Ochrona Danych WG » Zasady korzystania z poczty elektronicznej

Polityka korzystania z poczty elektronicznej

Poczta elektroniczna jest jednym z podstawowych narzędzi komunikacji wykorzystywanych w działalności organizacji. Służy do wymiany informacji, przekazywania dokumentów, kontaktu z pracownikami, klientami, kontrahentami, instytucjami oraz innymi podmiotami. Ze względu na to, że za jej pośrednictwem mogą być przesyłane dane osobowe, informacje poufne, dokumenty służbowe oraz dane dotyczące działalności organizacji, korzystanie z poczty elektronicznej powinno odbywać się zgodnie z określonymi zasadami bezpieczeństwa.

Celem polityki korzystania z poczty elektronicznej jest zapewnienie prawidłowego, bezpiecznego i zgodnego z przepisami wykorzystywania służbowych kont e-mail. Polityka ta powinna ograniczać ryzyko nieuprawnionego ujawnienia danych, utraty informacji, infekcji złośliwym oprogramowaniem, ataków phishingowych, naruszeń ochrony danych osobowych oraz nieuprawnionego dostępu do korespondencji.

Zasady ogólne korzystania z poczty elektronicznej

Służbowa poczta elektroniczna powinna być wykorzystywana przede wszystkim do celów związanych z wykonywaniem obowiązków służbowych. Użytkownik powinien korzystać z konta e-mail w sposób odpowiedzialny, zgodny z przepisami prawa, wewnętrznymi procedurami organizacji, zasadami ochrony danych osobowych oraz zasadami bezpieczeństwa informacji.

Każdy użytkownik powinien posiadać indywidualne konto pocztowe. Zabronione powinno być udostępnianie danych logowania innym osobom, korzystanie z konta innego użytkownika oraz umożliwianie osobom nieuprawnionym dostępu do skrzynki pocztowej. Użytkownik odpowiada za działania wykonywane z wykorzystaniem przydzielonego mu konta, dlatego powinien szczególnie chronić hasło, nie zapisywać go w widocznym miejscu i nie przekazywać go innym osobom.

Dostęp do poczty elektronicznej powinien być zabezpieczony silnym hasłem, a w uzasadnionych przypadkach również uwierzytelnianiem wieloskładnikowym. Hasło powinno być unikalne, trudne do odgadnięcia i nie powinno być wykorzystywane w innych systemach, zwłaszcza prywatnych. W przypadku podejrzenia ujawnienia hasła użytkownik powinien niezwłocznie zmienić hasło oraz zgłosić ten fakt osobie odpowiedzialnej za bezpieczeństwo informatyczne.

Ochrona danych osobowych w korespondencji e-mail

Przesyłanie danych osobowych za pośrednictwem poczty elektronicznej powinno odbywać się wyłącznie wtedy, gdy jest to niezbędne do realizacji określonego celu i zgodne z obowiązującymi przepisami. Przed wysłaniem wiadomości użytkownik powinien upewnić się, że adresat jest uprawniony do otrzymania danych oraz że zakres przesyłanych informacji jest adekwatny i nie wykracza poza to, co konieczne.

Szczególną ostrożność należy zachować przy przesyłaniu danych osobowych, danych szczególnych kategorii, danych finansowych, kadrowych, medycznych, informacji o sytuacji rodzinnej, dokumentów tożsamości, umów, decyzji, zaświadczeń, list obecności, dokumentacji projektowej lub innych informacji poufnych. W takich przypadkach należy rozważyć zastosowanie dodatkowych zabezpieczeń, takich jak szyfrowanie załączników, zabezpieczenie pliku hasłem, przesłanie hasła innym kanałem komunikacji lub wykorzystanie zatwierdzonego systemu do bezpiecznej wymiany dokumentów.

Użytkownik powinien każdorazowo weryfikować poprawność adresu odbiorcy przed wysłaniem wiadomości. Szczególną uwagę należy zwrócić na funkcję autouzupełniania adresów, która może prowadzić do przypadkowego wysłania wiadomości do niewłaściwego adresata. Błędna wysyłka wiadomości zawierającej dane osobowe może stanowić naruszenie ochrony danych osobowych i powinna zostać niezwłocznie zgłoszona zgodnie z procedurą obowiązującą w organizacji.

