W poprzednim wpisie omawialiśmy bezpieczne korzystanie z najpopularniejszych platform do wideokonferencji. W tym wpisie, zajmiemy się analizą najbardziej powszechnej formy komunikacji online, czy za pośrednictwem email – poczty elektronicznej.
Z technicznego punktu widzenia, usługa email polega na dostarczaniu funkcjonalności serwera poczty elektronicznej oraz umożliwieniu dostępu do poczty elektronicznej przez przeglądarkę internetową, czyli przechowywaniu danych (email), wysyłania danych (email) i odbierania danych (email). Udostępnianie aplikacji pozwalającej obsługiwać pocztę elektroniczną na komputerze lub innym urządzeniu np. program Outlook nie stanowi dostarczania usługi email.
Spis treści
Wybrane usługi
Omawiając bezpieczeństwo korzystania z poczty elektronicznej również posłużymy się przykładami najczęściej wybieranych usług:
- Exchange Online w ramach Microsoft 365, oferowanej przedsiębiorcom z Europejskiego Obszaru Gospodarczego (EOG) przez Microsoft Ireland Operations Limited;
- Gmail w ramach Google Wrokspace oferowanej przedsiębiorcom z EOG przez Google Ireland Limited;
- iCloud Mail w ramach Apple Business Manager oferowanej przedsiębiorcom z EOG przez Apple Distribution International Ltd. z siedzibą w Irlandii.
Dane przetwarzane w poczcie elektronicznej
Dane, które są przetwarzane w ramach korespondencji e-mail można podzielić na:
- dane podstawowe i kontaktowe użytkownika: imię, nazwisko, email, telefon, login, hasło, organizacja, metoda płatności, ustawienia preferencji;
- treści i kontent: czyli dane przechowywane i przesyłane przez użytkowników – treść maili oraz wszelkie możliwe załączniki dołączone do maili – dane te należą do danych nieustrukturyzowanych, więc mogą zawierać informacje poufne i dane wrażliwe;
- dane techniczne i telemetryczne: czyli IP, lokalizacja i cechy sprzętu, natężenie ruchu, requesty i anomalie;
- dane drugiej strony korespondencji: dane identyfikacyjne oraz dane telemetryczne.
Aspekty prawne
Korzystając z poczty elektronicznej w kontaktach biznesowych z kontrahentami (relacja B2B) jak i klientami indywidualnymi (relacja B2C) zwrócić uwagę na kilka zagadnień:
Rola dostawcy usługi poczty elektronicznej oraz przedsiębiorcy korzystającego z takiej usługi w zakresie przetwarzania danych
Podobnie jak w przypadku wideokonferencji, tak i w zakresie korespondencji e-mail dostawca usługi będzie podmiotem przetwarzającym dane osobowe (art. 4 pkt 8 RODO, art. 28 RODO) powierzone mu przez Ciebie, jako administratora tych danych osobowych (art. 4 pkt 7 RODO).
Mogą zdarzyć się również sytuacja, w której będziesz występował w charakterze podmiotu przetwarzającego np. świadcząc usługi na rzecz danego klienta – przedsiębiorcy i zawierając z nim jako administratorem danych umowę powierzenia przetwarzania danych.
Natomiast w zakresie danych technicznych czy telemetrycznych i podstawowych danych użytkownika, dostawca usługi działa jako administrator tych danych i wykorzystuje je dla celów zarządzania użytkownikami, raportowania finansowego oraz cyberbezpieczeństwa.
W relacji pomiędzy dostawcą usługi, a usługobiorcą korzystającym z poczty elektronicznej, tak jak w przypadku organizowania spotkań online nie dochodzi do współadministrowania danymi osobowymi pomiędzy tymi podmiotami. Mimo wszystko, w tym przypadku należy także przypomnieć wyrok Trybunału Sprawiedliwości z dnia 29 lipca 2019 r. [1]. Trybunał stwierdził, że doszło do współadministrowania danymi pomiędzy Facebookiem a operatorem strony internetowej, na której umieszczono znacznik śledzący Facebook Pixel. Pomimo tego kontrowersyjnego orzeczenia, zdaniem organów ochrony danych, Microsoft i klienci usług Microsoft 365 nie są współadministratorami danych.
