Poczta dla firm a RODO. Ochroń swój biznes przed karami!
Posiadając firmową skrzynkę pocztową, musisz się liczyć z obowiązkami, jakie nakłada na Ciebie RODO. Kary za niestosowanie się do przepisów są tak wysokie, że dla niektórych firm może to być pocałunek śmierci. Co zrobić, aby ustrzec się przed karami? Jak niskim kosztem zapewnić sobie pełną zgodność z RODO korzystając z takich usług jak poczta dla firm? Odpowiedź znajdziesz w artykule.
Przy zakupie takiego produktu jak poczta dla firm, warto na początek zweryfikować, czy usługodawca oferuje tzw. umowę o powierzeniu danych osobowych. Podpisanie takiej umowy zdejmuje z Ciebie szereg obowiązków związanych z przetwarzaniem i przechowywaniem danych zgodnie z RODO. To ogromna oszczędność m.in. na kosztach modyfikacji usług pod RODO przez zewnętrznych specjalistów.
Niestety dość często w ramach oszczędności, firmy zakładają skrzynki w darmowych usługach, przeznaczonych dla osób prywatnych (np. darmowa poczta gmail, onet itp.). To zrozumiałe — darmowa poczta oferuje funkcje, które wydają się wystarczające dla początkującego biznesu. Problem w tym, że żaden usługodawca darmowej skrzynki pocztowej nie podpisze z Tobą umowy o powierzeniu danych osobowych, tak, więc jeśli komunikujesz się ze swoimi klientami poprzez darmową skrzynkę, łamiesz przepisy RODO. W tym punkcie warto się zastanowić, co wyjdzie taniej - profesjonalna poczta dla firm z umową o powierzeniu danych czy kara za nieprzestrzeganie przepisów RODO (które notabene są bardzo wysokie).
Zakładając konto w Interia Pakiet dla Firm, jednocześnie podpisujesz taką umowę, dzięki czemu masz pewność, że wszystkie informacje i dane, które są przetwarzane na skrzynkach e-mail Twoich i pracowników, są przechowywane zgodnie z prawem. Roczny koszt Pakietu wynosi 9 zł brutto, a przedłużenie — odpowiednio 39 zł (poczta bez własnej domeny) oraz 99 zł (poczta z domeną).
Wśród specjalistów od RODO toczą się dyskusje czy adres e-mail powinien być traktowany, jako dana osobowa, czy nie. Odpowiedź brzmi: to zależy. Przede wszystkim, musisz odpowiedzieć sobie na pytanie, czy ta informacja w sposób łatwy i przy niskim koszcie umożliwia Ci identyfikację danej osoby.
Weźmy dwa przykłady.
Mamy Panią Barbarę Nowak, która na co dzień posługuje się adresem mailowym bacha1985@interia.pl. Używa go, robiąc zakupy w sieci, logując się do swojego konta bankowego itp. Czy po tym adresie e-mail możemy zidentyfikować Panią Barbarę? Nie bardzo. Przede wszystkim, bacha1985 nie pozwala wskazać jednej, konkretnej osoby, ponieważ w Polsce z pewnością jest więcej osób o imieniu Barbara. Kolejna rzecz - liczba 1985 może faktycznie wskazywać datę urodzenia, wciąż, może być w Polsce więcej niż jedna Barbara, urodzona w 1985 roku.
Drugi przypadek. Jacek Kowalski pracuje w firmie Piękne Wypieki Sp. z o.o., jako przedstawiciel handlowy. Do komunikacji z klientami posługuje się adresem mailowym jacek.kowalski@pieknewypieki.pl. Czy w tym przypadku e-mail jest daną osobową? Jak najbardziej. Jest w nim wskazane konkretne imię i nazwisko, a nawet miejsce, gdzie Pan Jacek jest zatrudniony. Ilość nakładu pracy, którą trzeba włożyć, aby zidentyfikować tę konkretną osobę, jest bardzo mała (wystarczy zadzwonić do firmy Pana Jacka), dlatego w tym przypadku adres e-mail jest już daną osobową. Zasada jest prosta — jeśli adres e-mail zawiera informacje, które pozwalają niewielkim nakładem zasobów zidentyfikować daną osobę, wówczas mówimy o danej osobowej.
