Obowiązek zapewnienia doręczeń przy użyciu usługi e-doręczeń dotyczy przede wszystkim podmiotów publicznych (z uwzględnieniem różnych terminów uruchomienia usługi dla różnych grup tych podmiotów). Zasadniczo nowa regulacja ma zapewnić wszystkim podmiotom, publicznym i prywatnym, możliwość korzystania ze wskazanego adresu do doręczeń, skuteczność prowadzonej przy użyciu tych adresów korespondencji i rozliczalność samych doręczeń.

Podmiotem publicznym w rozumieniu ustawy są jednostki sektora finansów publicznych, inne (niż jednostki sfp) jednostki organizacyjne niemające osobowości prawnej, inne osoby prawne tworzone w celu zaspokajania potrzeb o charakterze powszechnym (o ile podmioty publiczne finansują je lub sprawują nad nimi nadzór lub kontrolę w zakresie określonym w przepisach dotyczących doręczeń elektronicznych), związki tych podmiotów realizujące zadania publiczne, komornicy sądowi.

Przepisów ustawy nie stosuje się do doręczania korespondencji zawierającej informacje niejawne, do postępowań w sprawie udzielenia zamówienia publicznego i w konkursie przewidzianym przepisami prawa zamówień publicznych, postępowań w sprawach zawarcia umowy koncesji na roboty budowlane lub usługi. Ponadto wymóg doręczania korespondencji przy użyciu usługi e-doręczeń nie ma zastosowania w przypadku gdy z przepisów wynika obowiązek wnoszenia lub doręczania korespondencji przy użyciu innych rozwiązań niż adres do doręczeń elektronicznych. Natomiast w komunikacji dotyczącej prawa pracy ustawodawca nie przewidział wyłączenia przepisów o e-doręczeniach.

Jeżeli przepisy prawa wymagają dla doręczenia korespondencji uzyskania potwierdzenia jej nadania lub odbioru, podmiot publiczny jest zobowiązany do doręczenia z użyciem usługi rejestrowanego doręczenie elektronicznego lub usługi hybrydowej wprowadzona przepisami ustawy o doręczeniach elektronicznych. Ponadto, usługa e-doręczeń ma umożliwić wymianę korespondencji między podmiotami publicznymi z jednej strony oraz podmiotami publicznymi, niepublicznymi, w tym osobami fizycznymi, z drugiej strony.

Zatem przekazanie pracownikowi dokumentu wymagającego doręczenia powinno nastąpić przy użyciu usługi e-doręczenia (wystąpi w tym przypadku relacja: podmiot publiczny – osoba fizyczna). Tymczasem e-doręczenie jest możliwe w obu formach, tj.:

• przy użyciu usług rejestrowanego doręczenia elektronicznego lub
• usługi hybrydowej.

Korzystanie z usługi hybrydowej ma zapewnić możliwość stosowania komunikacji w formie tradycyjnej (papierowej), w przypadku gdy osoba (adresat korespondencji) nie chce korzystać z doręczenia elektronicznego.

Przykład

Pracownik nie ma adresu w bazie – więc nie wypowiemy mu umowy e-mailem

Pracodawca zamierza przekazać pracownikowi wypowiedzenie zmieniające. Pracodawca – podmiot publiczny ma zamiar skorzystać z usługi e-doręczenia, ale pracownik nie ma adresu elektronicznego w Bazie Adresów Elektronicznych. W tym przypadku nie jest możliwe doręczenie wypowiedzenia przy użyciu usługi e-doręczenia.

Doręczenie przy pomocy usługi e-doręczenia wymaga zaistnienia kilku przesłanek, takich jak:

doręczenia dokonuje podmiot publiczny, adresat korespondencji, jeżeli jest osobą fizyczną, ma adres do doręczeń elektronicznych ujawniony w Bazie Adresów Elektronicznych,

nie zachodzi wyłączenie przedmiotowe (np. dotyczące informacji niejawnych).

Przykład

Przekazanie PIT-11 w formie e-doręczenia

Pracodawca – jednostka samorządu terytorialnego – chce przekazać pracownikowi, którego adres do doręczeń widnieje w Bazie Adresów Elektronicznych, informację roczną PIT-11. Dokument może być przekazany poprzez e-doręczenie, ponieważ komunikacja dotyczy kontaktu podmiotu publicznego z podmiotem niepublicznym – osobą fizyczną, która posiada adres do doręczeń, wskazany w BAE.

Komunikacja przy użyciu usługi e-doręczenia będzie stosowana wtedy, gdy wymiana korespondencji i dokumentacji między pracodawcą a pracownikiem będzie wymagała potwierdzenia doręczenia (np. wypowiedzenie umowy o pracę, wypowiedzenie zmieniające, przekazanie świadectwa pracy).

