Bezpieczeństwo, GDPR, Porównania
Bezpieczeństwo, GDPR, Porównania
W zakresie przekazywania danych poza EOG należy wspomnieć o dwóch podstawowych grupach; wyróżniamy kraje względem których Komisja Europejska wydała decyzję stwierdzającą prawidłowy poziom ochrony danych oraz kraje względem których takiej decyzji nie wydano. W przypadku państw, co do których wydano decyzję Komisji Europejskiej, przekazanie do nich danych osobowych można traktować w zasadzie na równi z przekazaniem danych wewnątrz EOG. W tej grupie państw nie znajduje się jednak USA. Jakie oznacza to konsekwencje dla administratorów?
Spółka publiczna Vercom S.A. do której należy projekt EmailLabs, jest europejską firmą, w pełni zgodną z przepisami RODO i bazuje tylko i wyłącznie na własnych serwerach zlokalizowanych w CEE, natomiast usługi świadczymy w oparciu o własne know-how oraz technologię. Potwierdzeniem dbałości o bezpieczeństwo informacji jest zakończony sukcesem audyt nadzoru ISO 27001 oraz certyfikacja ISO 27018. Audyty są potwierdzeniem stosowania najlepszych praktyk systemu zarządzania bezpieczeństwem informacji oraz stosowania kodeksu międzynarodowych zasad służącym wsparciu w zakresie zarządzania danymi osobowymi w chmurze obliczeniowej.
Czy korzystanie z zagranicznych, zwłaszcza amerykańskich, rozwiązań typu SMTP, email api jest bezpieczne i co to oznacza dla administratorów? Przekazujesz dane osobowe, jak adresy e-mail swoich Klientów poza EOG? – koniecznie przeczytaj nasze opracowanie.
W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości UE wydał wyrok w sprawie Data Protection Commissioner przeciwko Facebook Ireland Ltd, Maximillian Schrems (tzw. Shrems II), w którym stwierdził, że decyzja Komisji dla USA, tzw. Tarcza Prywatności, nie spełnia wymogu adekwatności i nie jest zgodna z RODO. To oznacza, że aby przekazywać dane do USA spełnić należy dodatkowe przesłanki, w szczególności: można zastosować w umowie z podmiotem przetwarzającym z USA tzw. standardowe klauzule umowne oraz dodatkowo zbadać ustawodawstwo tego kraju, ustalając czy zapewnia ono należyty poziom ochrony (tak wskazano w powoływanym wyroku Shrems II). Wyrok w sprawie Shrems II przesądza, że ustawodawstwo USA takiej ochrony nie zapewnia.
Zgodnie zatem z wytycznymi Europejskiej Rady Ochrony Danych, przekazując dane do USA należy wymagać od usługodawcy nie tylko zawarcia umowy powierzenia przetwarzania w oparciu o standardowe klauzule umowne, ale też zapewnienia dodatkowych środków ochrony (m. in. przyjęcie i udokumentowanie środków technicznych zapewniających bardziej adekwatną ochronę poprzez utrudnienie dostępu do danych, np. szyfrowanie, pseudonimizacja, dalsze monitorowanie zmian zachodzących w ustawodawstwie państwa trzeciego). Wobec braku spełnienia powyższych warunków możliwe jest wyjątkowo powołanie się na dodatkową, szczególną zgodę podmiotu danych na ich przekazanie poza EOG lub inne niż zgoda przesłanki, które jednak nie są w praktyce szeroko stosowane (art. 49 RODO). Jeśli warunki te nie zostaną spełnione, udostępnienie danych osobowych dostawcy z USA należy uznać za nielegalne i rodzące ryzyko nałożenia kary.
