GDPR

Adatvédelem mindenkinek / Data protection for everyone

Tömeges email küldés: hogyan kerüljük el az adatvédelmi buktatókat?

2023. október 02. 11:30 - poklaszlo

Az emailezés a mindennapok szerves részévé vált, igaz ez a munkavégzésre és a munkán kívüli tevékenységekre egyaránt. Egy felmérés szerint 2023-ban naponta (!) közel 350 milliárd email kerül elküldésre és ez a szám az elkövetkező években tovább növekedhet (éves szinten kb. 4%-al).

Az emailek - a küldő és címzett(ek) email címén (lásd a Kúria 2023-ban közzétett ítéletét a témához) túlmenően is - sok esetben személyes adatokat tartalmaznak. Éppen ezért kiemelten fontos, hogy milyen módon valósulnak meg az emailezés során az adatvédelmi követelmények. (Az emailek és a titkosítás kapcsolatáról és az ez erre irányuló hatósági gyakorlatról itt írtam korábban.)    

A brit adatvédelmi hatóság (ICO) a közelmúltban egy praktikus útmuatót tett közzé a vállalkozások részére, amely a tömeges email küldés kapcsán ad eligazítást az adatvédelmi követelményeknek való megfeleléshez

1. Mire vonatkozik az útmutató?

Az útmutató kifejezetten a tömeges emailek (bulk emails) küldésével összefügő adatvédelmi kérdésekkel foglalkozik, így azoknak lehet különösen hasznos, akik rendszeresen küldenek ki ilyen emaileket. Ez  - többek között - munkahelyi környezetben, üzleti kapcsolatokban, hírlevelek küldése során és további hasonló esetekben merülhet fel.  

Az útmutató kitér a "CC" (carbon copy) és a "BCC" (blind carbon copy) használatának adatvédelmi szempontból rerleváns különbségére. A "BCC" használata kapcsán az útmutató megjegyzi, hogy bár ez is használható megoldás lehet tömeges emailek küldése esetén, de nagy a hibázási lehetőség, mert ha pl. "BCC" helyett "CC"-be kerülnek az email címek, akkor ez akár incidenshez is vezethet (mert olyanok számára válnak hozzáférhetővé az email címek, akiknek nem kellene hozzáférniük ezen adatokhoz, lásd pl. ebben a spanyol ügyben vagy az ICO 2021-es döntése kapcsán). Éppen ezért ennek a megoldásnak akkor lehet helye, ha a küldött emailek nem tartalmaznak különösebben érzékeny adatokat (pl. egy belső hírlevél), azaz a "BCC" használata inkább a "Reply All" ("válasz mindenkinek") funkció használatának elkerülését szolgálja. (Az Európai Adatvédelmi Testület incidensekre vonatkozó iránymutatása is érinti a témát, amely szerint egyes esetekben a "BCC" használata megfelelő kockázatcsükkentő intézkedés lehet.) Egyéb esetekben inkább kifejezetten tömeges emailek küldésére alkalmas szolgáltatást indokolt használni.  

2. Milyen adatvédelmi kötelezettségeknek kell eleget tenni a tömeges emailek küldése kapcsán?

Vizsgálni szükséges, hogy milyen technikai és szervezési intézkedések szükségesek. Az intézkedéseknek biztosítaniuk kell az integritás, a bizalmas jelleg és a hozzáférhetőség megfelelő érvényesülését. Ha harmadik fél vesz részt az emailek küldésében (pl. egy külsős szolgáltató), akkor - az adatkezelésben betöltött szerepétől függően - rendezni kell az adatkezeléssel összefüggő feladatait és a felelősségi kérdéseket (tipikusan az adatfeldolgozói megállapodásban vagy adatkezelők közötti szerződésben).   

A biztonsági intézkedéseknek kockázatokkal arányosnak kell lenniük. A "BCC" esetleges használata kapcsán - a fentiekben már jelzett szempontokon túl - azt is fontos mérlegelni, hogy a "BCC" használata esetén, bár az ebben a rovatban szereplő címzettek nem látják egymás email címét, de a tartalom hozzáférhető lehet azon szervereken keresztül, amelyek továbbítják ezen emaileket.   

A technikai intézkedések körében az alábbiak megfontolását javasolja az útmutató: 

  • a levelező rendszer akként történő konfigurálása, hogy figyelmeztesse az email küldőit, ha a "CC" mezőt használják, 
  • egy késleltetés is beállításra kerülhet, amely időt ad az esetleges hibák (pl. "CC" használat "BCC" helyett vagy téves címzettek szerepeltetése, stb.) korrigálására, mielőtt az email elhagyná az adott szervezet rendszerét, 
  • az automatikus kiegészítés (auto-complete) kikapcsolása, hogy a rendszer ne javasoljon olyan címzetteket, akiknek a küldő nem szánja az üzenetet, 
  • a National Security Center által elérhetővé tett, az email biztonságosságának ellenőrzésére szolgáló eszköze is használható lehet.

A technikai intézkedések mellett nagyon fontosak a szervezeti intézkedések is, így a megfelelő tájékoztatás és oktatás, a vonatkozó szabályozások folyamatos felülvizsgálata és naprakészen tartása. 

Összességében az ICO útmutatója - ha a benne foglaltak nem is jelentenek feltétlenül újdonságot - praktikus segédletet nyújt arra, hogy - egy kis odafigyeléssel - komoly adatvédelmi incidensek előfordulását előzzük meg egy olyan területen (email küldés), ahol a nagy számok törvénye miatt (is) könnyen előfordulhatnak incidensek.

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr9018219667

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása