Szanowni Państwo
Oddajemy w Państwa ręce newsletter, w którym zwracamy uwagę na temat poruszany przez Prezesa UODO w najnowszym Biuletynie UODO (nr 4/2026), a dotyczący przetwarzania danych osobowych w ramach poczty e-mail: wymogów i zagrożeń z tym związanych.
Z rekomendacji Prezesa UODO wynika, że:
- Co do czynności przetwarzania danych osobowych w ramach poczty e-mail/elektronicznej należy przeprowadzić analizę ryzyka i tam gdzie to konieczne – ocenę skutków dla ochrony danych.
Prezes UODO zwraca uwagę, że organizacje powinny dokonywać regularnego przeglądu procesów biznesowych opartych na komunikacji elektronicznej, co pozwoli to na identyfikację miejsc, w których dane mogą być narażone na zagrożenia, takie jak np. nieautoryzowany dostęp lub przypadkowe ujawnienie. W Biuletynie czytamy, że „Wykorzystywanie poczty elektronicznej do przesyłania danych osobowych wiąże się ze specyficznymi zagrożeniami, które administrator musi zidentyfikować, aby skutecznie zminimalizować prawdopodobieństwo ich wystąpienia oraz ograniczyć ich potencjalne skutki.”
- Skrzynki mailowej nie należy traktować jako archiwum i po zakończeniu realizacji celu przetwarzania danych osobowych, należy je z tej skrzynki usunąć – zgodnie z zasadą retencji danych.
Prezes UODO wskazał, że na podstawie analizy naruszeń ochrony danych osobowych można postawić tezę, że wiele podmiotów traktuje skrzynki poczty elektronicznej jako archiwa dokumentów i informacji. Zaś poczta elektroniczna powinna służyć do bieżącej komunikacji, a nie do długoterminowego przechowywania danych – należy mieć na uwadze również kwestie bezpieczeństwa danych w kontekście np. lokalizacji serwerów czy korzystania z chmury, na którym/w której wszystkie te „zarchiwizowane” w ten sposób dane będą się znajdowały. Prezes UODO wskazuje: „Dane przetwarzane za pośrednictwem poczty elektronicznej muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania. W związku z tym niezbędne jest określenie i wdrożenie polityki retencji danych, a następnie regularna weryfikacja jej przestrzegania. Brak polityki retencji lub jej nieprzestrzeganie prowadzi do przechowywania wiadomości bez podstawy prawnej, co narusza zasady określone w art. 5 RODO. Poza aspektem prawnym istotny jest również wymiar biznesowy: przechowywanie zbędnej korespondencji generuje dodatkowe koszty operacyjne związane z utrzymaniem zasobów serwerowych, które nie przekładają się na żadną wartość dla organizacji.”
Mając na uwadze powyższe, rekomendujemy zweryfikowanie, czy w Państwa organizacji została przeprowadzona analiza ryzyka (i ewentualnie ocena skutków dla ochrony danych) w zakresie czynności przetwarzania danych osobowych w ramach poczty elektronicznej albo czy ta posiadana przez Państwa nie wymaga uaktualnienia o kwestie aktualnych zagrożeń. Jak również, czy posiadacie Państwo politykę retencji danych i czy stosujecie ją w praktyce do zasobów znajdujących się na poczcie elektronicznej.
Poniżej prezentujemy również wyciąg z Biuletynu UODO nr 4/2026 w zakresie dobrych praktyk w ramach użytkowania poczty elektronicznej i ochrony danych się w niej znajdujących (warto zweryfikować czy stosujecie je Państwo u siebie – i zacząć stosować – oraz uwzględnić w analizie ryzyka):
„Mając świadomość zagrożeń, należy podejmować działania minimalizujące ryzyko ich materializacji. Kluczowym krokiem jest uwzględnienie tych scenariuszy w analizie ryzyka oraz wdrożenie poniższych środków kontrolnych:
1. Budowanie świadomości
Regularna edukacja to pierwsza linia obrony. Oto środki, które warto wdrożyć w tym zakresie.
• Cykliczne szkolenia: powinny bazować na aktualnych trendach (np. socjotechnika, vishing) i opisywać rzeczywiste przypadki naruszeń, z którymi pracownik może zetknąć się w codziennej pracy.
• Symulacje ataków: warto aktywnie weryfikować wiedzę poprzez kontrolowane kampanie phishingowe. Pozwala to zidentyfikować „słabe punkty” i dopasować program szkoleniowy do realnych potrzeb.
2. Uwierzytelnianie wieloskładnikowe (MFA)
Wdrożenie dodatkowego składnika uwierzytelniającego sprawia, że samo przejęcie loginu i hasła nie wystarczy do włamania.
• Zasada „coś wiesz i coś masz”: nawet jeśli hasło wycieknie, cyberprzestępca nie uzyska dostępu bez dodatkowego „sekretu” (np. kodu z aplikacji, klucza sprzętowego czy powiadomienia „push”).
