6 września 2021

Retencja danych osobowych w elektronicznej poczcie służbowej

Udostępnij

Informacje stały się bezsprzecznie jednym z podstawowych nośników wartości. Przetwarzamy oraz gromadzimy niewyobrażalne ilości danych, do czego wykorzystujemy różne nośniki i kanały komunikacji. Równie istotna stała się też możliwość skutecznej wymiany informacji, a szczególnie jej tempo. Zresztą tempo wymiany informacji zawsze było istotne, zwłaszcza wtedy, gdy przekaz wpływał na określony czas reakcji wobec występujących okoliczności. Czasy przyzwyczaiły nas do tego, że informacja czy dostęp do niej powinien być błyskawiczny i stały. Jednym z nośników informacji oraz jej wymiany, który spełnia powyższe kryteria, stała się poczta elektroniczna. Jej wykorzystanie jest oczywiste, powszechne oraz niezbędne w kontaktach zarówno sektora prywatnego, jak i w relacji z podmiotami publicznymi.

Poczta elektroniczna

Aby pokazać, jak istotna stała się usługa poczty elektronicznej, można przytoczyć kilka ciekawych faktów dostrzeżonych w ramach badania prowadzonego przez jednego z wiodących dostawców usługi hostingu poczty elektronicznej w Polsce[1]. Otóż:

  • przeciętny użytkownik poczty elektronicznej musi poświęcić około 1 godziny dziennie na odbieranie i wysyłanie wiadomości;
  • pojedynczy użytkownik skrzynki wysyła i odbiera rocznie około 2524 wiadomości.

Są to z pewnością niedoszacowane dane, bo uwzględniające tylko jednego z dostawców usługi hostingu poczty elektronicznej. Pomimo tego i tak możemy stwierdzić, że spędzamy mnóstwo czasu na prowadzeniu korespondencji za pośrednictwem maila. Rola tej formy komunikacji z pewnością będzie rosła.

Istotność informacji gromadzonej na skrzynce e-mail

Z uwagi na fakt, że poczta elektroniczna stała się jednym z głównych kanałów komunikacji, to naturalnym jest to, że wiadomość e-mail stała się również nośnikiem najbardziej istotnych informacji dotyczących dysponenta skrzynki lub podmiotu, który prowadzi komunikację za jej pośrednictwem. Z tego powodu coraz bardziej zwracamy uwagę na to, co mamy w posiadanych wiadomościach na skrzynce, co i komu przesyłamy z wykorzystaniem poczty elektronicznej, jak zabezpieczony jest serwer, na którym znajduje się posiadana skrzynka, czy obiektywnie nasze wiadomości są poufne i osoby nieupoważnione nie mają do nich dostępu.

Środki zabezpieczenia

Oczywiście na wiele aspektów zabezpieczenia poczty elektronicznej nie mamy wpływu (zazwyczaj) i są to głównie techniczne mechanizmy zabezpieczenia samej skrzynki lub transferu danych leżące po stronie dostawcy. Niemniej mamy wpływ m.in. na:

  • wybór wiarygodnego dostawcy zarówno w zakresie przechowywania informacji, jak i zabezpieczenia komunikacji oraz filtrowania wiadomości „szkodliwych”;
  • właściwe korzystanie z proponowanych mechanizmów uwierzytelnienia w tym zalecanego uwierzytelniania wielopoziomowego (ang. multi-factor authentication);
  • weryfikację otrzymanej korespondencji i niepodleganie mechanizmom wpływu (szczególnie obecne w zjawisku phishingu).

Powyższe środki pozwalają na zabezpieczenie informacji, niemniej nie są w 100% skuteczne. A jeżeli bierzemy pod uwagę nawet 0,01% prawdopodobieństwo wystąpienia zagrożenia, którym co do zasady jest przejęcie informacji lub komunikacji przez osobę nieuprawnioną bądź zniknięcie czy usunięcie danych, to powinniśmy próbować równolegle do zabezpieczenia dostępu ograniczać potencjalne skutki wystąpienia zagrożenia. Jednym ze środków ograniczających skutki zmaterializowania się ryzyka związanego z przejęciem skrzynki e-mail jest ograniczenie przechowywania danych.

Zasada ograniczenia przechowywania danych

Zasada jest na pozór prosta. Weryfikujemy informacje, dane czy wiadomości, które posiadamy, a te które nie są nam potrzebne lub stwierdzamy, że są nieistotne – wyłączamy z obiegu. W praktyce wyłączenie z obiegu oznacza usunięcie, wybrakowanie bądź zarchiwizowanie. Reguła jest czytelna, niemniej wymaga przeprowadzenia analizy, która pozwoli odpowiedzieć na pytanie:

  • jakie informacje możemy wyłączyć z obiegu, dalej
  • które informacje mogą okazać się nam jeszcze niezbędne, ostatecznie
  • co możemy swobodnie usunąć, wybrakować czy zarchiwizować.

