Wczytywanie...

Blog

Bezpieczeństwo danych osobowych a korzystanie z poczty e-mail. Wnioski z Księgi Bezpieczeństwa Komunikacji Elektronicznej w Pracy Radcy Prawnego (cz. 2)

Niedawno, 10.10.2020 r. opublikowana została Księga Bezpieczeństwa Komunikacji Elektronicznej w Pracy Radcy Prawnego (cz. 2) poświęcona zagadnieniu bezpieczeństwa korzystania z popularnych usług poczty elektronicznej oraz usług chmurowych.

 

Księga kierowana jest bezpośrednio do radców prawnych, szczególnie w kontekście zachowania poufności świadczonej przez nich pomocy prawnej, jednak wyniki badania zawarte w Księdze będą bardzo przydatne dla wszystkich użytkowników analizowanych narzędzi. Wśród nich z pewnością jest także sporo naszych Klientów, dlatego polecamy to opracowanie Państwa uwadze. Link do księgi na końcu tego wpisu, natomiast poniżej krótkie podsumowanie dotyczące usług poczty elektronicznej, dla wszystkich tych, którzy nie znajdą czasu na spokojne i wspomagane dobrą kawą przejście przez ten, bądź co bądź, dość opasły dokument.

 

Księga omawia trzy usługi: Exchange Online w ramach Microsoft 365, Gmail w ramach G-Suite oraz iCloud Mail w ramach Apple Business Manager.

 

Warunkiem wstępnym dla zgodnego z prawem korzystania z wszystkich tych usług przez radcę prawnego (a w domyśle także innego przedsiębiorcę) jest wykupienie ich wersji biznesowych i zawarcie umów powierzenia przetwarzania z dostawcą. Wszystkie usługi zapewniają wysoki poziom bezpieczeństwa pod względem technicznym (poufność i ciągłość).

 

Exchange Online

  • Uznaje siebie za podmiot przetwarzający w zakresie „kontentu” usługi (w tym treści maili) oraz za administratora danych w zakresie tzw. danych technicznych (tj. IP, lokalizacja, sprzęt, natężenie ruchu, anomalie) a także podstawowych danych użytkownika, co jest prawidłową konstrukcją,
  • Umowa powierzenia przetwarzania – dodatek do umowy o świadczenie usług: DPA Microsoft, nie trzeba podejmować dodatkowych działań w celu przyjęcia; warunki umowy zgodne z RODO;
  • Obszar przetwarzania danych – kontent europejskich użytkowników przetwarzany jest w europejskich centrach danych, tj. brak przesyłania danych do państwa trzeciego; dane techniczne i dane o użytkowniku są przesyłane do USA na podstawie standardowych klauzul umownych, jednak, biorąc pod uwagę zakres i charakter tych danych, klauzule wydają się tutaj wystarczającą ochroną;
 

Gmail

  • Uznaje siebie za podmiot przetwarzający w zakresie wszystkich danych; nie jest to prawidłowe w odniesieniu do danych technicznych i podstawowych danych użytkownika, ale samo to podejście nie dyskwalifikuje tego dostawcy;
  • Umowa powierzenia przetwarzania – aneks o przetwarzaniu danych osobowych Google DPA i standardowe klauzule umowne SCC; dokumenty wymagają osobnego przyjęcia; zasadniczo są zgodne z RODO, choć niektóre punkty mogą budzić wątpliwości interpretacyjne;
  • Obszar przetwarzania danych – w droższych wersjach G Suite Business lub G Suite Enterprise można dokonać wyboru regionu przetwarzania kontentu (Europa, USA); należy dokonać tego wyboru, tak aby dane nie były przetwarzane w państwie trzecim; dane techniczne i dane o użytkowniku przesyłane są do USA na podstawie standardowych klauzul umownych, jednak biorąc pod uwagę zakres i charakter tych danych klauzule wydają się tutaj wystarczającą ochroną;
 

iCloud Mail

  • Uznaje siebie za podmiot przetwarzający w zakresie treści maili oraz za administratora danych w zakresie tzw. danych technicznych, a także podstawowych danych użytkownika, co jest prawidłową konstrukcją; niezależnie od tego Apple przyznaje sobie jednak szerokie prawo administrowania nawet danymi powierzonymi (kontentem) - dla celów bezpieczeństwa i egzekwowania umów z Apple;
  • Umowa powierzenia przetwarzania – w ramach umowy o świadczenie usług; nie trzeba podejmować dodatkowych działań w celu przyjęcia, ale też brak wyodrębnionego dokumentu DPA, co może budzić wątpliwości; warunki umowy nie we wszystkich aspektach zgodne z RODO;
  • Obszar przetwarzania danych – nie jest określony precyzyjnie, a Apple może przekazywać dane do państw trzecich.
 

Podsumowując, Exchange Online i Gmail, przy zachowaniu powyższych założeń, są uznane za bezpieczne i odpowiednie do świadczenia usług przez radcę prawnego, przy czym wykazanie zgodności jest łatwiejsze w przypadku tej pierwszej usługi. Natomiast iCloud Mail, mimo reputacji największej dbałości o bezpieczeństwo danych i zapewniania wysokiej jakości zabezpieczeń technicznych, nie może być uznane za zgodne z RODO z uwagi na niektóre warunki świadczenia tej usługi.

 

https://kirp.pl/wp-content/uploads/2020/10/ksiega-bezpieczenstwa-2.pdf

Powrót