Jeśli chcesz mieć pewność, że komunikujesz się przez takie narzędzia jak poczta dla firm zgodnie z RODO, najpierw zweryfikuj wiarygodność swojego dostawcy poczty, a najlepiej samą usługę, z jakiej korzystasz. Sprawdź, czy sama usługa jest bezpieczna (np. zawiera programy antywirusowe oraz antyphishingowe), regularnie robione są kopie zapasowe oraz zawiera usługę powierzenia przetwarzania danych. Zweryfikuj, czy przestrzegane są standardy w zakresie bezpieczeństwa komunikacji, filtrowania szkodliwych wiadomości oraz przechowywania informacji. Zakładając pocztę firmową, stajesz się administratorem danych, które będziesz na niej przechowywać i w razie braku stosowania się do przepisów, możesz ponieść za to odpowiedzialność, np. w postaci kary finansowej.
Komunikując się poprzez e-mail, musisz mieć świadomość, że przechowujesz i niejako przetwarzasz dane, które odkładają się w usługach typu poczta dla firm. Nakłada to na Ciebie tzw. obowiązek informacyjny. Zgodnie z RODO, musisz poinformować swoich klientów oraz każdego adresata, kim jesteś, jakie dane zbierasz, w jakim celu i jak będziesz je przetwarzał. Jak to zrobić? W pierwszym kroku musisz zapoznać się z art. 13 i art. 14 RODO i krok po kroku stworzyć własną treść. Po prostu sprawdzasz, jakie informacje mają znaleźć się w Obowiązku Informacyjnym i przygotowujesz na ich podstawie tekst. Kiedy już stworzysz treść Obowiązku informacyjnego, musisz zastanowić się, gdzie i w jakiej formie go udostępnisz dla swoich adresatów. Przede wszystkim, musi być to miejsce łatwo dostępne. Jeśli komunikujesz się ze swoimi klientami głównie przez e-mail, możesz np. umieścić link do podstrony zawierającej taką zgodę, dodawać treść zgody, jako załącznik do wiadomości albo nawet umieścić treść w automatycznej wiadomości. W przypadku, gdy spotykasz się dość często ze swoimi klientami, wówczas możesz go przekazać na zwykłym papierze. Jedną z bardziej kontrowersyjnych kwestii jest udowodnienie, że faktycznie dopełniliśmy Obowiązek Informacyjny. Sposobów jest wiele. W przypadku usług takich jak poczta dla firm możesz po prostu pokazać automatyczne wiadomości, w których znajduje się treść lub przechowywać korespondencje z klientami, gdzie wyraźnie widać, że w załącznikach znajduje się Obowiązek Informacyjny.
Zgodnie z ideą RODO, ważne jest, aby przechowywać taką ilość danych osobowych użytkowników, aby można było uzasadnić ich przechowywanie. Jeśli wysyłasz cykliczne Newslettery, wówczas zasadne jest przechowywanie takich danych jak adres e-mail, a nawet imię i nazwisko. W pierwszej kolejności zweryfikuj, jakiego rodzaju dane przechowujesz o swoich użytkownikach i sprawdź, czy jesteś w stanie uzasadnić, w jakim logicznym celu je przechowujesz. W ten sposób zabezpieczysz się, że w razie kontroli będziesz mógł w klarowny sposób uzasadnić przechowywanie i przetwarzanie tych informacji. Druga kwestia to ilość przechowywanych danych, a konkretnie wiadomości e-mail. Zgodnie z zasadą ograniczania przechowywania danych, jeśli określone wiadomości są przestarzałe lub nie przyczyniają się do realizacji żadnego celu, najlepiej je po prostu skasować albo zarchiwizować. W tym miejscu musisz kierować się zdrowym rozsądkiem i wykazać się zapobiegliwością, aby niechcący nie usunąć wiadomości, których treść może się przydać w przyszłości.