Zasady wysyłania wiadomości do wielu odbiorców

W przypadku wysyłania wiadomości do wielu odbiorców należy stosować zasadę minimalizacji ujawnianych danych. Jeżeli odbiorcy nie powinni znać swoich adresów e-mail, należy korzystać z pola „UDW” lub „BCC”, a nie z pola „DW” lub „CC”. Ujawnienie adresów e-mail wielu osób nieuprawnionym odbiorcom może zostać uznane za naruszenie ochrony danych osobowych.

Przed wysłaniem wiadomości grupowej należy sprawdzić listę odbiorców, temat wiadomości, treść, załączniki oraz zakres przekazywanych danych. Wiadomości kierowane do większej liczby osób powinny być szczególnie starannie przygotowane, ponieważ ryzyko ujawnienia danych w takich przypadkach jest większe.

Załączniki i przesyłanie dokumentów

Załączniki przesyłane pocztą elektroniczną powinny być ograniczone do dokumentów niezbędnych dla danej sprawy. Użytkownik powinien unikać przesyłania nadmiernego zakresu danych oraz dokumentów zawierających informacje, które nie są potrzebne odbiorcy. Przed wysłaniem załącznika należy upewnić się, że załączono właściwy plik i że nie zawiera on danych ukrytych, nieaktualnych, roboczych komentarzy lub informacji przeznaczonych wyłącznie do użytku wewnętrznego.

W przypadku dokumentów zawierających dane poufne lub wrażliwe zaleca się stosowanie zabezpieczeń, takich jak hasłowanie plików, szyfrowanie, przesyłanie danych przez bezpieczne repozytorium lub korzystanie z systemów obiegu dokumentów. Hasło do zabezpieczonego pliku nie powinno być przesyłane w tej samej wiadomości e-mail co załącznik. Powinno zostać przekazane innym kanałem, np. telefonicznie, SMS-em lub za pośrednictwem zatwierdzonego komunikatora.

Nie należy otwierać załączników pochodzących od nieznanych nadawców, wiadomości wyglądających podejrzanie, zawierających nietypowe rozszerzenia plików albo nakłaniających do natychmiastowego działania. Szczególną ostrożność należy zachować wobec plików wykonywalnych, archiwów, dokumentów z makrami oraz wiadomości podszywających się pod znane instytucje, kontrahentów lub współpracowników.

Ochrona przed phishingiem i złośliwym oprogramowaniem

Użytkownicy poczty elektronicznej powinni zachować ostrożność wobec wiadomości, które mogą stanowić próbę wyłudzenia danych, haseł, środków finansowych lub dostępu do systemów. Ataki phishingowe często wykorzystują presję czasu, fałszywe informacje o blokadzie konta, fakturach, płatnościach, przesyłkach, dopłatach, wezwaniach, aktualizacjach systemu lub pilnych poleceniach służbowych.

Za podejrzane należy uznać w szczególności wiadomości, które:

pochodzą od nieznanego lub nietypowego nadawcy;
zawierają błędy językowe, nietypowy styl albo niezgodny z dotychczasową korespondencją ton;
nakłaniają do kliknięcia linku, pobrania pliku lub podania hasła;
żądają pilnej płatności albo zmiany numeru rachunku bankowego;
zawierają załączniki, których użytkownik się nie spodziewał;
wykorzystują adres łudząco podobny do adresu znanej osoby lub instytucji;
proszą o przekazanie danych osobowych, loginów, haseł lub kodów autoryzacyjnych.

W przypadku otrzymania podejrzanej wiadomości użytkownik nie powinien klikać linków, pobierać załączników ani odpowiadać nadawcy. Wiadomość należy zgłosić do osoby lub jednostki odpowiedzialnej za bezpieczeństwo informatyczne. W razie wątpliwości warto zweryfikować nadawcę innym kanałem komunikacji, np. telefonicznie, korzystając z wcześniej znanego numeru, a nie danych podanych w podejrzanej wiadomości.

Zakaz przesyłania haseł i danych dostępowych

Za pośrednictwem poczty elektronicznej nie należy przesyłać haseł, kodów dostępu, kluczy prywatnych, tokenów, danych logowania ani innych informacji umożliwiających dostęp do systemów. Jeżeli przekazanie danych dostępowych jest niezbędne, powinno odbywać się zgodnie z zatwierdzoną procedurą bezpieczeństwa, z wykorzystaniem bezpiecznych kanałów komunikacji lub narzędzi przeznaczonych do zarządzania dostępami.

