wysyłają. Czy folder spamu wyschł po 25 maja 2018 r., Kiedy zaczęło obowiązywać RODO?
Jeśli chodzi o marketing e-mailowy, RODO w żaden sposób nie zakazuje marketingu e-mailowego. RODO nie było anty-biznesowe, tylko pro-konsumenckie. Dobry marketingowy e-mail powinien idealnie dostarczać wartość odbiorcy i być czymś, co i tak chce otrzymywać. RODO wyjaśnia warunki zgody, wymagając od organizacji prośby o zgodę na wysyłanie komunikatów. Musisz także ułatwić ludziom zmianę zdania i rezygnację. Tylko jeśli marketingowy e-mail nie zawiera opcji rezygnacji z subskrypcji, jest wysyłany do osoby, która nigdy się na niego nie zapisała lub nie reklamuje usługi związanej z usługą, z której korzysta odbiorca, narusza to RODO.
Organizacyjne bezpieczeństwo poczty e-mail
Co mówi RODO:
Istnieje jeszcze jeden aspekt e-mail RODO, a mianowicie bezpieczeństwo poczty e-mail. Artykuł 5 lit. f) stanowi, że należy chronić dane osobowe „przed przypadkową utratą, zniszczeniem lub uszkodzeniem, stosując odpowiednie środki techniczne lub organizacyjne”.
Co to oznacza dla e-maila:
Szyfrowanie wiadomości e-mail jest środkiem technicznym. Środki organizacyjne dotyczą polityki wewnętrznej, zarządzania i szkoleń. Dziewięćdziesiąt jeden procent cyberataków rozpoczyna się od wiadomości phishingowej, w której hakerzy próbują uzyskać dostęp do konta lub urządzenia za pomocą oszustwa lub złośliwego oprogramowania. Linki i załączniki z nieznanych kont nigdy nie powinny być klikane ani pobierane.
Gdy atakujący uzyska dostęp do jednego konta lub urządzenia, dostęp do innych jest często łatwy, co oznacza, że błąd jednego pracownika może zagrozić ogromnej ilości danych. Jeśli nie możesz wykazać organom regulacyjnym, że wdrożyłeś odpowiednie środki techniczne i organizacyjne, możesz być narażony na wysokie grzywny w UE i odszkodowania dla osób, których dane dotyczą.
Aby uniknąć odpowiedzialności, ważne jest, aby edukować swój zespół w zakresie bezpieczeństwa poczty e-mail. Podstawowe kroki, takie jak wymaganie uwierzytelnienia dwuskładnikowego, mogą znacznie przyczynić się do ochrony danych i przestrzegania RODO. Zapoznaj się z programem do RODO.