Obowiązki formalne
Korzystając z usługi poczty elektronicznej masz następujące obowiązki z zakresu ochrony danych:
- wiarygodność – sprawdź, czy dostawca usługi zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych tak aby usługa spełniała wymogi RODO i chroniła prawa osób, których dane dotyczą (zgodnie z art. 28 ust. 1 RODO). Możesz je zweryfikować poprzez analizę umowy powierzenia przetwarzania danych i innych informacji podawanych przez samych dostawców, certyfikatów niezależnych firm, jak i doniesień rynkowych na temat praktyki działania danej usługi, w tym informacji o wyciekach danych, podatnościach, awariach oraz praktykach handlu danymi. Dotyczy to weryfikacji następujących elementów:
- zgodności działania usługi z prawem ochrony danych osobowych;
- bezpieczeństwa usługi.
- umowa powierzenia – sprawdź, czy dostawca usługi oferuje umowę powierzenia przetwarzania danych, spełniającą wymogi art. 28 RODO.
Poniżej znajdziesz linki dla umów powierzenia przetwarzania danych osobowych dla usługi:
- Exchane Online: https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA?isToggleToList=True&lang=23&year=2021
- Gmail: https://workspace.google.com/terms/dpa_terms.html oraz https://cloud.google.com/terms/sccs
- iCloud Mail: https://www.apple.com/legal/enterprise/apple-business-manager/abm-pl.pdf oraz https://www.apple.com/legal/enterprise/data-transfer-agreements/datatransfer-pl.pdf
Z istotnych informacji praktycznych należy zaznaczyć, że w przypadku korzystania z:
- Gmail dla kont biznesowych niezależnie od wyboru pakietu – Google oferuje 14 dniowy bezpłatny okres próbny podczas którego nie obowiązuje umowa powierzenia przetwarzania danych osobowych (Aneks o przetwarzaniu danych – DPA). Wobec tego nie powinieneś przesyłać, przechowywać, wysyłać ani odbierać jakichkolwiek danych osobowych z wykorzystaniem poczty Gmail. Aby skrócić okres próbny należy skontaktować się z Google.
- iCloud Mail – Apple nie oferuje oddzielnej umowy powierzenia przetwarzania danych osobowych, co wobec wymogu przejrzystości przetwarzania danych może nie spełniać wymogu z art. 5 ust. 1 lit. a RODO. Dodatkowo umowa Apple nie zawiera zobowiązania Apple do przedstawiania klientowi dalszych podmiotów przetwarzających, co jest niezgodne z art. 28 ust. 2 zd. 2 RODO. Ponadto, Apple przyznaje sobie uprawnienie do ujawniania danych osobowych o Użytkowniku, jeżeli Apple uzna, że ujawnienie jest w uzasadniony sposób niezbędne do egzekwowania warunków i zasad Apple lub zabezpieczania operacji lub użytkowników Apple (art. 9 ust. 1 umowy Apple – ABM). Co więcej, Apple posługuje się nieobowiązującymi już standardowymi klauzulami umownymi przyjętymi na podstawie Decyzji Komisji z dnia 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.
