Co znamená GDPR pro váš e-mail – a co naopak neřeší

Co GDPR vlastně vyžaduje

V jádru jde o to, že osobní údaje se mají shromažďovat pro konkrétní účel, používat výhradně k tomuto účelu, přiměřeně chránit a po pominutí potřeby smazat.

U e-mailu to v praxi znamená několik věcí. Data musí být na jasně určených a chráněných místech. Přístup k nim musí být řízený a logovaný. Když uživatel nebo organizace požádá o smazání, mělo by jít o skutečné smazání – ne jen o příznak v databázi, zatímco samotný obsah dál léta existuje.

Tenhle poslední bod je důležitější, než to zní. Skutečné smazání znamená, že databáze záznam opravdu odstraní a zálohy expirují podle pevně daného plánu. Není to nic složitého, ale chce to vědomé rozhodnutí.

Kde se to s "souladem" začne komplikovat

GDPR se týká ochrany dat. Nezakazuje poskytovateli, aby vaše data využíval v rámci svých vlastních systémů, pokud to má uvedeno v podmínkách služby. Poskytovatel může být plně v souladu s GDPR a přitom používat obsah e-mailů k trénování vlastních modelů, vylepšování filtrů nebo rozhodování o produktu.

Většina lidí podmínky podrobně nečte. Většina předpokládá, že "soulad s GDPR" znamená, že s jejich korespondencí se zachází jako se soukromou. To ale nemusí být totéž.

U e-mailové komunikace je GDPR jiné

Většina debat o GDPR se točí kolem souhlasu – jestli daný člověk souhlasil s tím, že dostane konkrétní e-mail, jestli souhlasil se zpracováním svých údajů. Jenže běžná pracovní korespondence funguje úplně jinak. Když vám dodavatel pošle nabídku, klient zadání, kolega přepošle dokument – nikdo nic nepodepisoval. Nikdo nedával žádný souhlas.

Obsah e-mailu je podle GDPR osobní údaj. Jména, e-mailové adresy, přílohy, konverzace o lidech – to vše spadá pod definici nařízení. Jméno odesílatele je v hlavičce. Jeho slova v těle zprávy. Lidé posílají hesla, přístupové údaje, smlouvy, finanční detaily – aniž by se zamysleli, kde ten obsah vlastně skončí. Podle GDPR sem spadá jakýkoliv údaj, který lze samostatně nebo v kombinaci s jinými použít k identifikaci osoby. Vlákno e-mailů tuto definici splňuje hravě.

Jaký právní titul tedy pokrývá to, že příjemce takovou zprávu uchovává a zpracovává? GDPR vyžaduje právní základ pro jakékoliv zpracování. U přijaté pracovní korespondence se nejčastěji zmiňuje "oprávněný zájem" – tedy předpoklad, že mezi stranami existuje relevantní a přiměřený vztah. Lidsky řečeno: dostali jste e-mail v rámci pracovní činnosti, je rozumné si ho uložit. Na tomhle titulu staví většina organizací, ať už si to uvědomují, nebo ne.

Některé firmy se snaží absenci jakékoliv dohody řešit patičkou v e-mailu – tím známým prohlášením, že zpráva je určena pouze pojmenovanému adresátovi a její neoprávněné použití je zakázáno. Žádnou právní povinnost tyhle disclaimery nezakládají. Odesílatel je připojuje až ve chvíli, kdy už zprávu nemá pod kontrolou, a dorazí na infrastrukturu, se kterou nemá žádnou smlouvu. Mohou naznačit záměr, ale nikoho nezavazují. A vedle té právní stránky je tu i ta praktická: očekávání soukromí v korespondenci je reálné bez ohledu na to, co kterékoliv podmínky povolují. Když tohle očekávání někdo poruší – ať už poskytovatel záměrně nebo nezáměrně – škoda na důvěře bývá trvalá.

Jak to vidíme my u Grace Mail

Grace Mail jsme postavili na principu, který jde za rámec regulatorního minima. Vaše data nemá nikdo mimo vaši organizaci číst, používat ani k nim mít přístup – nás v to počítaje.

V praxi to znamená vyhrazenou instanci pro každého klienta – váš server, vaše data, žádná sdílená infrastruktura. Znamená to agresivně nasazené šifrování, které minimalizuje dobu, po kterou jakýkoliv obsah existuje mimo šifrované úložiště. Znamená to skutečné mazání na vyžádání a zálohy s jasně definovanou expirací. A znamená to vlastní mailový klient ve vývoji, který dává šifrovací klíče přímo do rukou uživatelů a tím bezpečnost dál posiluje.

Nic z toho GDPR nevyžaduje. My ale máme za to, že by to měl být standard tak jako tak.

V málo pravděpodobném případě, že by se přece jen něco pokazilo, model vyhrazené instance znamená, že dopad zůstává omezený na jednu organizaci. Ne miliony schránek. Jednu.

Co doporučujeme

E-mail se prověřuje málokdy – obvykle až když k tomu něco donutí. Funguje, takže zůstává. Jenže vymáhání GDPR zraje, trénování AI na komunikačních datech už dávno není okrajové téma a firmy, které berou soukromí na lehkou váhu, jsou stále vidět – a stále více se z toho zodpovídají. Stojí za to zeptat se vašeho právního a technického týmu, jak se s vaším e-mailem skutečně nakládá, kde žije a co s ním podmínky vašeho poskytovatele dovolují dělat.