O tym, jak istotna w zakresie ochrony informacji jest zasada ograniczonego przechowania danych świadczy fakt, że zasada ta została umieszczona w kanonie zasad dotyczących przetwarzania danych osobowych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (czyli tzw. RODO).

Art. 5 ust. 1 lit. e RODO stanowi:

„Dane osobowe muszą być (…) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (…).”

Pomimo faktu, że przepisy ogólnego rozporządzenia o ochronie danych osobowych mają zastosowanie w stosunku do informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, to można z pełną odpowiedzialnością wskazać, że zasada ograniczenia przechowywania (jak i pozostałe wskazane w art. 5 RODO) może być wykorzystywana do wszystkich, innych niż dane osobowe, danych przez nas gromadzonych (czy to w życiu prywatnym czy zawodowym).

Ideą umieszczenia zasady ograniczonego przechowywania w przepisach Rozporządzenia było zakończenie procederu przechowania danych w nieskończoność i wymuszenie wyważenie relacji pomiędzy wartością informacji, jej istotnością oraz okresem, w którym jest ona niezbędna i powinna być przechowywana. Ustawodawca dostrzegł fakt, że przechowując informacje dotyczące osób fizycznych bez ograniczenia czasu, ich dysponent może w pewnym momencie posiadać bardzo szeroki zakres wiedzy o podmiocie danych – zakres mogący naruszać prawa i wolności tej osoby, Dodatkowo w sytuacji naruszenia poufności danych skala wpływu naruszenia na prawa i wolności podmiotu danych jest większa niż w sytuacji jakby zakres posiadanych informacji był ograniczony do tego, co niezbędne.

Nie trzeba szukać daleko przykładów, w których odpowiednie zastosowanie zasady ograniczenia przechowania mogłoby zmniejszyć skutki naruszenia ochrony danych. Za taki można podać naruszenie, do którego doszło w Szkole Główniej Gospodarstwa Wiejskiego w Warszawie[2]. Prezes Urzędu Ochrony Danych Osobowych nakładając na SGGW karę za naruszenie jednoznacznie stwierdził, że przetwarzano dane osobowe kandydatów na studia pochodzące z okresu pięciu lat rekrutacji, co było niezgodne z wyznaczonym okresem przechowywania danych osobowych kandydatów na studia, który został określony w SGGW na trzy miesiące od zakończenia rekrutacji. Można jednoznacznie wskazać, że gdyby w SGGW stosowano zasadę ograniczenia przechowania, to skutki naruszenia byłoby dużo mniejsze bo dotyczyłyby jedynie osób uczestniczących w ostatniej rekrutacji. Zapewne również odpowiedzialność SGGW byłaby niższa.

Jak realizować zasadę ograniczenia przechowania?

Implementując zasadę ograniczenia przechowania najtrudniejszym zadaniem, będącym jednocześnie punktem wyjścia do podjęcia jakichkolwiek działań, jest odpowiedź na pytanie: jak długo dana informacja/wiadomość jest mi potrzeba?

Na powyższe pytanie trudno jest odpowiedzieć. Szczególnie wtedy, kiedy nie mamy pewności, jak długo posiadane dane będą nam potrzebne. Niestety, jak to zwykle bywa w kontekście wytycznych, które powinny być co do zasady precyzyjne, nie ma jasno sformułowanych kryteriów, czym należy się kierować przy wdrożeniu ograniczenia przechowywania.

W motywie 39 RODO znalazła się jedynie wskazówka „Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu”. Z kolei odpowiadając na pytanie Czy trzeba precyzyjnie określać okres przechowywania danych? w poradniku dostępnym na stronie Urzędu Ochrony Danych Osobowych[3] wskazano „precyzyjnie”, że okres przechowywania (lub kryteria jego ustalania) może być podyktowany takimi czynnikami, jak wymogi ustawowe lub wytyczne branżowe (red. a kiedy ich nie ma?), jednak informacja o nim powinna być sformułowana w taki sposób, aby osoba, której dane dotyczą, miała możliwość ocenienia – na podstawie własnej sytuacji – ile będzie trwał okres przechowania w przypadku określonych danych/celów. Ogólne stwierdzenie przez administratora, że dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania, jest niewystarczające. W stosownych przypadkach należy ustalić różne okresy przechowywania dla różnych kategorii danych osobowych lub różnych celów przetwarzania, w tym okresy archiwizacji.

Czyli wiemy, co chcemy osiągnąć, ale niestety organ nie dał jasnej odpowiedzi, jak to zrealizować.