W przypadku przetwarzania danych jako podmiot przetwarzający, a nie jako administrator danych dodatkowo pamiętaj o tym, żeby:
- w umowie powierzenia przetwarzania powinien umieścić dane swojego dostawcy poczty elektronicznej, ze względu na konieczność akceptacji administratora dla dalszych przetwarzających (Twój dostawca poczty w tym wypadku będzie dalszym przetwarzającym danych osobowych powierzonych Tobie przez administratora). W przypadku zmiany dostawy powinieneś powiadomić administratora o zmianie dalszego przetwarzającego danych. Administrator w zależności od treści umowy was łączącej powinien wyrazić zgodę lub będzie uprawniony do zgłoszenia sprzeciwu (art. 28 ust. 2 RODO);
- zweryfikować warunki umowy powierzenia przetwarzania danych osobowych zawartej pomiędzy Tobą jako przetwarzającym dane osobowe a administratorem tych danych a umową pomiędzy Tobą a dostawcą usługi poczty elektronicznej, warunki obu tych umów nie mogą pozostawać ze sobą w sprzeczności (art. 28 ust. 4 RODO).
Obowiązek informacyjny
Przy korzystaniu z poczty elektronicznej powinieneś poinformować osoby z którymi prowadzisz korespondencję mailową, w jaki sposób przetwarzane będą ich dane osobowe (art. 13 RODO). Najkorzystniej będzie zamieścić w stopce maila informację dotyczącą przetwarzania danych osobowych wraz z linkiem do polityki prywatności obowiązującym w Twoim przedsiębiorstwie.
Dodatkowo powinieneś wskazać, że niektóre dane osobowe uczestników będą przekazywane poza EOG, wymagają tego zasady przejrzystości i rzetelności przetwarzania danych (art. 5 ust. 1 lit. a RODO).
W informacji o przetwarzaniu danych wskaż:
- kto jest dostarczycielem usługi – Microsoft, Google, Apple lub inny dostawca usługi poczty elektronicznej;
- metody szyfrowania komunikacji;
dodatkowo poinformuj o:
- zawarciu przez Ciebie umowy powierzenia przetwarzania danych osobowych z dostawcą usługi;
- tym, że dane telemetryczne i dane o uczestnikach są przekazywane poza EOG do USA;
- tym, że dostawca usługi zapewnia zgodność transferu danych z RODO przez zawarcie w umowie z Tobą tzw. standardowych klauzul umownych zaakceptowanych przez Komisję Europejską.
Eksport danych poza Europejski Obszar Gospodarczy
Wszyscy omawiani dostawcy usługi poczty elektronicznej informują, że w ramach korzystania z usługi może dochodzić do przetwarzania danych poza EOG. Wobec tego należy ustalić, jakie dane są przetwarzane poza EOG i na jakich zasadach zapewniona jest zgodność tego przetwarzania z RODO (art. 44-46 RODO).
Wobec unieważnienia decyzji Komisji Europejskiej nr 2016/1250 (wydanej na podstawie art. 45 RODO) dotyczącej Tarczy Prywatności UE-US (tzw. privacy shield) przez Trybunał Sprawiedliwości w wyroku z dnia 16 lipca 2020 r.[2], o czym pisaliśmy tutaj, dostawcy wskazanych usług transferują do USA dane telemetryczne i dane podstawowe użytkowników, na podstawie SCC, czyli standardowych klauzul ochrony danych przyjętych przez Komisję Europejską.
Microsoft i Google są administratorami danych telemetrycznych i danych kontaktowych użytkowników poczty, które są przekazywane poza EOG. W przypadku usługi poczty dostarczanej przez Apple, całość danych jest przekazywana poza EOG. Natomiast wobec wydania nowych klauzul umownych (SCC) istnieje możliwość korzystania z dostawcy poczty, który nie przechowuje danych na obszarze EOG. Jednakże, treść warunków świadczenia usługi poczty elektronicznej oferowane przez Apple nie wskazuje na to że Apple jako dostawa działa w charakterze dalszego przetwarzającego. Google i Microsoft wskazują, że w sytuacji, gdy klient usługi poczty elektornicznej jest podmiotem przetwarzającym dane osobowe wówczas Google i Micorosft jako dostawy usługi działają w charakterze dalszych przetwarzających.
