Logo TGC Corporate Lawyers
Zapytaj o ofertę
  • Kancelaria prawna
  • Poczta elektroniczna pod lupą RODO. PUODO ostrzega przed naruszeniami.
Kobieta pracująca na laptopie przy biurku
29.05.2026 Ochrona danych osobowych

Poczta elektroniczna pod lupą RODO. PUODO ostrzega przed naruszeniami.

Wszystkie

E-mail jako jedno z głównych źródeł naruszeń RODO 

Poczta elektroniczna od lat stanowi podstawowe narzędzie komunikacji w organizacjach – zarówno w sektorze prywatnym, jak i publicznym. Jej powszechność sprawia jednak, że coraz częściej staje się także źródłem poważnych naruszeń ochrony danych osobowych. 

 Jak wynika z analiz i komunikatów Urzędu Ochrony Danych Osobowych (PUODO), istotna część zgłaszanych incydentów naruszenia RODO dotyczy właśnie danych przetwarzanych za pośrednictwem poczty elektronicznej. 

PUODO zwraca uwagę, że organizacje wciąż nie doceniają ryzyk związanych z e-mailami – zarówno na poziomie technicznym, jak i organizacyjnym. W efekcie nawet rutynowa korespondencja może prowadzić do naruszenia poufności, integralności lub dostępności danych osobowych. 

Najczęstsze naruszenia: włamania i brak zabezpieczeń wiadomości 

Z analiz publikowanych przez PUODO wynika, że najczęstsze naruszenia RODO w obszarze poczty elektronicznej dotyczą dwóch podstawowych problemów. Pierwszym z nich są włamania na służbowe skrzynki e-mail, często będące skutkiem skutecznych ataków phishingowych, stosowania słabych haseł lub braku dodatkowych mechanizmów ochrony. 

Drugą kategorią są wiadomości e-mail zawierające dane osobowe przesyłane bez odpowiednich zabezpieczeń, w szczególności w postaci niezaszyfrowanych załączników. W takich przypadkach naruszenie może nastąpić nie tylko w wyniku ataku zewnętrznego, ale również przez przypadkowe przechwycenie korespondencji lub jej nieuprawnione odczytanie. 

Kobieta pracująca na laptopie i ikona kłódki

Skrzynka e-mail jako archiwum? PUODO ostrzega 

Eksperci zajmujący się ochroną danych osobowych zauważają niepokojący trend traktowania skrzynek e-mailowych jako domyślnego repozytorium dokumentów. W praktyce oznacza to, że w skrzynkach przechowywane są przez lata umowy, dane klientów, dokumentacja kadrowa czy informacje finansowe. 

PUODO jednoznacznie podkreśla, że poczta elektroniczna nie służy do długoterminowego przechowywania danych osobowych. Organizacje często nie analizują, gdzie fizycznie znajdują się serwery pocztowe, jaki jest poziom ich zabezpieczeń ani czy spełniają one wymogi RODO w zakresie przetwarzania danych, w tym transferu danych poza UE. 

Retencja danych e-mail a art. 5 RODO 

Jednym z kluczowych obowiązków administratorów danych wynikających z RODO jest wdrożenie i stosowanie polityki retencji danych. Dotyczy to również informacji przesyłanych i przechowywanych w poczcie elektronicznej. 

Zgodnie z art. 5 RODO dane osobowe powinny być: 

przetwarzane wyłącznie w jasno określonym celu, 

przechowywane nie dłużej, niż jest to niezbędne do realizacji tego celu. 

Brak jasno określonych zasad retencji e-maili lub ich nieprzestrzeganie prowadzi do naruszenia zasady ograniczenia przechowywania, co może skutkować odpowiedzialnością administracyjną, w tym karami finansowymi. 

Dwa główne obszary ryzyka według PUODO

PUODO wskazuje na dwie główne kategorie zagrożeń związanych z e-mailami

1. Nieuprawniony dostęp do skrzynek pocztowych 

Do naruszeń dochodzi najczęściej w wyniku: 

  • phishingu, 
  • stosowania prostych lub powtarzalnych haseł, 
  • braku uwierzytelniania wieloskładnikowego (MFA), 
  • niewystarczających procedur reagowania na incydenty. 