Wyróżnik | EOG | Poza EOG (dot. krajów bez decyzji Komisji Europejskiej, w tym USA) |
---|---|---|
Co zbadać przed powierzeniem | Należy sprawdzić, czy podmiot przetwarzający daje gwarancję przetwarzania danych osobowych zgodnie z prawem, w tym zapewnia ich należyte bezpieczeństwo (art. 28 RODO) | Należy sprawdzić, czy podmiot przetwarzający daje gwarancję przetwarzania danych osobowych zgodnie z prawem, w tym zapewnia ich należyte bezpieczeństwo (art. 28 RODO); wielopoziomowa analiza prawna dopuszczalności przekazania danych do konkretnego kraju (art. 44 i nast. RODO). W przypadku USA najczęściej konieczne jest zbadanie, czy umowa dostawcy jest oparta na standardowych klauzulach umownych oraz czy dostawca ten dostarcza dodatkowych środków ochrony danych. Ewentualnie, możliwe jest przekazanie danych po uzyskaniu szczególnej zgody lub spełnienia innych, niewykorzystywanych często w praktyce przesłanek z art. 49 RODO. |
Środki ochrony | Brak obowiązku wdrożenia dodatkowych środków ochrony (standardowy poziom ochrony adekwatny do ryzyka). | Wymóg wdrożenia dodatkowych środków ochrony poprzez: – zidentyfikowanie wszystkich operacji przetwarzania danych osobowych do państwa trzeciego, – sprawdzenie czy w kontekście konkretnej operacji przetwarzanie poza EOG mogłoby mieć negatywny wpływ na skuteczność wprowadzonych zabezpieczeń, – przyjęcie środków technicznych, jakie są konieczne, żeby stopień ochrony przekazywanych danych w państwie spoza EOG był adekwatny temu gwarantowanemu na gruncie RODO (np. pseudonimizacja, szyfrowanie itp.), – monitorowanie zmian zachodzących w ustawodawstwie danego kraju oraz reagowanie na te zmiany wprowadzaniem dodatkowych zabezpieczeń w umowie z przetwarzającym. |
Obowiązek informacyjny względem podmiotów danych | Brak dodatkowych obowiązków informacyjnych. | Konieczność poinformowania osób korzystających z usług przedsiębiorstwa o zamiarze przekazywania danych do państw trzecich (na skutek współpracy z podmiotem przetwarzającym dane do państwa spoza EOG) wraz ze wskazaniem zastosowanych zabezpieczeń oraz informacją o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony. |
Potencjalna kara za naruszenie przepisów | Możliwe naruszenie art. 28 RODO, co jest zagrożone karą pieniężną do 10 mln Euro lub w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. | Możliwe naruszenie zarówno art. 28, jak i dodatkowo art. 44 i nast. RODO. Jest to zagrożone karą pieniężną do 20 mln Euro lub w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. |
Wewnętrzna dokumentacja w zakresie przetwarzania danych | Brak dodatkowych obowiązków. | Konieczność uwzględnienia dodatkowych zapisów w Rejestrze Czynności Przetwarzania oraz wykonanie wskazanych wyżej analiz. |
Egzekwowalność roszczeń względem podmiotu przetwarzającego. | Możliwość wyegzekwowania roszczeń w oparciu o prawo polskie oraz prawo UE w zakresie sporów transgranicznych. | Faktyczna możliwość wyegzekwowania roszczeń zróżnicowana od konkretnego kraju. Istnieje ryzyko niemożliwości prowadzenia procesu w Polsce i w oparciu o prawo polskie (lub prawo UE), bądź ryzyko nieuznania orzeczenia sądu polskiego w kraju spoza EOG. |
Jak widzisz, jest wiele aspektów, jakie należy wziąć pod uwagę planując korzystanie z zagranicznych rozwiązań, w których przetwarza się dane Klientów. Warto być świadomym różnic, aby uniknąć przykrych konsekwencji i odpowiednio przygotować się pod kątem proceduralnym i prawnym.
Materiał powstał przy udziale mecenasa Macieja Jankowskiego, partnera Kancelarii Prawnej Media. Specjalizacja mecenasa obejmuje m.in. prawo nowych technologii, w tym prawo własności intelektualnej, prawo ochrony danych osobowych oraz poszczególne zagadnienia prawa telekomunikacyjnego.
