Strona główna » Wiedza » Pytania i odpowiedzi » Czy e-mail zawierający skany faktur powinien być chroniony hasłem?

Czy e-mail zawierający skany faktur powinien być chroniony hasłem?

19.06.18

Z RODO nie wynika, aby konieczne było zabezpieczanie przesyłania klientom w e-mailu zeskanowanych dokumentów czy informacji hasłem. Natomiast trzeba odpowiednio zorganizować pracę biura rachunkowego, aby dostęp do danych osobowych klientów miały wyłącznie osoby do tego upoważnione.

articleImage: Czy e-mail zawierający skany faktur powinien być chroniony hasłem? fot. Thinkstock

Pytanie użytkownika LEX Ochrona Danych Osobowych:

Jak powinna wyglądać korespondencja mailowa z klientami? Chodzi dokładnie o przesyłanie skanów faktur, umów, które dostarczył klient, a po pewnym czasie potrzebuje tą fakturę, umowę i prosi o przesłanie jej skanu. Czy taka wymiana informacji musi być chroniona hasłem? Jak należy postąpić w przypadku, gdy biuro wysyła mailowo do klienta informację o wysokości podatków za dany miesiąc?

Odpowiedź


Treść umów powierzenia przetwarzania danych osobowych, jakie powinny być zawarte między biurem rachunkowym z pytania Czytelnika (jako procesorem, czyli podmiotem przetwarzającym) a jego klientami (jako administratorami danych; dalej: ADO), powinna być zgodna z art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1) – dalej RODO.

Mianowicie: należy w niej określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa ADO. Natomiast, zgodnie z lit. c w/w przepisu RODO, procesor w szczególności podejmuje wszelkie środki wymagane na mocy art. 32 RODO (czyli środki organizacyjne i techniczne zapewniające bezpieczeństwo przetwarzania danych osobowych).

W świetle art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

  1. pseudonimizację i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.


Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).


Z przepisu art. 32 RODO w żaden sposób nie wynika więc, aby w stanie faktycznym opisanym w pytaniu Czytelnika, konieczne było zabezpieczanie przesyłania klientom w e-mailu zeskanowanych dokumentów czy informacji, np. o wysokości podatku za dany miesiąc, hasłem.

Wystarczające będzie, gdy procesor w taki sposób zorganizuje pracę biura rachunkowego, aby dostęp do danych osobowych klientów miały wyłącznie osoby do tego upoważnione (czyli tu – osoby działające z upoważnienia właściciela biura rachunkowego), a korespondencja elektroniczna będzie przesyłana tylko na, wskazany przez ADO (czyli klientów biura rachunkowego), adres e-mail. Sam dostęp do komputera może być zaś chroniony hasłem, które będzie znane tylko osobom upoważnionym do przetwarzania danych osobowych klientów. Natomiast to hasło może być np. co miesiąc zmieniane.

 
X

RODO


Potrzebujesz WIĘCEJ wiarygodnych informacji o zagadnieniu RODO? Sprawdź, co jeszcze na ten temat znajdziesz w LEX.
LEX Search – nowa wersja wyszukiwarki LEX z elementami sztucznej inteligencji. Chcesz łatwiej i szybciej znaleźć właściwe dokumenty?

Sprawdź, co zyskasz dzięki LEX Search >>
 
Anna Borysewicz 19.06.18
Skomentowano 0 razy
Średnia ocena artykułu (oddanych głosów: 0)

 
ZOBACZ TAKŻE

  • Sejm pracuje nad zmianami w akcyzie

    Obrazek do artykułu: Sejm pracuje nad zmianami w akcyzie

    Gaz do silników spalinowych z zerową akcyzą – takie są założenia projektu nowelizacji przepisów o podatku akcyzowym. Na środowych posiedzeniu Sejmu odbyło drugie czytanie rządowego projektu ustawy. Więcej

  • NSA: Nie każde szkolenie jest źródłem przychodu w PIT

    Obrazek do artykułu: NSA: Nie każde szkolenie jest źródłem przychodu w PIT

    Skoro udział w szkoleniu jest możliwy wyłącznie po opłaceniu składek członkowskich, to nie można przyjąć, że zachodzi nieodpłatność świadczenia. Wynika to z wyroku Naczelnego Sądu Administracyjnego. Więcej

  • Prof. Etel: Tryb przyznawania ulg w podatkach trzeba zmienić

    Obrazek do artykułu: Prof. Etel: Tryb przyznawania ulg w podatkach trzeba zmienić

    Może tak być – i w praktyce to się zdarza – że wójt jako beneficjent wpływów z podatku wyrazi zgodę na umorzenie zaległości, a naczelnik urzędu skarbowego jej nie udzieli. Ta dziwna procedura współdecydowania o podatkach lokalnych przez organy... Więcej

  • Będą nowe zasady rozliczania PIT

    Obrazek do artykułu: Będą nowe zasady rozliczania PIT

    Opublikowany we wtorek projekt zmian w ustawie o podatku dochodowym od osób fizycznych przewiduje, że rozliczenie roczne PIT dla wszystkich podatników przygotuje Krajowa Administracja Skarbowa. Od przyszłego roku, dzięki nowej usłudze Twój e-PIT,... Więcej

  • Korekta deklaracji po kontroli podatkowej niemożliwa?

    Obrazek do artykułu: Korekta deklaracji po kontroli podatkowej niemożliwa?

    Jeżeli kontrola podatkowa nastąpiła niezwłocznie po złożeniu deklaracji podatkowej lub też w krótkim czasie po niej, podatnik zostaje pozbawiony możliwości sprostowania swojej deklaracji VAT. Wykonanie prawa do odliczenia VAT przez podatnika staje... Więcej

Zapisz się na newsletter
Polecamy w oficjalnej księgarni
Wolters Kluwer Profinfo.pl

NAJCZĘŚCIEJ CZYTANE