2. Brak zabezpieczeń przesyłanych danych 

Przesyłanie danych osobowych w formie niezaszyfrowanych załączników sprawia, że – jak obrazowo wskazują eksperci – wiadomość e-mail przypomina kartkę pocztową, której treść może być dostępna dla osób trzecich na różnych etapach przesyłu. 

Błędy ludzkie nadal poważnym problemem 

Do częstych naruszeń RODO dochodzi także na skutek błędów użytkowników, takich jak: 

  • pomyłki w adresach e-mail, 
  • bezkrytyczne korzystanie z funkcji autouzupełniania, 
  • wysyłanie wiadomości do wielu odbiorców bez użycia pola UDW, 
  • dołączanie niewłaściwych załączników. 

Każdy z tych błędów może prowadzić do nieuprawnionego ujawnienia danych osobowych, które podlega obowiązkowi zgłoszenia do PUODO, a w niektórych przypadkach także zawiadomienia osób, których dane dotyczą. 

Rekomendacje PUODO: jak ograniczyć ryzyko naruszeń 

W odpowiedzi na rosnącą liczbę incydentów PUODO rekomenduje wdrożenie szeregu działań technicznych i organizacyjnych, w tym: 

szyfrowanie załączników i całych wiadomości, 

stosowanie zasady „dwóch kanałów” przy przekazywaniu haseł, 

wdrażanie uwierzytelniania wieloskładnikowego (MFA), 

regularne szkolenia pracowników z zakresu RODO i cyberbezpieczeństwa, 

wprowadzenie tzw. „rytuału uważności”, czyli obowiązkowej weryfikacji adresata, treści i załączników przed wysłaniem e-maila. 

Podsumowanie 

Poczta elektroniczna nie powinna być traktowana jako bezpieczne archiwum danych osobowych. Jak jednoznacznie podkreśla PUODO, skuteczna ochrona danych w kontekście e-maili wymaga połączenia technologii, procedur oraz świadomości pracowników

Brak odpowiednich zabezpieczeń, polityk i kontroli sprawia, że nawet pozornie nieszkodliwa wiadomość e-mail może stać się źródłem poważnego naruszenia przepisów RODO, narażając organizację na kary finansowe i utratę zaufania. 

Najczęściej zadawane pytania (FAQ): 

Czy każda pomyłka w adresie e-mail oznacza naruszenie RODO? 

Czy prywatne skrzynki e-mail w pracy są zgodne z RODO? 

Czy RODO wymaga szyfrowania wszystkich e-maili? 

Jak długo można przechowywać e-maile zawierające dane osobowe? 

Czy naruszenie e-mailowe zawsze trzeba zgłaszać do PUODO? 

Violetta Matusiak Inspektor ds. Ochrony Danych Osobowych

Absolwentka prawa w Akademii Leona Koźmińskiego. Od 2011 roku zajmuje się ochroną danych osobowych oraz bezpieczeństwem informacji.

Ukończyła liczne szkolenia i kursy z zakresu ochrony danych, bezpieczeństwa informacji, norm ISO i Compliance. Współpracowała z wieloma firmami z różnych branż, w tym z podmiotami publicznymi oraz międzynarodowymi grupami kapitałowymi. Obecnie uczestniczka studiów podyplomowych z zakresu prawa sztucznej inteligencji.

Zobacz także

30.09.2021 Ochrona danych osobowych
Zasady przetwarzania i rozpowszechniania wizerunku
20.11.2020 Ochrona danych osobowych
Ochrona danych przy pracy zdalnej
26.10.2017 Ochrona danych osobowych
Zmiany w przepisach o danych osobowych RODO
Chcesz być na bieżąco?
Subskrybuj nasz newsletter!
Pełna treść zgody

TGC Corporate Lawyers

ul. Wronia 10
00-840 Warszawa
Polska

Infolinia: +48 22 295 33 00 

contact@tgc.eu

NIP: 525-22-71-480, KRS: 0000167447,
REGON: 01551820200000. Sąd Rejonowy dla
m.st. Warszawy, XII Wydział Gospodarczy

Mapa