Konieczność usuwania danych po określonym czasie wynika bezpośrednio z zasady ograniczenia przechowywania, która została sformułowana w art. 5 ust. 1 lit. e RODO. Zgodnie z tą zasadą, przechowywanie danych w formie umożliwiającej identyfikację osoby, której dane dotyczą, powinno mieć miejsce przez okres nie dłuższy, niż jest to niezbędne do celów, dla których te dane są przetwarzane.
Niemniej konieczność przeglądu przetwarzanych danych oraz ich cyklicznego usuwania, jeśli nie są dłużej administratorowi potrzebne, wynika tak naprawdę pośrednio również z pozostałych zasad wyrażonych w art. 5 RODO, a mianowicie zgodności z prawem, ograniczenia celu, czy też prawidłowości. Administrator bowiem przetwarzając dane osobowe „w nieskończoność” naraża się na:
- brak podstawy prawnej do ich przetwarzania (zasada zgodności z prawem),
- przetwarzanie danych w sposób niezgodny z celami, dla których zostały zebrane,
- przetwarzanie nieprawidłowych, nieaktualnych danych (zasada prawidłowości).
Łatwo wiec zauważyć, że opracowanie odpowiednich procedur retencji danych, w tym danych znajdujących się na poczcie elektronicznej, powinno stanowić dla administratora ważny element funkcjonowania systemu ochrony danych w jego organizacji. System ten nie będzie nigdy funkcjonował prawidłowo, jeśli administrator nie będzie działał w zgodzie z każdą z zasad wyrażonych w art. 5 RODO.
Jak zapanować nad tysiącami e-maili, które znajdują się na poczcie?
Pierwsza myśl, jaka przychodzi administratorom, którzy chcą zapanować nad okresami, przez jakie przetwarzane są dane osobowe w ich organizacjach to stworzenie procedury. O ile jest to dobry pierwszy krok, to nie należy na tym poprzestać. Po ustaleniu okresów retencji danych administrator powinien zadbać o zbudowanie świadomości swoich pracowników oraz współpracowników w tym zakresie oraz dbać o przestrzeganie ustalonych terminów w codziennej pracy. Jest to niestety najtrudniejsza część i często proces budowania retencji danych w organizacjach kończy się na wspomnianym pierwszym kroku. W opisywanym procesie piętą achillesową administratorów jest zazwyczaj poczta elektroniczna. Nawet jeżeli zostaną dla niej ustalone terminy przechowania danych w procedurze retencji danych, to często nie są potem stosowane w praktyce.
Niestety, na stronie polskiego Urzędu Ochrony Danych brak jasnych i wyczerpujących wskazówek, które podpowiedziałyby administratorom jak radzić sobie z tym trudnym zagadnieniem. Nie powstał też do tej pory żaden poradnik w tym zakresie. Trochę więcej informacji znajdujemy na stronie brytyjskiego organu nadzorczego (ICO). ICO podkreśla istotność zagadnienia retencji danych na poczcie elektronicznej i wymienia kilka kroków, jakie użytkownicy poczty elektronicznej powinni podejmować, aby móc faktycznie mieć pod kontrolą przetwarzanie danych osobowych.
Przede wszystkim, ICO podkreśla: „nie przechowuj żadnych niepotrzebnych danych, przeglądaj je regularnie.” Następnie rekomenduje:
- spróbuj wyrobić w sobie nawyk regularnego przeglądania e-maili,
- usuwaj kopie robocze wiadomości, nieistotne e-maile, wiadomości zawierające nieaktualne informacje,
- jeśli korzystasz z Outlooka, używaj funkcji automatycznego archiwizowania i automatycznego usuwania e-mail, aby zapobiec utracie kontroli nad skrzynką mailową,
- przechowuj wiadomości e-mail w folderach, co automatycznie może przyczynić się również do przechowywania na skrzynce mailowej jedynie potrzebnych maili i tym samym ograniczenia ich do niezbędnego minimum,
- zapoznanie się z opracowanym przez Uniwersytet Londyński (UCL) harmonogramem przechowywania danych, który zawiera dalsze wskazówki dotyczące usuwania i przechowywania wiadomości na poczcie elektronicznej.
