18 Sie

Co zrobić, gdy jesteśmy proszeni o wysłanie danych osobowych przez e-mail

Korzystając z urlopu załatwiam różne sprawy bankowe i urzędowe. I poraża mnie niewiedza pracowników instytucji przetwarzających dane osobowe na dużą skalę. Prawie każda sprawa kończyła się prośbą proszę przysłać brakujące dane e-mailem. Gdy poprosiłam o zapewnienie środka komunikacji, który gwarantuje bezpieczeństwo moich danych, spotykałam się z niezrozumieniem i konsternacją. Jak to? Przecież bezpiecznie, przecież przez e-mail. Jako wisienkę na torcie, dodam że jedna z próśb dotyczyła wysłania wniosku zawierającego bardzo szeroki zakres moich danych w formie podpisanego skanu, na ogólny adres e-mail, w stylu „biuro”. Drogi czytelniku mojego bloga, czy Ty też się z tym spotkałeś? Mówimy o zmianach w przepisach, konieczności ochrony danych osobowych, wyższych karach w związku z RODO, a jednocześnie nikomu nie przyszło do głowy, że przyjęte i stosowane przez szeregowych pracowników rozwiązania łamią wszystkie podstawowe zasady bezpieczeństwa. Jak niska musi być świadomość tych ludzi (pewnie swoje dane także przesyłają w taki sposób).

Powiem to głośno, przesyłanie danych osobowych (oraz innych poufnych informacji) poprzez e-mail, nie jest bezpieczne. Nie wchodzę w szczegóły techniczne (możecie poczytać sobie na innych blogach o zabezpieczaniu serwerów, poczty, przesyłania danych), skupiam się na tym, że mamy obecnie ogromny problem z przesyłaniem danych pocztą elektroniczną, na który nie zwraca się większej uwagi.

Po pierwsze, potrzebna jest edukacja. Od podstaw, od przeciętnego obywatela. Nie zgadzaj się na wysyłanie swoich danych „w otwartej formie” poprzez e-mail, który może trafić do niewłaściwego odbiorcy lub być podsłuchany. Myślę, że każdy pracownik, któremu zwracam uwagę i odmawiam przesyłania danych, zaczyna się zastanawiać dlaczego i czy nie byłoby warto tego zmienić.

Po drugie, wprowadź w swoim życiu i organizacji zasady, gwarantujące poufność przesyłania danych. Pomijając kwestie zabezpieczeń, wprowadź zasadę, że dane osobowe (oraz poufne) powinny być przesyłane w załączniku zabezpieczonym hasłem. Takie hasło można założyć bezpośrednio na plik lub na skompresowaną paczkę. Odbiorca, aby przeczytać treść załącznika, musi znać hasło. Oczywiście hasło nie może być wysyłane mailem (nawet innym) 😉 Należy zastosować inny środek komunikacji, np. sms.

Ostatnio miałam dosyć długą dyskusję dotyczącą tego, jak ustalać te hasła, czy powinny za każdym razem inne, czy jedno ustalone. W praktyce, po kilku miesiącach stosowania takiej procedury, okazuje się, że czasami trzeba po jakimś czasie wrócić do zaszyfrowanego pliku i … nikt nie pamięta hasła. Należy zatem uwzględnić także taką konieczność. Rozwiązaniem może być zapisywanie załączników i usuwanie z nich haseł (bez problemu w wordzie, excelu, czy w przypadku rozpakowania skompresowanej paczki, bo plik nie są już szyfrowane, jednakże kłopotliwe, przy dokumentach w formacie *.pdf, bo wymaga płatnej wersji oprogramowania). Być może w korespondencji pomiędzy dwoma osobami wystarczy ustalić wspólne, zawsze stosowane hasło (albo stosować szyfrowanie kluczem prywatnym).

A teraz ciekawostka. Z wysyłaniem danych osobowych „otwartym tekstem” spotkałam się w ciągu ostatnich kilku miesięcy:

  1. W szpitalu, który otrzymywał wyniki badań pacjentów z laboratorium.
  2. W prywatnej przychodni, która otrzymywała rozpoznanie od lekarzy prowadzących prywatne praktyki.
  3. W podmiocie finansowym, który wymaga wysyłania skanów pełnomocnictw, zawierających pełne dane osobowe stron oraz podpis nadającego pełnomocnictwo.
  4. W urzędzie, który prosił o przysłanie skanu wniosku o wydanie zaświadczenia.
  5. W firmie kurierskiej, która prosiła o przysłanie skanu dowodu (komentowałam już to na blogu).
  6. Na poczcie, która prosiła o przysłanie moich pełnych danych osobowych mailem.
  7. Na stronie podmiotu organizującego konkurs, gdzie dane były przesyłane przez formularz niezabezpieczony w żaden sposób.

    Więcej w tym momencie nie pamiętam. Przyznam, że każda taka sytuacja podnosi mi ciśnienie i zmusza do reakcji. Wierzę w to, że jeżeli my będziemy zwracać uwagę odbiorcom wiadomości, że mają obowiązek zapewnić nam bezpieczną drogą komunikacji pod groźbą ogromnych kar finansowych przewidzianych w RODO, to uda się zwiększyć świadomość (za nią idzie zwiększenie bezpieczeństwa). Liczę na to, że Wy także nie pozostaniecie obojętni.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie