Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Obowiązek informacyjny RODO – udowodnienie wysyłki maili – czy to jest w ogóle możliwe?

27 marca 2019, 21:25 | W biegu | komentarzy 15

W ostatnich dniach ponownie jest głośno o RODO. W ostatniej wysokiej karze poszło o brak wykonania obowiązku informacyjnego (wymaganego przez RODO), za pomocą poczty tradycyjnej lub telefonu.

Wszyscy za to przechodzą dość szybko do porządku nad tematem wysyłki e-maili ze stosowną informacją o fakcie przetwarzania danych. I tu się zastanawiamy, co jest wystarczającym dowodem, że taki obowiązek został spełniony?

  • Odznaczyłem maile w bazie jako 'mail wysłany’ ?
  • Zleciłem na zewnątrz wysyłkę maili do bazy?
  • Skorzystałem z zewnętrznego serwera SMTP do wysyłki danych (jeśli wysłałem maile bez szyfrowania (na poziomie protokołu SMTP), to może właśnie mam incydent?)
  • Sam (jako firma) wysłałem maile do wszystkich osób objętych obowiązkiem?
  • Mam kopię każdego maila, który został wysłany?
  • Mam potwierdzenie otwarcia maila od każdego odbiorcy (ale to ingerencja w prywatność)?
  • Mam pewność, że nawet te osoby którym mail wpadł do spamu (a wiadomo jak to to jest z masowymi wysyłkami), odczytały wiadomość (a może wszystkim taka informacja wpadła do spamu?)

Co o tym myślicie? A może sami widzicie inne, problematyczne fakty dotyczące tematu?

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Robert

    W thunderbird jest opcja „informuj o statusie doręczenia|, to powoduje zwrotkę z serwera odbiorcy z informację o wpłynięciu na niego maila. To wystarczy z tego co mi wiadomo.

    Odpowiedz
    • Ale jak masz kilka(set) tysięcy maili do wysłania, to nie będziesz tego raczej robił z Thunderbird ;) Oczywiście to można zasymulować poza Thunderbirdem. Ale właśnie – czy aż taki mocny wymóg potwierdzenia jest potrzebny?

      Odpowiedz
      • Kostuch

        Thunderbird ma plugin (mailmerge) do wysyłania korespondencji seryjnej i działa lepiej niż outlook.

        Odpowiedz
        • Kamil

          dokładnie, niestety zaraz po jej użyciu trafia się niemal zawsze do spamu :D

          Odpowiedz
    • w65

      Z tego co wiem, jak to potwierdzenie działa, to większość klientów wyświetla monit „nadawca prosił o potwierdzenie odebrania, czy wysłać takie potwierdzenie?” więc mimo wszystko odbiorca może kliknąć np. „nie” i nadal nic ci to nie daje.

      Odpowiedz
      • Monter

        Są dwa rodzaje żądań, przynajmniej jest tak w TheBAT – „potwierdzenie dostarczenia” oraz „potwierdzenie przeczytania”.
        To ostatnie faktycznie powoduje wyświetlanie monitu czytającemu i jeśli ten to zignoruje, to zwrotka nie przyjdzie. Za to potwierdzenie dostarczenia obsługuje już serwer odbiorcy automatycznie i tu żaden monit adresatowi poczty nie wyskakuje.

        Szkoda, że większość (o ile nie wszystkie) webowych klientów poczty kompletnie nie obsługuje żadnej z tych flag.

        Odpowiedz
  2. Bartosz

    Zawsze będą jakieś incydenty z nieotrzymaniem maila (spam, błąd w adresie, umyślne wykasowanie) ale tak samo może być z wysyłką listów (nie piszę o listach poleconych). Ostatnio nawet z Policji otrzymuję mailem prośby o zgranie materiału CCTV i tam nikt nie sprawdza czy wiadomość dotarła.

    Myślę, że lepiej wysłać taką wiadomość (jako wysłane) z zaznaczeniem opcji doręczenia i jeszcze prośbą o potwierdzenie otrzymania wiadomości za pomocą odpowiedzi w mailu niż nie mieć nic, bo koszta poinformowania odbiorców są zbyt duże.