Kolejność działania w przypadku gdy adresatem jest podmiot niepubliczny (w tym osoba fizyczna, np. pracownik) wygląda następująco:

1) pracodawca – podmiot publiczny wybiera adres do doręczeń elektronicznych (jeżeli adresat ujawnił go w bazie),

2) jeśli adres nie został ujawniony w bazie – korespondencję kieruje się na adres do doręczeń, z którego nadano korespondencję,

3) jeżeli w żaden z tych sposobów nie ma możliwości wysyłki, doręcza się przy użyciu publicznej usługi hybrydowej.

Korespondencja tradycyjna będzie możliwa w szczególnie uzasadnionych sytuacjach.

Przykład

Postępowanie o udzielenie zamówienia publicznego

Podmiot publiczny wysyła korespondencję do osoby fizycznej uczestniczącej w postępowaniu o udzielenie zamówienia publicznego. Pracodawca rozważa, czy może przekazać wykonawcy umowę przy wykorzystaniu usługi e-doręczenia. Wykonawca ujawnił w Bazie Adresów Elektronicznych adres do doręczeń elektronicznych.

Nie jest możliwe prowadzenie i doręczenia korespondencji z uczestnikami postępowania w sprawie udzielenia zamówienia publicznego poprzez e-doręczenia. Komunikacja z uczestnikami tych postępowań odbywa się w trybie określonym przepisami prawa zamówień publicznych.

Komunikacja przy użyciu e-doręczenia może być prowadzona także w odniesieniu do osób fizycznych wykonujących na rzecz pracodawcy zadania na podstawie umów cywilnoprawnych (umowa o dzieło, zlecenie), jak również osób fizycznych prowadzących jednoosobową działalność gospodarczą. Komunikacja może dotyczyć np. wypowiedzenia umowy, wezwania do zapłaty etc.

Dostawcą usługi rejestrowanego doręczenia elektronicznego lub usługi hybrydowej jest tzw. operator wyznaczony, czyli operator pocztowy świadczący usługi powszechne. Operatorem tym, na podstawie decyzji prezesa Urzędu Komunikacji Elektronicznej, jest Poczta Polska (do 2025 roku). Poczta Polska, która będzie realizować usługę e-doręczenia, jest odrębnym administratorem danych osobowych, przetwarzającym je w celu realizacji przypisanych mu zadań określonych przepisami prawa (działalność pocztowa).

W ramach realizacji tych zadań nie zachodzi relacja powierzenia przetwarzania danych osobowych. Cechą powierzenia przetwarzania danych osobowych jest działanie podmiotu przetwarzającego w imieniu i na zlecenie administratora.

Przykład

Kiedy trzeba zawrzeć umowę powierzenia przetwarzania danych?

Pracodawca zawiera umowę powierzenia przetwarzania danych osobowych z dostawcą usługi poczty elektronicznej, z firmą informatyczną zapewniającą obsługę IT, z dostawcą i serwisantem oprogramowania kadrowego. W takim przypadku trzeba zawrzeć umowę powierzenia przetwarzania danych osobowych, ponieważ np. dostawca rozwiązania informatycznego, do którego wprowadzone będą dane osobowe, i który serwisuje oraz wspiera działanie tego systemu przetwarza dane osobowe wyłącznie w celu realizacji umowy, nie zbiera tych danych dla siebie, ale działa w imieniu i na zlecenie zamawiającego.

W tym przypadku każdy ze wskazanych podmiotów działa we własnym imieniu, zatem zarówno podmiot korzystający z usługi (np. podmiot publiczny), jak i podmiot ją realizujący (Poczta Polska) są odrębnymi administratorami danych osobowych. Poczta Polska realizuje swoje zadania, określone w przepisach Prawa pocztowego (m.in. przesyłanie przesyłek pocztowych, w tym także przy wykorzystaniu środków komunikacji elektronicznej). Również pracodawca – podmiot publiczny działa we własnym imieniu, realizując swoje zadania i obowiązki. Trzeba także mieć na uwadze, że ustawodawca zadecydował o wykonywaniu usługi e-doręczeń przez wyznaczony podmiot (operator wyznaczony), a zatem nie można wybrać podmiotu przetwarzającego.

Każdy podmiot publiczny oraz podmiot niepubliczny mający co najmniej 500 000 użytkowników poczty elektronicznej muszą stosować mechanizmy zabezpieczeń w komunikacji elektronicznej wskazane w ustawie, zgodnie z terminami uruchomienia usługi dla poszczególnych grup podmiotów publicznych.

Do mechanizmów tych należą: SPF (Sender Policy Framwork), DMARC (Domain-based Message Authentication Reporting and Conformance), DKIM (DomainKeys Identified Mail). Dodatkowo każdy dostawca, który oferuje usługę poczty elektronicznej dla podmiotu publicznego, ma obowiązek zaoferowania usługi umożliwiającej wieloskładnikowe uwierzytelnienie.

