Dlaczego organizacje finansowe muszą zachować ostrożność w zarządzaniu pocztą elektroniczną?

Pandemia sprawiła, że wiele organizacji odczuwa potrzebę większej elastyczności i zdolności adaptacji do zmian. W centrum tego procesu znajduje się przejście na pracę hybrydową, które obejmuje rozproszony personel i ponowne skupienie się na doświadczeniach pracowników oraz możliwościach współpracy z osobami trzecimi.

Zarządzanie pocztą elektroniczną i polityki retencji w branży finansowej

Przejście na pracę hybrydową ma wpływ na przestrzeń cyfrową i zmusza organizacje finansowe do wzięcia większej odpowiedzialności za swoje dane, np. poprzez solidne strategie zarządzania pocztą elektroniczną.

Kluczowym czynnikiem jest fakt, że branża finansowa jest obecnie silniej regulowana niż kiedykolwiek wcześniej. Na przykład druga wersja dyrektywy w sprawie rynków instrumentów finansowych (MiFID II) weszła w życie w 2018 r., wymagając od państw członkowskich UE wdrożenia obowiązków w zakresie prowadzenia dokumentacji dla firm działających w sektorze finansowym (np. firm inwestycyjnych czy instytucji kredytowych).

Jak stanowi art. 16 ust. 6 MiFID II, firma inwestycyjna musi zorganizować przechowywanie wystarczającej dokumentacji dotyczącej wszystkich usług, działań i transakcji podejmowanych przez przedsiębiorstwo, aby umożliwić właściwemu organowi wykonanie zadań nadzorczych, a w szczególności stwierdzenie zgodności ze wszystkimi zobowiązaniami. Jest zatem oczywiste, że organizacje finansowe muszą uważnie śledzić sposób zarządzania i archiwizowania komunikacji elektronicznej.

Archiwizacja poczty elektronicznej vs Backup

Podstawowym celem archiwizacji poczty elektronicznej jest zapewnienie, że dane dotyczące wiadomości pozostają dostępne w swojej oryginalnej formie i są możliwe do odzyskania w dowolnym momencie. Organizacje muszą przeanalizować, które typy wiadomości e-mail powinny być archiwizowane i przez jak długi czas. Przykładami krytycznych informacji biznesowych zawartych w wiadomościach e-mail są faktury, umowy, oferty, skargi lub reklamacje usług. Jednak strategia zarządzania wiadomościami e-mail będzie musiała również uwzględniać wymogi zgodne z RODO i podobnymi przepisami dotyczącymi prywatności danych, z których część opisano poniżej. W związku z tym archiwizacja wszystkich wiadomości e-mail na nieokreślony czas, może być mimo wszystko niewskazana.

Możliwości archiwizacji wiadomości elektronicznych są odrębne względem rozwiązań do tworzenia kopii zapasowych, które powinny być stosowane jedynie jako tymczasowe kopie danych serwera poczty elektronicznej na zewnętrznym nośniku lub w chmurze. System backupu służy do odzyskiwania danych po awarii: umożliwia tymczasowe skopiowanie zbiorów danych z pamięci zewnętrznej w przypadku utraty danych lub przestoju systemu, np. w wyniku awarii sprzętu lub cyberataku.

Kluczowe wymagania przestrzegania przepisów o ochronie danych osobowych

Wiadomości e-mail związane z działalnością biznesową praktycznie zawsze zawierają dane osobowe lub inne wrażliwe informacje. Specyficzne dla branży regulacje i przepisy dotyczące prywatności danych, takie jak RODO, były w ciągu ostatnich kilku lat kluczowym czynnikiem zwiększającym świadomość firm w zakresie strategii zarządzania wiadomościami e-mail. Przepisy dotyczące prywatności zawierają przepisy mające na celu ochronę podstawowych praw i wolności ludzi podczas przetwarzania ich danych osobowych. Ogólne przepisy RODO obejmują zasady przetwarzania, adekwatności, minimalizacji, celowości, poprawności a także integralności i poufności danych. Podmiot określający cele i środki przetwarzania, "administrator danych", będzie odpowiedzialny za przestrzeganie tych zasad.