    Jeszcze obowiązek informacyjny wrzuciłbym gdzie się da czyli na stronie, w stopce maila, przy zakładaniu konta.

    PS Przy tym wszystkim trzeba zadać sobie ważne pytanie: skąd będę miał te dane? Jak ktoś zakłada konto, to informację w obowiązku informacyjnym itp.

    Odpowiedz
  3. KN

    Wysyłasz maile zw. z obowiązkiem informacyjnym z osobnego serwera, z którego archiwizujesz logi z 5-letnim okresem retencji, podpisując je z wykorzystaniem np. podpisu kwalifikowanego. Na wyjściu masz gotowy materiał dowodowy opatrzony datą i trudny do zmanipulowania. Wątpię, żeby jakikolwiek sąd próbował taki dowód kwestionować. Jeśli są to maile wyłącznie związane z obowiązkiem informacyjnym, wolumen danych też nie będzie koszmarny.

    Odpowiedz
  4. Artur

    Jeśli powiadomienia listowne muszą być wysłane listem poleconym to przez analogię – wypadałoby mieć loga z dostarczenia maila na serwer adresata.
    A jeśli snailmail musi być ze zwrotnym potwierdzeniem odbioru … ;)

    Odpowiedz
  5. JanQ

    U nas jest w wiadomości link potwierdzający zapoznanie się z treścią. Jak ktoś nie kliknie to po 7 dniach wylatuje z bazy.
    To powinno wystarczyć.

    Odpowiedz
  6. Dawid

    „Co o tym myślicie? A może sami widzicie inne, problematyczne fakty dotyczące tematu?”

    Problematyczne to, od początku było RODO. To jest nierealne do spełnienia w taki sposób jak sobie urzędnicy wymyślili…

    JanQ ma dobrą metodę.

    Odpowiedz
  7. Umiesz udowodnić, że stosowna informacja została przesłana do każdej zainteresowanej osoby (logi, kopie). Adresat nie musi jej czytać (wręcz uważam, że śledzenie otwarcia jest niedopuszczalne).

    Odpowiedz
    • Właśnie z tym udowodnieniem to nie jest takie proste :) Bo to że przecież kliknąłem w appce do wysyłania przycisk wyślij, a appka napisała 'wysłane’ – to jest słaby dowód. Tj. urzędnik to potwierdzi, ale można to łatwo podważyć.

      Nie mówię już nawet o specjalnie złośliwych scenariuszach – typu robie mail specjalnie jako spam (jak to udowodnisz?) – prawie nikt tego nie dostanie (czyli nie będzie się rzucał żebym nie przetwarzał jego danych), a ja mam odfajkowane że dopełniłem obowiązku informacyjnego :)

      Odpowiedz
      • Krzysztof Kozłowski

        Z klientami jest pewien problem…
        Nie odbierają faktur. Nawet tych wysłanych poleconymi potrafią nie dostać. To nic, że potwierdzili odbiór i ja dostałem zwrotkę.
        Najlepsi sa tacy co się awanturują, że nie dostali faktury, którą byli łaskawi opłacić i wpisać jej numer… :D
        Gdzie tam do obowiazku informacyjnego będą mieli głowę.
        Potrafią sprzętu z serwisu nie odbierać…
        Albo dzwonią i mówią, że zostawili wczoraj komputer….
        Ki czort? No żywce nie zostawili, bo nie było nas w firmie i żadnych komputerów nie przyjmowaliśmy :D

        Ilość maili z tym syfem była tak wielka, że 90% lądowało w spamie.
        A reszta? Większość ludzi po prostu kasowała wszystko co miało rodo w nagłówku albo w treści. I tyle z obowiązku inf. zostało.
        Ta kara jest przykładem na to jak bandycką jest ta dyrektywa.
        I jak kłamali eksperci cieszący się z zapisów nieprecyzyjnych o za dużym ciężarze dla firm. Tak samo będzie z zapewnieniem ochrony w rozsądnym zakresie. Potem będzie eldorado do zmiatania fimrm z rynku

        Odpowiedz
  8. 100c1p43r

    A jak ma sie do tego wszystkiego wykorzystanie dostawcy, ktory dodaje naglowek DKIM, tak jak np. robi to GMail?

    Odpowiedz

Odpowiedz