Poniżej zostały wskazane obowiązujące standardowe klauzule umowne:
- Decyzja Wykonawcza Komisji (UE) 2021/914 z 4.6.2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie RODO
- Decyzja Wykonawcza Komisji (UE) 2021/915 z 4.6.2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 RODO oraz art. 29 ust. 7 RODO
Bezpieczeństwo
Regulacje dotyczące bezpieczeństwa przetwarzania danych zawarte są w art. 32 RODO. Zgodnie z powyższą regulacją, administrator (czyli Ty, jako organizator spotkania online) i podmiot przetwarzający (czyli dostawca usługi), uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Dokonując oceny, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z:
- przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub modyfikacji danych,
- nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Wywiązywanie się ze wskazanych obowiązków w zakresie bezpieczeństwa można wykazać między innymi poprzez:
- stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 RODO lub
- zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42 RODO.
Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
Ustalając, czy usługi poczty elektronicznej oferują poziom bezpieczeństwa odpowiedni do ryzyka ich wykorzystania, można wziąć pod uwagę także wytyczne i normy uznanych organów, instytutów i organizacji, takich jak: NASK, ENISA, ISACA, ISO, wyznaczające aktualne standardy w zakresie bezpieczeństwa informacji oraz wskazujące na zagrożenia.
Jako podstawowe środki bezpieczeństwa w zakresie korzystania z wideokonferencji należy wskazać:
- zabezpieczenia przesyłanych i przechowywanych danych, w tym szyfrowanie;
- uwierzytelnianie użytkowników;
- zarządzanie dostępami i uprawnieniami użytkowników oraz administratorów;
- ciągłość i dostępność usługi;
- Zabezpieczenia przed złośliwym oprogramowaniem;
- Tworzenie kopii zapasowych.
W zakresie zachowania poufności informacji kluczowe znaczenie będzie odgrywać szyfrowanie. Stosowane są różne metody szyfrowania danych w trakcie ich przesyłu (encryption in transit) a także w trakcie ich przechowywania (encryption at rest).
- Exchange Online (Microsoft) zapewniają szyfrowanie danych zarówno at rest jak in transit za pomocą rożnych technologii w zależności od rodzaju danych i usługi. Rozwiązania standardowo proponowane przez Microsoft nie zapewniają szyfrowania end-to-end. Podstawową technologią kryptograficzną wykorzystywaną do ochrony tych danych in transit jest TLS (Transport Layer Security). W przypadku wiadomości mailowych Microsoft zapewnia także dodatkowe, opcjonalne narzędzia w postaci Office 365 Message Encryption (OME) pozwalający wysyłać zaszyfrowane wiadomości email.
- Gmail (Google) zapewnia szyfrowanie danych w tranzycie (in transit) i w spoczynku (at rest). Google szyfruje dane w transmisji pomiędzy użytkownikiem a Google jak i pomiędzy użytkownikiem Google a podmiotem trzecim. Google stosuje protokół TLS (Transport Layer Security). Google szyfruje dane w tranzycie z użyciem sprawdzonych algorytmów szyfrujących: RSA oraz ECDSA. Opcjonalnie, Google oferuje zaawansowany standard szyfrowania – hostowane szyfrowanie w standardzie S/MIME (Secure/Multipurpose Internet Mail Extensions). Stosowany do szyfrowania danych w spoczynku przez Google Zaawansowany Standard Szyfrowania – AES jest jedną z najczęstszych metod szyfrowania ważnych danych.
- iCloud Mail (Apple) stosuje protokół TLS (Transport Layer Security). Standardowo usługa iCloud korzysta z serwerów poczty IMAP, co oznacza, że treść emaili na serwerze pocztowym nie jest zabezpieczona szyfrowaniem przed dostępem samego dostawcy poczty (czyli Apple). Wszystkie programy pocztowe Apple obsługują (opcjonalne) szyfrowanie S/MIME (Secure/Multipurpose Internet Mail Extensions). W zakresie zapewnienia szyfrowania endto-end encryption, w przypadku iCloud Mail obie strony komunikacji muszą dysponować stosownymi certyfikatami i dodatkowym oprogramowaniem. Sam fakt korzystania przez jedną ze stron z iCloud nie zapewnia tego standardu. Ma to znaczenie dla oceny legalności korzystania z iCloud na gruncie RODO. Apple nie zapewnia szyfrowania maili at rest (w spoczynku).
