Każdy e-mail firmowy zawierający imię, nazwisko, adres czy dane kontrahenta podlega Rozporządzeniu o Ochronie Danych Osobowych. Wybór dostawcy hostingu poczty to zatem nie tylko decyzja techniczna — to decyzja prawna, za którą administrator danych odpowiada osobiście. W tym artykule wyjaśniamy, jakie obowiązki nakłada RODO, gdzie powinny być serwery i jak zweryfikować swojego dostawcę.
RODO definiuje dane osobowe bardzo szeroko — to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Firmowa skrzynka pocztowa przetwarza takie dane niemal w każdej wiadomości:
Jako administrator danych masz wobec RODO konkretne obowiązki:
Weryfikacja lokalizacji serwerów — musisz wiedzieć, gdzie fizycznie przechowywane są dane. Serwery poza Europejskim Obszarem Gospodarczym wymagają dodatkowych zabezpieczeń prawnych (standardowe klauzule umowne lub decyzja o adekwatności).
Zawarcie umowy DPA — Data Processing Agreement to obowiązkowy dokument regulujący zasady przetwarzania danych przez dostawcę w Twoim imieniu. Bez niej każda przetworzona wiadomość to potencjalne naruszenie RODO.
Odpowiednie środki techniczne — szyfrowanie transmisji (TLS), opcjonalne szyfrowanie treści (S/MIME), kontrola dostępu, logowanie zdarzeń i procedury backupu.
Weryfikacja sub-procesorów — masz prawo wiedzieć, kto jeszcze przetwarza Twoje dane (np. dostawca CDN czy filtra antyspamowego).
| Lokalizacja serwerów | Wymogi RODO | Poziom ryzyka |
|---|---|---|
| Polska / UE / EOG | Wystarczy umowa DPA — brak dodatkowych formalności | Niskie |
| UK (po Brexicie) | Decyzja adekwatności UE-UK (obowiązuje, ale może być odwołana) | Średnie |
| USA | Data Privacy Framework (obowiązuje od 2023 r., ale zaskarżony) | Średnie–wysokie |
| Inne kraje spoza EOG | Standardowe klauzule umowne + Transfer Impact Assessment | Wysokie |
Z perspektywy prostoty i pewności prawnej, hosting poczty z serwerami w Polsce lub innym kraju EOG to zdecydowanie najlepsza opcja dla polskich firm. Porównanie z innymi modelami znajdziesz w artykule Hosting poczty w Polsce.
Artykuł 32 RODO explicite wymienia szyfrowanie jako jeden ze środków bezpieczeństwa. W hostingu poczty oznacza to dwa poziomy: szyfrowanie transmisji (TLS — chroni dane w drodze) oraz opcjonalne szyfrowanie treści (S/MIME — chroni wiadomość nawet na serwerze). Oba rozwiązania są dostępne w epoczta.com.
Czy darmowy webmail spełnia wymogi RODO?
W większości przypadków nie, bez dodatkowych działań. Darmowe serwisy przechowują dane poza EOG, a ich standardowe warunki nie zawierają umów DPA dla użytkowników indywidualnych.
Czy muszę powiadamiać UODO o wyborze dostawcy?
Nie, ale jesteś zobowiązany do prowadzenia Rejestru Czynności Przetwarzania (RCP), w którym wymienisz hosting poczty jako czynność przetwarzania, i do zawarcia umowy DPA z dostawcą.
Co się dzieje z danymi po zakończeniu umowy?
Dostawca powinien umożliwić eksport danych (MBOX, vCard, iCal) oraz usunąć je ze swoich serwerów w terminie określonym w umowie DPA. Instrukcję rezygnacji z konta znajdziesz w artykule Rezygnacja z prywatnego konta pocztowego.