Stosowaną praktyką przez struktury informatyczne firm lub ogólnie w organizacjach jest, że pracownicy korzystający z poczty e-mail nie znają haseł do własnych kont pocztowych. Najczęściej jest tak, że administratorzy systemów konfigurują klienta pocztowego, wprowadzając hasło uwierzytelniające w systemie pocztowym i na tym kończy się proces konfiguracji konta e-mail. Taki sposób postępowania zapewnia, że pracownicy będą korzystać ze skrzynek pocztowych tylko na sprzęcie, na którym poczta została skonfigurowana, a dzięki stosowaniu standardu bezpieczeństwa dla firmowych stacji roboczych podniesiemy również poziom bezpieczeństwa danych przetwarzanych w poczcie e-mail. Standardem jest, że dostęp do poczty e-mail można uzyskać wykorzystując klienta poczty e-mail lub bezpośrednio z przeglądarki internetowej. Stosując powyższą praktykę hasło do konta e-mail pracownika znają co najmniej dwie osoby lub więcej w przypadku, gdy firma posiada rozbudowane struktury IT. Najczęściej hasła są spisane – dobrze, jeśli do tego wykorzystano dedykowane oprogramowanie, ale czasem jest to nie zabezpieczony plik Excel. Taki sposób postępowania budzi wątpliwości czy, aby zapewniamy wymagany poziom bezpieczeństwa choćby na gruncie RODO, nie naruszamy praw pracownika określonych w Kodeksie Pracy lub zapewniamy stosowanie wytycznych zawartych w normie określającej wymagania dla systemu zarządzania bezpieczeństwem informacji ISO 27001.

Otóż praktyka taka stoi w konflikcie zarówno z wymaganiami RODO, Kodeksu Pracy jak i ISO 27001. Niniejszym materiale postaram się uzasadnić z czego wynika, to iż dane uwierzytelniające do poczty e-mail powinien znać tylko pracownik, któremu zostało przypisane dane konto pocztowe.

Jeżeli poczta e-mail jest systemem służącym do przetwarzania danych osobowych w pierwszej kolejności należy zwrócić uwagę na wymagania określone w rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO. W takim przypadku hasło użytkownika do konta pocztowego, powinien znać wyłącznie użytkownik, któremu zostało przypisane konto e-mail. Udostępnianie hasła innym osobom, nawet jeżeli dotyczy tylko pracowników IT, może spowodować brak rozliczalności operacji wykonywanych na danych, której wymaga art. 5 RODO. Jednym ze sposobów zapewnienia rozliczalności operacji wykonywanych na danych osobowych jest ograniczenie dostępu do danych oraz kontrolę kto, kiedy i w jakim zakresie przetwarza dane osobowe. Sprawowanie kontroli w wielu przypadkach będzie się ograniczało do nadawania użytkownikom indywidualnych danych uwierzytelniających, przy pomocy których tylko pracownik, któremu konto zostało przypisane będzie logował się do skrzynki e-mail. Wówczas możliwe będzie sprawdzenie w logach systemu, kto, w jakim czasie, jakie operacje na danych osobowych wykonywał. Zachowanie zasady rozliczalności operacji na danych poprzez jednoznaczną identyfikację użytkowników będzie ma kluczowe znaczenie w sytuacji wystąpienia naruszenia ochrony danych osobowych. Jeżeli kilka osób korzysta z tego samego konta e-mail przy użyciu tych danych uwierzytelniających, bardzo trudne będzie zidentyfikowanie osoby odpowiedzialnej za naruszenie.

W przypadku, gdyby pracownicy samodzielnie przekazywali hasła administratorowi systemu, takie działanie prowadzi do niezachowania poufności informacji uwierzytelniających na co wskazuje załącznik do normy ISO 27001 A.9.3.1. Norma ISO 27001 również wskazuje nam nadzorowanie i ograniczanie praw uprzywilejowanego dostępu czego nie będziemy stanie realizować w sytuacji gdy pracownicy IT będę znać hasła użytkowników z ograniczonymi uprawnieniami. Natomiast w przypadku konieczności uzyskania dostępu do poczty pracownika, np. ze względu na podejrzenie naruszenia lub przypadków losowych jak zapomnienie hasła, administrator systemu powinien zresetować hasło i uzyskać dostęp bez znajomości hasła użytkownika. Działanie takie będzie wówczas odnotowane w logach systemu, przez co mamy informację, iż do czasu wprowadzenia przez pracownika, któremu przypisano konto pocztowe nowego hasła, konto było użytkowane przez administratora systemu. Takie postępowanie będzie również w zgodzie z wytycznymi normy ISO 27001 zawartymi w załączniku A pkt 12.4 które wskazują, iż działania administratorów i operatorów systemu należy rejestrować, a w szczególności wszelkie wyjątki, usterki oraz zdarzenia związane z bezpieczeństwem informacji.

Stosowanie praktyki, kiedy hasło do konta pocztowego znane jest innym osobom niż tylko pracownik, któremu konto zostało przypisane, oprócz zasady rozliczalności może naruszyć prawo do prywatności pracownika. Warto zaznaczyć, iż prowadząc monitorowanie skrzynek pocztowych pracowników, monitoring poczty elektronicznej nie może naruszać tajemnicy korespondencji oraz innych dóbr osobistych pracownika – art. 22 § 2 Kodeksu Pracy.

System poczty elektronicznej, należy traktować jak każdy inny system wykorzystywany w firmie np.: system operacyjny na stacjach roboczych, system księgowy, kadrowy czy nawet system bankowości elektronicznej. Zatem mając na uwadze, iż korzystanie ze służbowej poczty  elektronicznej  jest  jednym  ze  sposobów realizowania  obowiązków  powierzonych  pracownikowi oraz to użytkownicy poczty elektronicznej są odpowiedzialni za korzystanie z poczty w taki sposób, aby minimalizować ryzyka naruszenia bezpieczeństwa informacji należy zapewnić odpowiednie standardy bezpieczeństwa w tym uwierzytelniania.

Autor: Piotr Maziakowski