Čo GDPR znamená pre váš e-mail – a čo už nepokrýva

Čo GDPR vyžaduje

V jadre GDPR hovorí, že osobné údaje sa majú zbierať na konkrétny účel, používať len na ten účel, primerane chrániť a zmazať, keď už nie sú potrebné.

Pre e-mail to v praxi znamená pár konkrétnych vecí. Údaje musia žiť na vymedzených a chránených miestach. Prístup k nim musí byť riadený a zaznamenávaný. Keď používateľ alebo firma požiada o vymazanie, má sa skutočne vymazať – nie len označiť príznakom v databáze, kým samotný obsah ďalej roky leží na disku.

Posledný bod znie banálne, ale dôležitý je viac, než sa zdá. Skutočné zmazanie znamená, že databáza naozaj urobí delete a zálohy expirujú podľa stanoveného harmonogramu. Nie je to nič zložité, ale chce to vedomé rozhodnutie.

Kde sa to s „súladom" začína komplikovať

GDPR rieši ochranu údajov. Nezakazuje poskytovateľovi využívať vaše dáta vo vlastných systémoch, pokiaľ to má napísané v obchodných podmienkach. Poskytovateľ môže byť plne v súlade s GDPR a zároveň používať obsah e-mailov na trénovanie interných modelov, vylepšovanie filtrov alebo rozhodovanie o produkte.

Väčšina ľudí podmienky podrobne nečíta. Väčšina predpokladá, že „v súlade s GDPR" znamená, že ich korešpondencia sa berie ako súkromná. To však nie je vždy to isté.

GDPR v e-mailovej komunikácii funguje inak

Debata o GDPR sa väčšinou točí okolo súhlasu – dal človek súhlas, že chce dostávať tento e-mail, súhlasil so spracovaním svojich údajov. Bežná pracovná korešpondencia ale funguje úplne inak. Keď vám dodávateľ pošle cenovú ponuku, klient zadanie, kolega prepošle dokument – nikto nič nepodpísal. Nikto sa do ničoho neprihlásil.

Obsah e-mailu je podľa GDPR osobný údaj. Mená, e-mailové adresy, prílohy, rozhovory o ľuďoch – to všetko spadá pod definíciu nariadenia. V hlavičke je meno odosielateľa. V tele sú jeho slová. Ľudia posielajú heslá, prístupové údaje, zmluvy, finančné detaily – bez toho, aby čo i len na sekundu rozmýšľali, kde ten obsah vlastne skončí. Podľa GDPR sem patrí akýkoľvek údaj, ktorý sám alebo v kombinácii dokáže identifikovať osobu. E-mailová konverzácia túto latku prejde ľavou zadnou.

Aký právny základ teda pokrýva to, že príjemca takúto správu ukladá a spracúva? GDPR vyžaduje zákonný dôvod pre každé spracovanie. Pri prijatej pracovnej korešpondencii sa najčastejšie odvolávame na „oprávnený záujem" – teda že medzi stranami existuje relevantný a primeraný vzťah. Po slovensky: dostali ste pracovný e-mail, je rozumné, že si ho uložíte. Na tomto základe stojí väčšina firiem, či už si to uvedomujú alebo nie.

Niektoré firmy sa snažia chýbajúcu dohodu zaplátať pätičkou v e-maile – riadkom, že správa je určená výhradne uvedenému príjemcovi a akékoľvek neoprávnené použitie je zakázané. Takéto disclaimery žiadnu právnu povinnosť nezakladajú. Odosielateľ ich pridáva do správy, ktorá už dávno nie je v jeho rukách, a dopadne na infraštruktúre, s ktorou nemá žiadnu dohodu. Môžu naznačovať zámer, ale nikoho nezaväzujú. A okrem právnej stránky je tu ešte jedna praktická: predpokladané súkromie korešpondencie je skutočné, nech už podmienky dovoľujú čokoľvek. Keď toto očakávanie poskytovateľ zradí – zámerne alebo nie – škoda na dôvere býva trvalá.

Ako k tomu pristupujeme v Grace Mail

Grace Mail sme postavili na princípe, ktorý ide ďalej, než kam siahajú regulačné minimá. Vaše dáta nesmú byť čitateľné, použiteľné ani dostupné nikomu mimo vašej organizácie – vrátane nás.

V praxi to znamená vyhradenú inštanciu pre každého klienta – váš server, vaše dáta, žiadna zdieľaná infraštruktúra. Znamená to agresívne šifrovanie, ktoré minimalizuje čas, kedy akýkoľvek obsah leží mimo šifrovaného úložiska. Znamená to skutočné mazanie na požiadanie a zálohy s jasne stanovenou expiráciou. A znamená to aj vlastného poštového klienta, ktorý práve vyvíjame – ten dá šifrovacie kľúče priamo do rúk používateľov a posunie bezpečnosť ešte o úroveň vyššie.

Nič z toho GDPR nevyžaduje. Myslíme si, že by to napriek tomu mal byť základný štandard.

V nepravdepodobnom prípade, že by sa niečo pokazilo, model vyhradenej inštancie zabezpečí, že problém zostane uzavretý v rámci jednej organizácie. Nie miliónov schránok. Jednej.

Naše odporúčanie

K revízii e-mailu zvyčajne nedôjde, kým si to niečo nevynúti. Funguje, tak ho nikto nerieši. Ale vymáhanie GDPR dospieva, trénovanie AI na komunikačných dátach už dávno nie je okrajová téma a firmy, ktoré berú súkromie ako čosi vedľajšie, sú čoraz viditeľnejšie – a čoraz viac sa za to zodpovedajú. Stojí za to spýtať sa právneho a IT tímu, ako sa váš e-mail v skutočnosti spracúva, kde leží a čo s ním podmienky poskytovateľa dovoľujú robiť.