Powyższe rekomendacje zasługują na uwagę, zwłaszcza w punkcie dotyczącym przechowywania e-maili w folderach oraz w stosowaniu (przez użytkowników Outlooka) dostępnych opcji automatycznego archiwizowania i usuwania wiadomości e-mail. Z doświadczenia wiemy, że tworzenie folderów na poczcie jest bardzo pomocnym rozwiązaniem i ułatwia kontrolę, a także jest dobrym punktem wyjścia do stosowania (w przypadku Outlooka) dostępnych opcji automatycznego archiwizowania i usuwania wiadomości e-mail. Często bowiem trudno jest obrać jednakowy okres przechowywania danych dla wszystkich wiadomości e-mail, dlatego kategoryzacja w postaci folderów, do których można dopisać konkretny czas przechowywania wiadomości, może być pomocna. Oczywiście nie wszyscy administratorzy korzystają z narzędzia, jakim jest Outlook – wówczas należy poszukiwać dostępnych opcji w zakresie posiadanego konta poczty elektronicznej.
Nie ma jednak złotego środka, który mógłby być rekomendowany administratorom w zakresie retencji danych na poczcie elektronicznej. Jak widać, konieczne jest budowanie świadomości pracowników oraz współpracowników korzystających z poczty, aby wiedzieli jak ważna jest okresowa weryfikacja posiadanych wiadomości e-mail oraz ich usuwanie, gdy są już niepotrzebne.
Co powinna zawierać procedura retencji danych?
Budowanie świadomości pracowników powinno wiązać się w szczególności z opracowaniem odpowiedniej procedury, z którą każdy w organizacji będzie zapoznawany, i do której mógłby sięgać szukając właściwej drogi postępowania z konkretnymi danymi, w tym przetwarzanymi na poczcie elektronicznej. Taka procedura nie może być jedynie kolejnym dokumentem do kolekcji wskazującym, że dane osobowe należy usuwać i uwzgledniającym przy tym kilka przykładowych kategorii danych wraz z terminami ich usunięcia.
Jeżeli procedura ma stanowić swego rodzaju przewodnik dla pracownika, administrator powinien postarać się jak najbardziej dostosować ją do swojej organizacji pod względem kategorii przetwarzanych danych i terminów ich usunięcia, uwzględniając przy tym dane przetwarzane na poczcie elektronicznej. W zakresie przetwarzania danych na poczcie elektronicznej w procedurze warto uwzględnić wytyczne postępowania dla użytkowników poczty, na które wskazuje ICO. Ważne jest, aby pracownicy, którzy używają na co dzień poczty elektronicznej, jako ich nieodłącznego narzędzia pracy, od początku budowali w sobie świadomość dobrych nawyków postępowania z tym narzędziem. Niestety, nadal w większości organizacji poczta elektroniczna „żyje własnym życiem” wraz z tysiącami – często zbędnych – wiadomości, zawierających niemal zawsze dane osobowe.
Warto również uregulować w procedurze retencji danych, w części dotyczącej poczty elektronicznej, kwestie związane z różnego rodzaju dokumentami przesyłanymi w formie załączników poprzez wiadomości e-mail. Z reguły bowiem dokumenty takie są pozostawiane w wiadomościach (nawet te istotne) i nie są przenoszone na firmowego SharePointa np. do folderu klienta. Może to być duży problem w przypadku ustawienia w narzędziu pocztowym, odgórnie przez administratora bądź samodzielnie przez użytkowników poczty, automatycznego usuwania danych. Skutkiem bowiem będzie usunięcie ważnych i potrzebnych dokumentów (umów, faktur, etc.) zbyt wcześnie. Użytkownicy powinni więc otrzymać w procedurze jasne instrukcje dotyczące konieczności przenoszenia istotnych dokumentów z wiadomości e-mail na zasoby firmowe.
Administrator w procedurze retencji powinien oczywiście wskazać, jak długo jego pracownicy powinni przetwarzać poszczególne kategorie danych, w tym dane na poczcie elektronicznej. Jeżeli administrator korzysta lub planuje wprowadzić opcje automatycznego usuwania danych, czas po jakim usunięcie ma następować również powinien wynikać z procedury. ICO w publikowanym przez siebie harmonogramie retencji przyjmuje, iż dla komunikacji elektronicznej właściwy okres retencji to 12 miesięcy.
Jeszcze bardziej pomocny w zakresie pomysłu, jak najlepiej opisać terminy retencji danych osobowych w organizacji, w tym na poczcie elektronicznej, wydaje się być wspomniany już powyżej harmonogram przechowywania danych, opracowany przez Uniwersytet Londyński. W harmonogramie wszystkie terminy retencji danych, w tym dotyczące zawartości poczty elektronicznej pracowników uniwersytetu, zostały określone w podziale na różne kategorie przetwarzanych danych, np. e-maile związane z przekazaniem certyfikatów/świadectw studentom, e-maile wysyłane do helpdesku, etc.
Do poszczególnych rodzajów danych przetwarzanych przez Uniwersytet zastosowanie znajdują różne okresy ich retencji, opisane w przyjętym harmonogramie. Podział taki jest zbliżony do pomysłu grupowania e-maili w folderach (foldery powinny być ustalane w najbardziej wygodny dla organizacji sposób np. podział na klientów, podział tematyczny na poszczególne działy/obszary działalności organizacji etc.). Nie sposób bowiem przeglądać całej zawartości skrzynki mailowej w poszukiwaniu konkretnych rodzajów maili, które powinny zostać usunięte. Posiadanie więc folderów dedykowanych dla poszczególnych kategorii danych – biorąc pod uwagę terminy retencji dla tych danych – niewątpliwie ułatwi sprawę.
Co z pocztą elektroniczną po zwolnieniu lub odejściu pracownika?
Temat dostępu do poczty elektronicznej pracowników po ustaniu zatrudnienia/współpracy budzi wiele kontrowersji. Zwłaszcza, że w wielu przypadkach dozwolony jest ograniczony użytek prywatny poczty służbowej, co generuje pewne oczekiwania pracowników dotyczące ich prywatności. Temat ten na swojej stronie podnosi również Europejski Inspektor Ochrony Danych (EIOD) wskazując, że pracodawcy nie powinni czytać e-maili swoich pracowników, ponieważ mogą one zawierać również informacje prywatne. EIOD dalej wyjaśnia, że jest to problematyczne wówczas, gdy pracownicy opuszczają organizację lub są nieobecni przez dłuższy czas, gdy informacje przechowywane tylko w ich skrzynkach pocztowych są potrzebne do zapewnienia ciągłości działania.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Ponadto osobom odchodzącym z organizacji należy jasno określić, czy i jak długo będą przechowywane ich skrzynki pocztowe. EIOD zwraca uwagę, że generalną zasadą dotyczącą okresów przechowywania jest: „przechowuj tak krótko, jak to możliwe oraz tak długo jak to konieczne”. Postanowienia w tym zakresie mogą być częścią procedury retencji danych lub zostać zawarte w procedurze dotyczącej wykorzystania narzędzi służbowych. Ważne, aby pracownik otrzymał wspomniane informacje i był w pełni świadomy tego, co będzie działo się z jego skrzynką oraz jej zawartością po jego odejściu.
Obowiązek poinformowania pracownika o powyższym został również podkreślony przez włoski organ nadzorczy, który nałożył karę w wysokości 15 tys. euro na firmę MAPEI za zaniedbania dotyczące poczty elektronicznej pracownika tej organizacji. MAPEI została ukarana za naruszenie zasady minimalizacji i legalności przetwarzania, gdyż pozostawiła aktywną imienną skrzynkę pocztową swojego byłego pracownika przez 10 miesięcy po ustaniu zatrudnienia, natomiast wszelkie wiadomości z tej skrzynki były przekierowywane do kierownika. Tym samym, organizacja posiadała dostęp także do wiadomości niezwiązanych z działalnością firmy, a dotyczących życia prywatnego byłego pracownika, np. powiadomień z konta na LinkedIn czy też komunikatów reklamowych dotyczących usług niezwiązanych z pracą. W swoim uzasadnieniu do decyzji włoski organ nadzorczy podkreślił, że zasada ochrony prywatności dotyczy również pracowników w ich miejscu pracy. Organ nadzorczy przypomniał również, że administrator powinien zapewnić istnienie przejrzystych procedur wykorzystywania służbowej skrzynki pocztowej po zakończeniu współpracy.
Z powyższego płynie istotny wniosek dla administratorów w zakresie okresu przechowywania danych na poczcie służbowej byłych pracowników. Okres ten musi być możliwe najkrótszy, a osoby odchodzące z organizacji muszą mieć pełną świadomość tego, czy i na jak długo będą przechowywane ich skrzynki pocztowe.
Pamiętajmy!
Retencja danych na poczcie elektronicznej to temat niezwykle istotny, lecz wciąż zaniedbany. Wypracowanie praktycznej procedury retencji danych, a tym samym budowanie świadomości pracowników w zakresie odpowiedniego przetwarzania danych na poczcie to duże wyzwanie dla administratorów, które jednak musi zostać podjęte.
Jeśli potrzebujesz w tej kwestii wsparcia, skontaktuj się z Marcinem Kuźniakiem. To nasz doradca ds. ochrony danych. Udzieli Ci wskazówek, które z łatwością wykorzystasz w praktyce.