SPF (Sender Policy Framwork) to rozwiązanie zapobiegające próbom podszycia się innej osoby pod użytkownika poczty elektronicznej, bazującym na weryfikacji adresu IP lub nazwy serwera, z którego wiadomość jest wysyłana. DKIM (DomainKeys Identified Mail) jest natomiast mechanizmem umożliwiającym sprawdzenie, czy wiadomość oryginalna nie została zmodyfikowana podczas jej wysyłania.

Ostatnie ze wskazanych rozwiązań, DMARC (Domain-based Message Authentication Reporting and Conformance), opiera się na wyżej wskazanych rozwiązaniach i umożliwia uwierzytelnienie wiadomości e-mail. Stosowanie tych rozwiązań znacząco zwiększa bezpieczeństwo przesyłanych informacji i danych osobowych i jest powszechnie stosowanym mechanizmem zabezpieczenia poczty elektronicznej.

Natomiast w zakresie wymogu stosowania wieloskładnikowego uwierzytelniania należy podkreślić, że ustawodawca adresuje wyłącznie do dostawcy poczty elektronicznej wymóg oferowania poczty umożliwiającej stosowanie metod takiej weryfikacji. Obowiązek stosowania metod uwierzytelniania wieloskładnikowego nie istnieje po stronie pracodawcy będącego podmiotem publicznym. Pracodawca może jednak z takich narzędzi korzystać.

Przykład

Dodatkowe zabezpieczenia – oprócz obowiązkowych

Pracodawca, którego dotyczy wymóg stosowania wskazanych mechanizmów, może sięgnąć po inne rozwiązania zapewniające bezpieczeństwo danych przetwarzanych przy użyciu poczty elektronicznej. Jeśli jednak jest podmiotem publicznym lub ma co najmniej 500 000 użytkowników poczty elektronicznej, obowiązkowo stosuje wskazane narzędzia uwierzytelniania. Dodatkowo może korzystać z uwierzytelniania wieloskładnikowego (np. 2FA) albo innych narzędzi zwiększających bezpieczeństwo poczty. Te dodatkowe rozwiązania i mechanizmy mają jednak uzupełniające znaczenie.

Przykład

Login i hasło – to za słabe zabezpieczenie

Pracodawca będący podmiotem publicznym we wdrożonej polityce bezpieczeństwa informacji przewidział wymóg stosowania zabezpieczeń opartych na dostępie za pomocą loginu i hasła. Takie zabezpieczenie nie wystarczy, ponieważ jest to jedynie uwierzytelnienie jednoskładnikowe. Nawet uzupełniająco takie zabezpieczenie nie odpowiada współczesnym standardom bezpieczeństwa informacji w systemie poczty elektronicznej dla podmiotów publicznych.

To pracodawca (jako administrator danych) ocenia, które rozwiązania i zabezpieczenia są odpowiednie – tj. adekwatne do ryzyka i właściwe z uwagi na specyfikę procesu. Jeśli w ramach poczty elektronicznej przetwarzane będą duże wolumeny danych osobowych albo dane osobowe szczególnych kategorii (np. informacje dotyczące zdrowia), można zdecydować się na wdrożenie bardziej zaawansowanych metod ochrony danych osobowych, np. uwierzytelniania wieloskładnikowego. Tego rodzaju narzędzie eliminuje ryzyko dostępu do indywidualnego konta w systemie informatycznym (tu: poczty elektronicznej) osób nieuprawnionych. W ślad za tym idzie zobowiązanie pracowników do stosowania takich metod (np. na podstawie odpowiedniego regulaminu).

Wymóg stosowania metod uwierzytelniania wieloskładnikowego dotyczy wyłącznie poczty służbowej, wprowadzonej jako narzędzie wykonywania obowiązków służbowych.

W przypadku uruchomienia tego narzędzia pracownik nie ma już możliwości dostępu do poczty elektronicznej bez takiego uwierzytelnienia. Pracodawca określa jednak z reguły moment wdrożenia obowiązku i teoretycznie możliwe jest opóźnienie pracownika w zainstalowaniu narzędzia. Nieuzasadnione przesuwanie momentu stosowania wymaganego przez pracodawcę uwierzytelnienia może być kwalifikowane jako odmowa wykonania polecenia służbowego, dodatkowo obniżające poziom bezpieczeństwa przetwarzanych danych osobowych.

art. 5 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L z 2016 r. nr 119/1,

art. 2, art. 4 ustawy z 18 listopada 2020 r. o doręczeniach elektronicznych (tekst jedn.: Dz.U. z 2020 r. poz. 2320 ze zm.),

art. 3 pkt 13 ustawy z 23 listopada 2012 r. – Prawo pocztowe (tekst jedn.: Dz.U. z 2023 r. poz. 1640),

art. 24 ustawy z 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz.U. z 2023 r. poz. 1703).