Użytkownik nie powinien odpowiadać na wiadomości e-mail zawierające prośby o podanie hasła, nawet jeżeli wyglądają na pochodzące od administratora systemu, dostawcy usługi, banku, instytucji publicznej lub przełożonego. Legalnie działające podmioty nie powinny żądać przekazania hasła w wiadomości e-mail.

Korzystanie z poczty prywatnej i przekierowywanie wiadomości

Dane służbowe, dane osobowe oraz dokumenty organizacji nie powinny być przesyłane na prywatne konta pocztowe użytkowników ani przechowywane w prywatnych skrzynkach e-mail. Korzystanie z prywatnej poczty do celów służbowych może prowadzić do utraty kontroli nad danymi, naruszenia poufności, trudności w realizacji praw osób, których dane dotyczą, oraz problemów z zapewnieniem zgodności z RODO.

Zabronione powinno być automatyczne przekierowywanie służbowej korespondencji na prywatne adresy e-mail lub do nieautoryzowanych usług zewnętrznych. Jeżeli użytkownik potrzebuje dostępu do poczty poza miejscem pracy, powinien korzystać wyłącznie z rozwiązań zatwierdzonych przez organizację, takich jak bezpieczny dostęp zdalny, służbowe urządzenie, VPN, poczta przez przeglądarkę z uwierzytelnianiem wieloskładnikowym lub inne dopuszczone narzędzia.

Kultura korespondencji i poufność informacji

Korespondencja elektroniczna powinna być prowadzona w sposób profesjonalny, rzeczowy i zgodny z zasadami kultury organizacyjnej. Wiadomości służbowe powinny zawierać jasny temat, zrozumiałą treść, właściwych adresatów oraz podpis umożliwiający identyfikację nadawcy. Należy unikać przesyłania treści obraźliwych, dyskryminujących, niezgodnych z prawem, naruszających dobra osobiste lub godzących w dobre imię organizacji.

Użytkownik powinien pamiętać, że wiadomość e-mail może stanowić dokument potwierdzający określone działania, ustalenia lub decyzje. Dlatego przed wysłaniem wiadomości należy upewnić się, że jej treść jest poprawna, zgodna z faktami, nie narusza poufności i nie zawiera informacji, które nie powinny zostać ujawnione odbiorcy.

Retencja, archiwizacja i usuwanie korespondencji

Organizacja powinna określić zasady przechowywania, archiwizacji i usuwania korespondencji e-mail. Wiadomości zawierające dane osobowe powinny być przechowywane nie dłużej, niż jest to niezbędne do realizacji celu, w którym zostały zgromadzone, chyba że przepisy prawa lub uzasadnione potrzeby organizacji wymagają ich dalszego przechowywania.

Użytkownicy nie powinni przechowywać w skrzynkach pocztowych nadmiernej liczby wiadomości, kopii dokumentów, danych nieaktualnych lub informacji, które nie są już potrzebne. W miarę możliwości dokumenty istotne dla działalności organizacji powinny być zapisywane w zatwierdzonych systemach lub repozytoriach, a nie wyłącznie w indywidualnych skrzynkach pocztowych pracowników.

Usuwanie korespondencji powinno odbywać się zgodnie z przyjętymi zasadami retencji, z uwzględnieniem obowiązków prawnych, potrzeb dowodowych, wymogów archiwizacyjnych oraz zasad ochrony danych osobowych.

Monitoring i kontrola poczty elektronicznej

Organizacja może określić zasady monitorowania korzystania ze służbowej poczty elektronicznej, jeżeli jest to niezbędne do zapewnienia organizacji pracy, ochrony informacji, bezpieczeństwa systemów, kontroli prawidłowego wykorzystywania narzędzi służbowych lub ochrony interesów pracodawcy. Monitoring powinien być prowadzony zgodnie z przepisami prawa, w sposób proporcjonalny, przejrzysty i nienaruszający nadmiernie prywatności użytkowników.