• Prewencja zamiast reakcji: MFA powinno być standardem od samego początku, a nie funkcjonalnością włączaną dopiero po wykryciu incydentu.
3. Dostęp warunkowy
Ograniczenie powierzchni ataku poprzez restrykcje lokalizacyjne.
• Białe listy IP: tam, gdzie to możliwe, dostęp do systemów pocztowych i administracyjnych powinien być ograniczony do firmowych adresów IP.
• Ograniczenia geograficzne: jeśli organizacja nie prowadzi operacji w egzotycznych regionach świata (tj. poza EOG), warto zablokować możliwość logowania z tych lokalizacji. Większość przejętych kont jest wykorzystywana do masowej wysyłki spamu właśnie z serwerów zlokalizowanych w odległych państwach.
4. Ochrona przed atakami siłowymi (Brute Force)
Automatyczne mechanizmy blokujące próby siłowego odgadnięcia hasła. Warto rozważyć wdrożenie m.in. następujących rozwiązań:
• Limity prób logowania: System powinien automatycznie blokować konto (tymczasowo lub do interwencji administratora) po określonej liczbie nieudanych prób logowania.
• Monitorowanie logów: Analiza nieudanych logowań pozwala na wczesne wykrycie trwającego ataku na infrastrukturę organizacji.
(…)
Wdrożenie odpowiednich nawyków oraz standardów technicznych pozwala niemal całkowicie wyeliminować ryzyko naruszenia ochrony danych, nawet w przypadku pomyłki adresata. Poniższe zasady stanowią fundament kultury bezpieczeństwa w organizacji, łącząc proste rytuały uważności z profesjonalnymi mechanizmami ochrony poufności przesyłanych informacji.
1. Szyfrowanie załączników jako fundament poufności
Szyfrowanie minimalizuje skutki ewentualnego naruszenia, ponieważ uniemożliwia osobom nieuprawnionym dostęp do treści.
• Szyfrowanie pełni funkcję warstwy ochronnej — zabezpiecza dane zarówno przed błędnym adresatem, jak i przed dostępem podmiotów pośredniczących.
• Standardy haseł: Zgodnie z międzynarodowymi normami (np. ISO/IEC 27002) hasła nie mogą zawierać informacji łatwych do powiązania z użytkownikiem. Ponadto numer PESEL nie spełnia kryteriów silnego hasła ze względu na niską entropię. Ma stałą długość (11 cyfr) i przewidywalną strukturę — pierwszych sześć cyfr to data urodzenia, a pozostałe są generowane według znanych reguł. To sprawia, że liczba możliwych kombinacji jest ograniczona i podatna na ataki siłowe.
• Zasada dwóch kanałów: Hasło do zaszyfrowanego pliku nigdy nie powinno być przesyłane w tej samej wiadomości co załącznik. Prawidłowa procedura zakłada przekazanie hasła innym kanałem komunikacji (np. SMS, telefon, bezpieczny komunikator).
2. Weryfikacja przedwysyłkowa (Rytuały uważności)
Mechanizmy kontrolne mające na celu przełamanie rutyny i automatyzmów, które są najczęstszą przyczyną incydentów typu „błąd ludzki”.
• Reguła 3 sekund: Tuż przed kliknięciem przycisku „Wyślij” należy zatrzymać się i ponownie zweryfikować pole adresata. To kluczowy moment na sprawdzenie, czy mechanizm autouzupełniania nie zasugerował błędnej osoby o podobnym nazwisku.
• Test otwartego załącznika: Dobrym nawykiem jest otwarcie pliku na moment tuż przed jego dołączeniem do wiadomości. Pozwala to na ostateczne upewnienie się, że przesyłamy właściwy dokument z danymi osoby, do której faktycznie kierujemy wiadomość.
• Odpowiedzialność nadawcy: Należy przyjąć zasadę ograniczonego zaufania do algorytmów programu pocztowego. System jest jedynie narzędziem wspomagającym, a ostateczna odpowiedzialność za poufność przesyłanych danych spoczywa na pracowniku wysyłającym wiadomość.
3. Ochrona tożsamości zbiorowej (Zasada UDW)
Stosowanie pola UDW przy wysyłkach masowych jest konieczne, ponieważ ujawnienie listy odbiorców może naruszać zasadę poufności wynikającą z RODO.
• Poufność kontekstowa: Sam fakt figurowania adresu na określonej liście (np. „Grupa wsparcia X”, „Dłużnicy Y”) ujawnia wrażliwe informacje o sytuacji życiowej odbiorcy. Stosowanie pola UDW (Ukryta Do Wiadomości) chroni te informacje przed nieuprawnionym wglądem pozostałych uczestników korespondencji.”
W razie potrzeby służymy wsparciem.
Pozostajemy z uszanowaniem
Zespół Kancelarii Kulczycki, Puławska s. c.