Dobre praktyki, Gmail, Uwierzytelnienia e-mail
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
GDPR, Zgodność i bezpieczeństwo
Spółka Vercom S.A., która prowadzi projekt EmailLabs, z sukcesem przeszła kolejną certyfikację na normę ISO/IEC 27001 oraz ISO 27018. Wdrożony w Vercom S.A. System Zarządzania Bezpieczeństwa Informacji 0bejmuje tworzenie,...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Reputacja Nadawcy, Uwierzytelnienia e-mail
Dla providerów zarówno lokalnych jak i globalnych takich jak Gmail, Yahoo czy AOL, autoryzacja nadawcy jest czymś w rodzaju broni zwalczającej SPAM. Dzięki uwierzytelnieniu swojej domeny wysyłkowej, możesz natychmiast...
Jako integralna część infrastruktury serwerowej, takie pojęcia jak SMTP i Porty SMTP nie są zarezerwowane tylko dla specjalistów – są ważne dla każdego, kto korzysta z poczty elektronicznej. Prawdopodobnie...
Best practices, Dobre praktyki
Czy zastanawiałeś się kiedyś, dlaczego nie możesz załączyć filmu do wiadomości e-mail? Albo dlaczego prezentacja PowerPoint po prostu się nie wysyła? Wszystko sprowadza się do jednego – maksymalnego rozmiaru...
Reputacja Nadawcy, Uwierzytelnienia e-mail
Dla providerów zarówno lokalnych jak i globalnych takich jak Gmail, Yahoo czy AOL, autoryzacja nadawcy jest czymś w rodzaju broni zwalczającej SPAM. Dzięki uwierzytelnieniu swojej domeny wysyłkowej, możesz natychmiast...
Jako integralna część infrastruktury serwerowej, takie pojęcia jak SMTP i Porty SMTP nie są zarezerwowane tylko dla specjalistów – są ważne dla każdego, kto korzysta z poczty elektronicznej. Prawdopodobnie...
Best practices, Dobre praktyki
Czy zastanawiałeś się kiedyś, dlaczego nie możesz załączyć filmu do wiadomości e-mail? Albo dlaczego prezentacja PowerPoint po prostu się nie wysyła? Wszystko sprowadza się do jednego – maksymalnego rozmiaru...
Jeden z najgorszych scenariuszy, jaki może sobie wyobrazić niemalże każda firma to taki, w którym zostajemy zhakowani. W następstwach tego, własność intelektualna firmy, ogromna ilość danych klientów może zostać...
Protokół SMTP (Simple Mail Transfer Protocol) ma istotne znaczenie w sferze komunikacji e-mail. Jako istotny element serwerów pocztowych, SMTP odpowiada za wysyłanie, odbieranie i przekazywanie wiadomości e-mail, zapewniając ich...
Znaczenie ochrony poczty elektronicznej i bezpieczeństwa danych rośnie systematycznie w erze cyfrowej, a StartTLS staje się kluczowym zawodnikiem na tej arenie. Jako rozszerzenie protokołu szyfrowania, StartTLS oferuje użytkownikom unikalną...
Dobre praktyki, Reputacja Nadawcy
Twoje kampanie e-mail nie przynoszą oczekiwanych rezultatów? Niskie współczynniki otwarć i wysokie współczynniki odrzuceń mogą być frustrujące, ale możesz odwrócić tę sytuację przez poprawę reputacji nadawcy. Ale zanim to,...
Dobre praktyki, Gmail, Uwierzytelnienia e-mail
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
Gmail, Uwierzytelnienia e-mail
W celu zwiększenia bezpieczeństwa poczty elektronicznej i ochrony użytkowników przed złośliwymi wiadomościami, Google i Yahoo zamierzają wdrożyć surowe wymagania dotyczące uwierzytelniania e-maili od 2024 roku. E-mail marketing stał się...