Dość często zdarza się, że pracownicy przekierowują służbową korespondencję na prywatne adresy e‑mail. Choć wydaje się to wygodne (np. kiedy nie mamy stałego dostępu do urządzenia służącego do odbierania poczty służbowej), niesie za sobą realne zagrożenia bezpieczeństwa przetwarzanych danych.
ZAGROŻENIE BEZPIECZEŃSTWA DANYCH OSOBOWYCH
Służbowa elektroniczna skrzynka pocztowa jest skonfigurowana w sposób umożliwiający firmie sprawowanie nad nią kontroli. W momencie, gdy wiadomość trafia na prywatną skrzynkę e-mail organizacja nie ma żadnego wpływu na jej zabezpieczenie. Wówczas w przypadku np. przejęcia skrzynki mailowej przez osobę nieuprawnioną organizacja nie może zablokować konta użytkownika lub usunąć zawartości poczty, a nawet nie ma możliwości, aby wykryć taki incydent. Problematyczne jest również usunięcie służbowych informacji z prywatnej poczty pracownika po zakończeniu współpracy.
Wiadomości e-mail bardzo często zawierają dane osobowe (np. pracowników, klientów, kandydatów do pracy, kontrahentów). Ich przekazywanie poza służbowe zaplecze IT może spowodować, że dostęp do nich będą miały osoby nieuprawnione. Poczta elektroniczna przesyłana między różnymi serwerami pocztowymi nie zawsze jest szyfrowana, dlatego treść wiadomości może zostać wówczas przechwycona przez programy szpiegujące, tzw. sniffery.
Użytkownicy często mają dostęp do prywatnej skrzynki pocztowej z własnego telefonu czy laptopa. Bywa, że urządzenia te nie są właściwie zabezpieczone, dlatego w wyniku ich utraty (zgubienia bądź kradzieży) zawartość telefonu (a zatem i skrzynki mailowej) może trafić w ręce osoby do tego nieuprawnionej. Jeśli umożliwi to (choćby nawet z małym prawdopodobieństwem) dostęp do służbowej korespondencji, należy poinformować o tym IOD, ponieważ może to prowadzić do naruszenia ochrony danych osobowych.
Wektorem ataku może być już sama możliwość przekierowania korespondencji na inny adres mailowy. Może dojść do sytuacji, że taka funkcja zostanie wykorzystana złośliwie w wyniku ataku a przekierowanie ustawione na skrzynkę cyberprzestępców. Wówczas cała korespondencja wpływająca na pocztę służbową może być przekazywana poza organizację, co może prowadzić zarówno do naruszenia ochrony danych osobowych, jak i tajemnicy przedsiębiorstwa. Stosowana praktyka przekierowania poczty utrudnia wykrycie takiego procederu.
Przekierowywanie poczty na prywatne adresy e-mail może być problematyczne również dla samego użytkownika. Może zdarzyć się, że pracownik na przekierowaną wiadomość odpisze z prywatnego adresu e-mail, w wyniku czego zostanie on ujawniony innym osobom i będzie przez nie wykorzystywany w celach służbowych.
NARUSZENIE OBOWIĄZKÓW PRACOWNICZYCH
Przekierowywanie poczty może być w pewnych sytuacjach uznane za ciężkie naruszenie obowiązków pracowniczych, za co pracownik może zostać ukarany dyscyplinarnie. Przesyłanie informacji poza organizację może być uznane za naruszenie tajemnicy przedsiębiorstwa i skutkować poważnymi konsekwencjami.
Takie stanowisko zostało potwierdzone w orzecznictwie. Sąd Najwyższy w postanowieniu z 5 czerwca 2024 r. (sygn. akt II PSK 65/23) uznał, że przekierowanie poufnych danych firmowych na prywatny adres (zwłaszcza w okresie urlopu realizowanego w okresie wypowiedzenia) może zostać uznane za „ciężkie naruszenie obowiązków pracowniczych”. Jak podkreślił SN w uzasadnieniu postanowienia „jednolicie przyjmuje się, że >>wyprowadzanie<< z zasobów pracodawcy poufnych dokumentów i gromadzenie ich dla własnych celów pracownika pozostaje w sprzeczności z podstawowym obowiązkiem pracownika dbałości o dobro zakładu pracy i ochrony jego mienia (art. 100 § 2 pkt 4 k.p.). Działanie takie stanowi także zagrożenie interesów przedsiębiorcy przez wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa jako czyn nieuczciwej konkurencji”.
Zatem pracownik, który miał ustawione przekierowanie i w okresie wypowiedzenia umowy go nie wyłączył, może zostać oskarżony o działanie przeciwko pracodawcy, pomimo braku w regulacjach wewnętrznych bezpośredniego zakazu podejmowania takich działań.
PODSUMOWANIE
Przekierowywanie służbowej poczty na prywatne adresy e-mail wiąże się z poważnymi zagrożeniami zarówno dla organizacji, jak i samych pracowników. Tego typu działanie wprowadza istotne ryzyko w zakresie bezpieczeństwa informacji, ochrony danych osobowych oraz przestrzegania obowiązków pracowniczych. Dlatego w organizacji powinien obowiązywać ogólny zakaz podejmowania tego typu działań. Ponadto powinny być prowadzone działania monitorujące, mające na celu weryfikację jego przestrzegania. Można również wprowadzić techniczną blokadę automatycznego przekierowywania maili przez odpowiednią konfigurację skrzynek pocztowych. Natomiast sami pracownicy powinni mieć świadomość istnienia zagrożeń i korzystać z funkcji przekierowania korespondencji z rozwagą, tylko w uzgodnieniu z przełożonym, a najlepiej całkiem tego unikać.