Jesteś Administratorem danych (dalej Administrator) lub przetwarzasz dane osobowe na jego polecenie? Pamiętaj, przesyłając dane osobowe drogą elektroniczną zawsze musisz zapewnić ich poufność, integralność, autentyczność.
Odpowiednie zabezpieczenie danych osobowych czy też innych informacji prawnie chronionych, w tym ważnych i poufnych dla organizacji, to kwestia, która wciąż budzi liczne pytania. Zwłaszcza, gdy mówimy o przesyłaniu danych przy użyciu poczty elektronicznej.
W obecnej rzeczywistości, czyli walki z pandemią koronawirusa, organizacje przenoszą swoją aktywność do internetu. Znacznie wzrosła ilość spraw i informacji przekazywanych za pomocą poczty elektronicznej, a nie każdy był odpowiednio przygotowany pod względem organizacyjnym i technicznym do wykorzystywania tych narzędzi, jako narzędzi do poufnej komunikacji, zarówno wewnątrz organizacji, a także z podmiotami zewnętrznymi czy klientami.
Wiele standardowych i powszechnie używanych narzędzi programowych wykorzystywanych do wysyłania i odbierania poczty elektronicznej, nie gwarantuje zapewnienia tych wskazanych na wstępie podstawowych atrybutów bezpieczeństwa. Nie ma wątpliwości, że ustalenie określonych zasad i środków w tym zakresie jest niezbędne z punktu widzenia Ogólnego Rozporządzenia o Ochronie Danych (RODO).
W kontekście danych osobowych należy tutaj wziąć pod uwagę obowiązki, które zostały nałożone na Administratora, który przetwarza dane osobowe. Obowiązki Administratora dla zapewnienia bezpieczeństwa zostały przedstawione w art. 32 RODO.
Zgodnie z powyższym przepisem uwzględniając zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, zdolność do szybkiego przywrócenia dostępności danych osobowych, a także regularne testowanie, mierzenie i ocenianie skuteczności tych środków.
Co ważne, Administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem wynikającym z przypadkowego lub niezgodnego z prawem zniszczenia, utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Przepis oczywiście nie odpowiada na pytanie jak to bezpieczeństwo osiągnąć. Rolą Administratora jest, aby odpowiednie środki wdrożyć. Niemniej, pewne wskazówki znajdziemy w art. 32. Mowa tam między innymi o szyfrowaniu danych.
Rolę szyfrowania podkreśla również przy wielu okazjach nasz Organ Nadzorczy. Dla przykładu Urząd Ochrony Danych Osobowych w opublikowanych wytycznych, dotyczących bezpieczeństwa danych w trakcie pracy zdalnej https://uodo.gov.pl/pl/138/1459, zwraca uwagę na szyfrowanie przesyłanych e-maili.
W przypadku poczty elektronicznej zapewnienie poufności najprościej można uzyskać poprzez szyfrowanie przekazywanych informacji. Szyfrowanie jest przy tym jedną z najbardziej efektywnych metod zapewnienia poufności. Nie wymaga ona bowiem podejmowania żadnych dodatkowych działań związanych z zabezpieczaniem kanałów komunikacyjnych, serwerów pocztowych i innych serwerów pośredniczących w przekazywaniu informacji. W metodzie tej informacja przed wysłaniem zostaje zaszyfrowana i w takiej postaci trafia do odbiorcy. Przechwycenie jej podczas teletransmisji, jak również odczyt z serwerów pocztowych nadawcy i odbiorcy nie stwarza zagrożenia jej ujawnienia, gdyż jest ona zaszyfrowana. Jest to szczególnie ważne w obecnej sytuacji związanej z zagrożeniem epidemicznym, gdzie nie mamy wiele czasu na wprowadzenie bardziej skomplikowanych i często drogich rozwiązań, a praca zdalna musi być realizowana. To rozwiązanie będzie skuteczne jednak pod pewnymi warunkami.
Po pierwsze musimy ustalić z odbiorcą informacji dodatkowy bezpieczny kanał za pomocą, którego przekażemy klucz do odszyfrowania pliku, czyli mówiąc wprost, jak wyślemy hasło. Jest oczywistym, że metoda nie zadziała, jeżeli wraz z zaszyfrowaną informacją wyślemy hasło do jej odszyfrowania. Dlatego hasło powinno być dostarczone innym kanałem, np. wysłane za pomocą wiadomości sms lub podczas rozmowy telefonicznej.
Drugą ważną kwestią jest sama budowa hasła, przy jego tworzeniu należy uwzględnić odpowiednią złożoność hasła tak, aby jego złamanie było względnie niemożliwe.
Kilka praktycznych wskazówek odnośnie tworzenia haseł, jakie można zastosować:
- łączyć ze sobą dwa słowa, używając jako łącznika dowolnego symbolu, np. CzeRwoNy^GarNek.
- wplatać w hasło znaki specjalne (tj.: !@#$%)
- łączyć i przeplatać znaki dwóch słów, stosując przy tym duże i małe litery, np. czerwony garnek = CeZwRnOyGraEnK12
- tworzyć hasło z błędną pisownią (bądź przy tym konsekwentny), np. mózg = MuSk!
- przeplatać litery dowolnego wyrazu z cyframi, np. flash 9708 = f9L7a0s8H
- stosować duże litery w niekonwencjonalnych miejscach, np. !waRszAwa?
- tworzyć hasło jako zlepek pierwszych liter wyrazów tworzących dłuższą frazę, np. MtRdM! (od: mamy tego roku deszczowy maj)
- zastępować litery cyframi – E=3, A=4, T=7 itd., np. K4$74 (od: kasta)
Ważne jest również, aby hasła nie były powszechnie używanymi słowami.
W szczególności, nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów itp. Hasło złożone np. z samych cyfr nawet, jeżeli będzie to ciąg kilkunastu cyfr będzie słabym hasałem, łatwym do rozszyfrowania dla potencjalnego napastnika posiadającego odpowiednie narzędzia i wiedzę informatyczną.
Ale w praktyce jak to zrobić? Jak zaszyfrować? Co może zrobić osoba dysponująca komputerem ze standardowym oprogramowaniem biurowym? Przykładem takiego prostego rozwiązania jest program kompresujący 7-Zip, dostępny nieodpłatnie w ramach licencji Open Source. Umożliwia on tworzenie plików zawierających zaszyfrowane informacje. Odbiorca takiego pliku, aby odczytać zaszyfrowane w nim informacje potrzebuje posiadać zainstalowane oprogramowanie 7zip (lub inne oprogramowanie stosowane do kompresji plików) oraz otrzymane od nas hasło.
Co należy po kolei wykonać w programie 7zip po jego zainstalowaniu. Odnalezienie programu w internecie oraz instalacja nie powinno być żadnym problemem. Jeżeli twój administrator systemów ograniczył Ci możliwość instalowania oprogramowania… to dobrze, chroni to system informatyczny organizacji przed potencjalnie niebezpiecznym oprogramowaniem, które nieświadomy użytkownik instaluje na swoim komputerze. Będziesz musiał się z nim skontaktować i poprosić o zainstalowanie programu. Co dalej:
1. Klikamy prawym przyciskiem myszy na plik lub folder, który chcemy zabezpieczyć hasłem i wysłać jako załącznik. Wybieramy najpierw polecenie 7-Zip, a następnie Skompresuj i wyślij e-mailem
2. Klikamy Przeglądaj… i w nowym oknie wskazujemy, gdzie na dysku twardym oraz pod jaką nazwą ma zostać zachowany skompresowany plik zabezpieczony hasłem.
3. Następnie w pola Wprowadź hasło i Wprowadź ponownie hasło wpisujemy dwa razy to samo hasło, które ma chronić dokument. Pamiętajmy, aby hasło było trudne do odgadnięcia, w tym celu skorzystaj ze wskazówek powyżej.
4. Odbiorca otrzyma e-maila z skompresowanym plikiem załącznika. Po zapisaniu go, podczas próby otworzenia folderu chronionego hasłem otrzyma komunikat o konieczności podania hasła. Po jego wprowadzeniu plik zostanie odszyfrowany.