Użytkownicy powinni być poinformowani o zakresie, celu i zasadach ewentualnego monitorowania poczty służbowej. Organizacja powinna jasno określić, czy dopuszcza korzystanie z poczty służbowej do celów prywatnych, a jeżeli tak — w jakim zakresie. Brak jasnych zasad w tym obszarze może prowadzić do sporów, naruszeń prywatności oraz trudności w zarządzaniu bezpieczeństwem informacji.

Obowiązki użytkownika

Każdy użytkownik korzystający ze służbowej poczty elektronicznej powinien w szczególności:

chronić dane logowania do skrzynki pocztowej;
stosować silne i unikalne hasła;
nie udostępniać konta innym osobom;
weryfikować adresatów przed wysłaniem wiadomości;
ograniczać zakres przesyłanych danych do niezbędnego minimum;
stosować zabezpieczenia przy przesyłaniu danych poufnych;
nie otwierać podejrzanych linków i załączników;
nie przesyłać danych służbowych na prywatne konta pocztowe;
nie przekazywać haseł i danych dostępowych przez e-mail;
zgłaszać podejrzane wiadomości, błędne wysyłki i incydenty;
przestrzegać zasad retencji i archiwizacji korespondencji;
korzystać z poczty w sposób zgodny z jej przeznaczeniem.

Obowiązki organizacji

Organizacja jako administrator danych lub podmiot odpowiedzialny za bezpieczeństwo informacji powinna zapewnić odpowiednie warunki techniczne i organizacyjne do bezpiecznego korzystania z poczty elektronicznej. Obejmuje to w szczególności wdrożenie systemów antyspamowych i antywirusowych, ochronę przed phishingiem, mechanizmy uwierzytelniania, szyfrowanie transmisji, kopie zapasowe, zarządzanie dostępem, procedury reagowania na incydenty oraz szkolenia użytkowników.

Organizacja powinna również określić zasady tworzenia kont, nadawania i odbierania uprawnień, dostępu do poczty po ustaniu zatrudnienia, archiwizacji korespondencji, obsługi nieobecności pracowników, przekierowań, podpisów e-mail, wysyłki masowej oraz korzystania z urządzeń mobilnych. Istotne jest również okresowe weryfikowanie skuteczności zabezpieczeń oraz aktualizowanie polityki w przypadku zmian organizacyjnych, technologicznych lub prawnych.

Postępowanie w przypadku incydentu

Każdy przypadek podejrzenia naruszenia bezpieczeństwa poczty elektronicznej powinien zostać niezwłocznie zgłoszony zgodnie z obowiązującą procedurą. Dotyczy to w szczególności sytuacji takich jak wysłanie wiadomości do niewłaściwego adresata, otrzymanie podejrzanego załącznika, kliknięcie w podejrzany link, ujawnienie hasła, przejęcie konta, utrata urządzenia z dostępem do poczty lub podejrzenie, że osoba nieuprawniona uzyskała dostęp do korespondencji.

Po zgłoszeniu incydentu organizacja powinna dokonać jego oceny, ustalić zakres danych objętych zdarzeniem, podjąć działania ograniczające skutki, zabezpieczyć dowody oraz ocenić, czy zdarzenie stanowi naruszenie ochrony danych osobowych wymagające zgłoszenia do organu nadzorczego lub poinformowania osób, których dane dotyczą.

Podsumowanie

Polityka korzystania z poczty elektronicznej jest ważnym elementem systemu bezpieczeństwa informacji i ochrony danych osobowych. Poczta e-mail, mimo swojej powszechności, pozostaje jednym z najczęstszych źródeł incydentów, takich jak phishing, błędna wysyłka danych, nieuprawnione ujawnienie informacji, infekcja złośliwym oprogramowaniem czy przejęcie konta użytkownika.

Bezpieczne korzystanie z poczty wymaga połączenia odpowiednich rozwiązań technicznych, jasnych procedur organizacyjnych oraz świadomego zachowania użytkowników. Każda osoba korzystająca ze służbowego konta e-mail powinna znać zasady ochrony danych, weryfikować adresatów, ostrożnie obchodzić się z załącznikami, chronić hasła i niezwłocznie zgłaszać wszelkie podejrzane zdarzenia.

Prawidłowo wdrożona polityka korzystania z poczty elektronicznej ogranicza ryzyko naruszeń, wspiera zgodność z RODO, chroni informacje poufne oraz wzmacnia bezpieczeństwo całej organizacji.