Widok od tyłu na kobietę siedzącą przy biurku z tabletem, na którego ekranie widać dużą ikonę symbolizująca kopertę

Niemniej na obronę organu nadzorczego należy wskazać, że ustalenie okresu przechowywania danych nie jest proste. Szczególnie wtedy, gdy nie mamy przepisów prawa lub wytycznych, którymi możemy się posiłkować. Czasami trudno jest też jednoznacznie stwierdzić, że dana informacja czy wiadomość np. po roku nie będzie już potrzebna. Trudność polega też na tym, że informacje stanowią wartość samą w sobie, dlatego ograniczając okres przechowania, częściowo ograniczamy możliwość posiadania lub odtworzenia wiedzy. Zadanie trudne, ale należy wyważyć równowagę interesów pomiędzy korzyściami płynącymi z posiadania informacji w porównaniu do negatywnych konsekwencji np. związanych z naruszeniami ochrony danych osobowych czy tajemnicy przedsiębiorstwa.

Według mnie, ustalając jak długo przechowywać informacje, należy kierować się przede wszystkim poniższymi kryteriami:

  • jeżeli są przepisy wskazujące na okres przechowywania informacji, to je stosujemy;
  • jeżeli takich przepisów nie ma, to weryfikujemy, czy informacji potrzebujemy do wykazywania określonych faktów, związanych z roszczeniami prawnymi (zarówno w kontekście wykazania roszczeń przez nas, jak i obrony przed nimi);
  • czy jesteśmy w stanie określić okres przedawnienia potencjalnych roszczeń, jeżeli tak, to okres przechowania ustalamy do czasu przedawnienia tych roszczeń; jeżeli nie, to bierzemy pod uwagę maksymalny okres dopuszczalny w przepisach prawa (w polskim Kodeksie Cywilnym okres maksymalny należy określić zgodnie z art. 117 KC tj. jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata);
  • jeżeli danych nie potrzebujemy w aspekcie obrony przed roszczeniami lub ich wykazywania, badamy, jak w praktyce dane te są wykorzystywane i przez jaki czas – co do zasady (licząc się z tym, że oczywiście są wyjątki od reguły) są przydatne i po okresie tej przydatności należy podjąć się czynności usunięcia, wybrakowania lub zarchiwizowania (ewentualnie w przypadku danych osobowych anonimizacji).

Nie jest to idealne rozwiązanie, niemniej pozwala określić ramy przechowania informacji lub w ogóle określić czas, a nie pozostawić informacji w kryterium nieskończoności posiadania.

Niezbędnym do właściwej realizacji ograniczenia przechowania jest również zidentyfikowanie miejsc przechowywania oraz ich ograniczenie do niezbędności – ograniczenie miejsc przechowania pozwala skuteczniej realizować egzekucje przyjętych okresów retencji. Tutaj centralizm danych lepiej się sprawdza niż rozproszony system przechowania danych.

Kolejnym ważnym elementem implementacji zasady ograniczenia przechowania jest również przekazanie wiedzy i wymogów personelowi, który fizycznie ma dostęp do danych. Bo o ile jesteśmy w stanie ustawić mechanizmy automatyczne, to w niektórych przypadkach jedynie człowiek będzie w stanie ocenić walor informacji oraz niezbędny okres jej przechowania (w niedługim czasie będzie w stanie zrobić to na pewno lepiej jakościowo sztuczna inteligencja). Ponadto to człowiek jest najsłabszym ogniwem systemu bezpieczeństwa informacji, wobec czego przekazanie mu wiedzy w kontekście praktycznym (czyli faktycznej realizacji zasady, o której wspominaliśmy), może okazać się bardzo ważne. Dlatego warto poza wprowadzeniem stosownych procedur nauczyć pracowników:

  • stałej weryfikacji i segregacji posiadanych zasobów informacji;
  • bezpośredniego usuwania informacji roboczych oraz nieprzydatnych;
  • korzystania z mechanizmów automatycznych – o ile są dostępne.

Procedura retencji danych?

Ustanawiane w organizacjach procedury pozwalają na efektywniejsze realizowanie stawianych zadań przez personel oraz podniesienie ich powtarzalności. W celu realizacji zasady ograniczonego przechowania organizacje implementują procedurę retencji danych, która określa, co i kiedy jest usuwane oraz ewentualnie to, jakie metody niszczenia danych są dopuszczalne. Procedura retencji powinna określać przynajmniej:

  • zakres zastosowania (przedmiotowy – czyli czego dotyczy oraz podmiotowy – kogo dotyczy);
  • kategorie danych objętych procedurą w tym z wyszczególnieniem przestrzeni przetwarzania tych danych (np. poczty elektronicznej);
  • wskazanie kryteriów ustalania okresów przechowywania;
  • zdefiniowane okresy przechowywania;
  • sposoby realizacji zasady ograniczenia przechowania.