Rozwiązanie do archiwizacji wiadomości e-mail powinno na przykład umożliwiać automatyczne usuwanie wiadomości e-mail, które zostały pomyślnie zarchiwizowane, w stosownych przypadkach, zwalniając w ten sposób miejsce do przechowywania i przestrzegając zasad prywatności danych, takich jak minimalizacja danych i ograniczenie celu zgodnie z art. 5 RODO

Lokalizacja i suwerenność danych oraz outsourcing dla dostawców usług

Tworzenie strategii zarządzania pocztą elektroniczną wymaga również oceny, czy wiadomości e-mail są przechowywane na serwerze zarządzanym lokalnie przez własny dział IT, czy też u niezależnego dostawcy SaaS lub jego podwykonawców. Jeśli chodzi o przechowywanie danych, wykorzystanie technologii chmury jest świetną opcją, ponieważ oferuje tak ważną dzisiaj skalowalność. Ale to nie załatwia sprawy tego, gdzie znajdują się dane poczty elektronicznej oraz jak są chronione i zarządzane.

Dokonując oceny wdrożenia rozwiązania w chmurze, instytucje finansowe będą musiały z jednej strony dokładnie rozważyć wymogi swojego sektora, takie jak wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) lub Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) w sprawie outsourcingu dla dostawców usług chmury obliczeniowej.

Z drugiej strony, konieczne jest określenie, gdzie są przetwarzane i archiwizowane wiadomości e-mail, czyli gdzie znajdują się centra danych i skąd możliwy jest dostęp. Jest to istotne zgodnie z art. 44 RODO - przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może mieć miejsce tylko wtedy, gdy poziom ochrony nie został tam naruszony. W przeszłości przedsiębiorstwa mogły na przykład wykorzystać tzw. zasady ochrony prywatności w ramach Safe Harbor, aby zapewnić odpowiedni poziom ochrony. Jednak Safe Harbor został uznany za nieważny przez Europejski Trybunał Sprawiedliwości w 2015 r. Była to pierwsza decyzja "Schrems" nazwana na cześć znanego austriackiego działacza Maxa Schremsa. Tarcza Prywatności UE-USA zastąpiła Safe Harbour, która została uznana za nieważną w 2020 r. w innej sprawie znanej jako "Schrems II". W rezultacie, przeprowadzenie zgodnych z prawem transferów danych osobowych do państw trzecich jest obecnie dość trudne.

Ponadto, angażując dostawcę SaaS, przedsiębiorstwo powinno rozważyć zawarcie aneksu dotyczącego przetwarzania danych ("DPA"). Data Processing Agreement to umowa, która obejmuje wymogi art. 28 rozporządzenia RODO. Jest ona wymagana, gdy strona trzecia ("przetwarzający") jest zaangażowana do przetwarzania danych osobowych w imieniu administratora. Administrator musi m.in. zapewnić, że przetwarzający wdrożył środki techniczne i organizacyjne odpowiednie do ryzyka.

Archiwizacja poczty elektronicznej jako część strategii ciągłości biznesowej

Zalecamy, aby wszystkie organizacje finansowe wdrożyły właściwy system do zarządzania pocztą elektroniczną, w tym niezależne rozwiązanie do archiwizacji email, jako część swojej integralnej strategii biznesowej.

Identyfikacja i zarządzanie ryzykiem związanym z bezpieczeństwem i danymi wewnątrz organizacji również może stanowić wyzwanie. Archiwizacja poczty elektronicznej może pomóc zminimalizować zagrożenia wewnętrzne, ponieważ zapewnia bezpieczeństwo i zgodność z przepisami obowiązującymi w danym sektorze oraz kraju lub regionie.

Profesjonalne rozwiązania archiwizacji poczty elektronicznej pozwalają firmom na wybór pomiędzy różnymi strategicznymi podejściami, w zależności od ich potrzeb. W takim razie kluczową kwestią będzie wybranie odpowiedniej koncepcji dopasowanej do potrzeb danej organizacji. Jeśli głównym celem jest archiwizacja wiadomości e-mail zgodnie z prawem, najlepszą opcją może być skorzystanie z journalingu. Alternatywnie, jeśli głównym celem jest odciążenie serwera poczty elektronicznej, archiwizacja skrzynek pocztowych w połączeniu z określonymi regułami usuwania może być lepszym rozwiązaniem.

Możliwe jest również połączenie obu podejść, dzięki czemu instytucje finansowe mogą wdrożyć archiwizację poczty elektronicznej jako niezbędną część swojej strategii korporacyjnej.

Żródło: https://www.mailstore.com/en/blog/email-management-finance-sector/