Email jako usługa świadczona drogą elektroniczną
Zgodnie z art. 2 pkt 4 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344) (uśude) poczta elektroniczna jest usługą świadczoną drogą elektroniczną, czyli bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, czyli Internetu.
Natomiast na podstawie art. 3 pkt 2 oraz pkt 6 uśude przepisów uśude nie stosuje się do:
- używania poczty elektronicznej lub innego równorzędnego środka komunikacji elektronicznej między osobami fizycznymi, w celach osobistych niezwiązanych z prowadzoną przez te osoby, chociażby ubocznie, działalnością zarobkową lub wykonywanym przez nie zawodem oraz
- świadczenia usług drogą elektroniczną, jeżeli odbywa się ono w ramach struktury organizacyjnej usługodawcy, przy czym usługa świadczona drogą elektroniczną służy wyłącznie do kierowania pracą lub procesami gospodarczymi tego podmiotu.
Wobec tego świadcząc usługę np. doradczą za pośrednictwem poczty e-mail jesteś zobowiązany posiadać regulamin takiej usługi zgodnie z art. 8 uśude oraz nieodpłatnie udostępnić usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także – na jego żądanie – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca.
Regulamin określa w szczególności:
- rodzaje i zakres usług świadczonych drogą elektroniczną;
- warunki świadczenia usług drogą elektroniczną, w tym:
- wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca;
- zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;
- warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;
- tryb postępowania reklamacyjnego.
Regulamin nie jest wymagany w przypadku komunikacji z pracownikami i współpracownikami oraz komunikacji z klientami w przypadku wykonywania umowy, która nie dotyczy usługi świadczonej drogą elektroniczną.
Podsumowując należy stwierdzić że korzystanie z usług poczty elektronicznej w ofertach biznesowych dostawców Microsoft i Google jest zgodne z prawem i uznawane jako bezpieczne w zakresie przetwarzania danych i informacji poufnych. Jednakże nie zwalnia to z czujności nad zmianami w zakresie regulacji dotyczących przetwarzania danych osobowych oraz informacji przekazywanych bezpośrednio przez administrujące wymienionymi narzędziami korporacje w zakresie sposobu przetwarzania przez nich danych.
W przypadku usługi iCloud Apple należy wskazać, że przetwarzanie danych przez Apple nie odbywa się zgodnie z RODO. Apple przechowuje maile poza EOG a dodatkowo nie stosuje jeszcze aktualnie obowiązujących standardowych klauzul umownych.
We wpisie nie analizowano darmowych usług poczty elektronicznej oferowanych przez te podmioty ze względu na to, że korzystanie z nich jest odradzane wobec wskazywania wprost przez dostawców, że usługi te nie mają zastosowania do użytku komercyjnego oraz użytkownik udziela dostawcy licencji na korzystanie z treści przesyłanych, przechowywanych, czy wysyłanych przy użyciu usług, a licencja obejmuje możliwość używania automatycznych systemów i algorytmów do analizowania treści użytkownika m.in. pod kątem spamu.
Niniejsza publikacja została również opracowana w oparciu o „Księgę bezpieczeństwa w komunikacji elektronicznej w pracy radcy prawnego. Część II” Krajowej Rady Radców Prawnych dostępną pod linkiem https://kirp.pl/czesc-druga-ksiegi-bezpieczenstwa-juz-dostepna/. Jeśli potrzebujesz pomocy w zakresie bezpieczeństwa danych osobowych, zapraszamy do skorzystania z gotowego pakietu RODO i do kontaktu.