Należy pamiętać, że samo ustanowienie procedury nie jest wyznacznikiem realizacji zasady ograniczenia przechowania danych – ważne jest, aby procedury były dostosowane do organizacji oraz zakresu przetwarzanych przez nią informacji, a personel był świadomy konieczności jej stosowania.

Poczta byłego pracownika (współpracownika)

Częstym problemem dla pracodawcy po odejściu pracownika czy zakończeniu współpracy jest kwestia dalszego przechowywania treści korespondencji e-mail tej osoby. Tutaj co do zasady można przyjąć, że poczta elektroniczna tej osoby (w naszej domenie) zawiera jedynie treści związane z realizacją obowiązków służbowych (choć w praktyce można równie dobrze założyć, że na skrzynce mogą znajdować się także informacje prywatne takiej osoby). Co do zasady, jeżeli możemy przewidzieć czas zakończenia współpracy, to przed tym momentem należy zalecić samemu pracownikowi czy współpracownikowi:

  • segregację wiadomości;
  • usunięcie niepotrzebnych wątków i korespondencji;
  • przekazanie korespondencji oraz informacji kluczowych osobie, która przejmuje obowiązki.

Po zakończeniu współpracy w interesie organizacji leży zarchiwizowanie posiadanych zasobów byłego już członka personelu przynajmniej na okres ewentualnych roszczeń pracowniczych lub wynikających z umowy cywilnoprawnej.

Oczywiście mogą zdarzyć się sytuacje wyjątkowe, np. zwolnienie bez okresu wypowiedzenia, i wtedy to pracodawca będzie zmuszony do przeprowadzenia przede wszystkim przekazania prowadzenia komunikacji innej osobie. Co do usuwania oraz segregacji danych temat jest trudny z uwagi na to, że mogą zawierać prywatną korespondencję zwalnianej osoby. Dlatego tutaj co do zasady można przyjąć, że archiwizujemy całość, a po okresie przedawnienia potencjalnych roszczeń (pracownika lub podmiotu, z którym pracownik korespondował) dane usuwamy.

Co realnie pozwala osiągnąć nam stosowanie zasady ograniczenia przechowywania?

Zastosowanie zasady ograniczenia przechowania jest bardzo przydatne – szczególnie wtedy, gdy posiadamy znaczącą ilość przetwarzanych informacji. Zasada ta pozwala w szczególności na:

  • działanie zgodnie z przepisami prawa ochrony danych osobowych;
  • ograniczenie skutków potencjalnych incydentów ochrony danych (im mniej danych wycieka, tym mniejsze skutki);
  • zaoszczędzenie zasobów umożliwiających przechowywanie danych;
  • skupienie się na informacjach najbardziej istotnych.

Organizacje coraz częściej zdają sobie sprawę, że posiadanie nielimitowanej czasowo informacji nie jest efektywne i przydatne w kontekście skuteczności jej wykorzystania. Niestety nadal panuje dominujące przekonanie o przechowywaniu danych, w tym korespondencji skrzynki poczty elektronicznej, bez limitu czasowego – tutaj ograniczeniem staje się jedynie pojemność skrzynki. To ostatnie niejako pośrednio wymusi realizację zasady ograniczonego przechowania – jak wspominałem przetwarzamy coraz więcej danych, coraz większa jest ich objętość, a więc dostępne zasoby pojemności pamięci będą się kurczyć, co z kolei wymusi zakup dodatkowej przestrzeni. I być może – podobnie jak w przypadku implementacji RODO, kiedy kwestia odpowiedzialności finansowej jest głównym czynnikiem dostosowania się do przepisów Rozporządzenia – ograniczenie kosztów lub zahamowanie ich wzrostu będzie czynnikiem, który niejako wymusi stosowanie tej przydatnej zasady przetwarzania informacji.

Marcin Kaleta

radca prawny, właściciel IT Law Solutions Sp. z o.o., specjalizuje się w projektach związanych z prawem nowych technologii, prawem własności intelektualnej oraz ochroną danych osobowych

Artykuł pochodzi z biuletynu Euro Info 6/2021

Przeczytaj więcej takich artykułów w strefie Wiedzy PARP


[1] https://blog.home.pl/wp-content/uploads/2021/03/Raport-home.pl_Jak-Polacy-korzystaja-ze-skrzynek-e-mail-blog.pdf badanie home.pl

[2] Decyzja PUODO z dnia 21.08.2020 ZSOŚS.421.25.2019 https://www.uodo.gov.pl/decyzje/ZSOŚS.421.25.2019

[3] https://uodo.gov.pl/pl/225/1733

Zobacz więcej podobnych artykułów