Jak widać cały proces nie jest skomplikowany, nie potrzeba do tego fachowej wiedzy oraz dedykowanych urządzeń, a bezpieczeństwo danych osobowych, jakie w ten sposób zapewniamy jest nieporównywalnie większe, niż wysłanie otwartej wiadomości nawet, jeżeli dokładamy wszelkiej staranności, aby e-mail był właściwie zaadresowany, a odbiorca został pouczony o konieczności zachowania środków bezpieczeństwa.
Poruszając temat korzystania z poczty elektronicznej do przesyłania danych osobowych, nie można również pominąć ważnej kwestii, jaką jest wykazanie się starannością przy wyborze dostawcy usługi pocztowej. Za złą praktykę należy uznać np. wykorzystywanie do takiej wymiany danych, adresów domeny o prywatnym charakterze, udostępnianych przez podmioty świadczące bezpłatne usługi poczty elektronicznej, jak np. darmowe skrzynki gmail, onet, wp, interia itp. To w szczególności dotyczy podmiotów publicznych i realizujących zadania publiczne, korzystanie przez nie z takich rozwiązań, może budzić wątpliwości, co do tożsamości nadawcy i jej autentyczności oraz obniża zaufanie do instytucji. Prywatne organizacje, którym zależy na profesjonalnym wizerunku i większym poziomie bezpieczeństwa, powinny również korzystać z adresów, które w miarę możliwości identyfikują nadawcę po składni samego adresu.
Nie wspomnę tutaj nawet o wykorzystywaniu prywatnej poczty pracownika. Jest to absolutnie niedopuszczalne i powinno być wyraźnie wskazane w procedurach wykonywania pracy zdalnej.
Ale to nie wszystko, przesyłając dane osobowe za pośrednictwem poczty elektronicznej, powierzamy ich przetwarzanie dostawcy tej usługi. W ramach takiej usługi, jej dostawca, ma potencjalne możliwości zapoznania się z ich treścią, a na pewno przetwarza dane poprzez czynność ich przechowywania czy pośredniczeniu w przesyłaniu, co w przypadku danych osobowych, wymaga zawarcia umowy powierzenia danych.
Administrator decydując się na wybór określonego dostawcy usługi, powinien zapewnić sobie możliwość decydowania o kształcie oraz formie takiej umowy, aby mieć możliwość dochodzenia swoich praw jako Administrator wobec dostawcy (procesora), na wypadek niedotrzymania warunków umowy w szczególności nie zachowania środków bezpieczeństwa o których mowa w art. 32 RODO. Rozwiązania, dla konsumentów indywidualnych, o których wspomniano powyżej nie zawsze mogą to nam zagwarantować, a na pewno w znacznym stopniu utrudnić.
Mam nadzieję, że powyższe wskazówki przyczynią się do podniesienia standardów ochrony danych w Państwa organizacji.
Pamiętaj, jeżeli jesteś Administratorem danych, to Ty odpowiadasz za dane. Jeżeli podczas przesyłania utracą one swoją poufność, integralność lub autentyczność i to niezależnie od zaniechań odbiorcy czy dostawcy usługi pocztowej, to Ty będziesz za to odpowiadał. Dlatego Twoim nie tylko prawem ale i obowiązkiem jest wymagać stosowania bezpiecznych rozwiązań przez Twoich pracowników czy podwykonawców, którym powierzasz przetwarzanie danych. Korzystając z powyższych prostych rozwiązań zapewniasz swoim pracownikom bezpieczne metody korzystania z poczty elektronicznej i zabezpieczasz się poprzez możliwość udowodnienia przed Organem Nadzorczym podjęcia rozsądnych i adekwatnych środków bezpieczeństwa, których wymaga od Ciebie jako Administratora danych RODO.
Autor: Piotr Kropidłowski, Inspektor Ochrony Danych, Kierownik Projektu w CompNet Sp. z o.o.
© Copyright by CompNet Sp. z o. o.