Ogólne Rozporządzenie o Ochronie Danych nie reguluje wprost, jak należy zabezpieczać dane osobowe przesyłane drogą elektroniczną, bądź przekazywane na przenośnych nośnikach danych. To na Administratorze Danych Osobowych ciąży obowiązek wyboru właściwych sposobów, metod, środków technicznych i organizacyjnych zgodnie z art. 24 RODO, aby stosownie zabezpieczyć proces przetwarzania danych osobowych w jednostce. Przy każdym procesie, w którym przetwarza się dane osobowe należy mieć na względzie, czy dane te są odpowiednio zabezpieczone przed wyciekiem, niechcianym udostępnieniem, bądź kradzieżą. Dlatego też, w pierwszej kolejności należy oszacować takie ryzyko i dobrać do niego odpowiednie środki zabezpieczające.
RODO daje jedynie wskazówki, jakimi Administrator powinien się kierować przy wyborze sposobu zabezpieczenia danych. Administrator winien wziąć pod uwagę, że im większe prawdopodobieństwo i waga zagrożenia to środki zabezpieczające powinny stanowić gwarancję większego bezpieczeństwa danych. W tym celu pod uwagę powinno się wziąć stan wiedzy technicznej pracowników, jak również zakres, charakter i koszt wdrożenia takiego środka.
W pierwszej kolejności przepisy RODO stanowią o szyfrowaniu i pseudonimizacji, jako o rodzajach zabezpieczeń. Art. 32 RODO mówi o tym, że szyfrowanie jest przykładem rozwiązania, jakie służy do ochrony danych osobowych przed ryzykiem naruszenia praw lub wolności osób fizycznych. Pseudonimizacja w przepisach RODO jest zdefiniowana jako takie zabezpieczenie danych osobowych, do którego należy mieć inne dane, bez których nie byłoby możliwości przypisania danych do konkretnej osoby. Proces pseudonimizacji powinien być odwracalny – dane „zaszyfrowane” powinny zostać odszyfrowane przy pomocy konkretnego klucza, ponieważ w domyśle tylko jego posiadanie daje taką możliwość. Przy pseudonimizacji – tj. szyfrowaniu kluczem tajnym należy zwrócić uwagę na to, by jednym kluczem nie zabezpieczać kilku baz danych, by nie przechowywać klucza wraz z zaszyfrowanymi danymi i dobrze go zabezpieczyć, ponieważ to rodzi zagrożenie odszyfrowania danych przez osobę nieuprawnioną.
Szyfrowanie to nic innego, jak eliminacja ryzyka dla ochrony danych osobowych. Warto wspomnieć, w jakich sytuacjach szczególnie należy rozważyć szyfrowanie danych, a mianowicie:
- Podczas korzystania z publicznych sieci wi-fi przy korzystaniu ze sprzętu przenośnego zawierającego dane osobowe;
- Przy ogólnym korzystaniu ze sprzętu służbowego poza siedzibą firmy, gdzie sprzęt narażony jest na kradzież, bądź ingerencję osób trzecich i w konsekwencji może prowadzić to do wycieku danych;
- Przy przesyłaniu plików i dokumentów zawierających dane osobowe za pomocą internetu (poczty elektronicznej);
- Przy przekazywaniu danych na przenośnych nośnikach danych.
W powyższych przypadkach zwykłe procedury postępowania z danymi mogą okazać się niewystarczające, dlatego tak ważne jest, aby odpowiednio zabezpieczyć przetwarzane dane.
Warto również wspomnieć o korzyściach, jakie niesie ze sobą szyfrowanie danych. Najprościej rzecz ujmując, jeżeli dojdzie do wycieku plików z danymi, zgubienia nośników z danymi, które zostały uprzednio zaszyfrowane, nie ma obowiązku powiadamiania osób, których dane znajdowały się w owych plikach o incydencie, który mógł spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W domyśle zaszyfrowany plik bez hasła – klucza nie jest możliwy do odczytania go przez osoby do tego nieuprawnione. Jeżeli natomiast takie pliki, nośniki nie były zaszyfrowane, to Administrator ma obowiązek powiadomić wszystkie osoby, których dane znajdowały się w tych plikach, nośnikach, o możliwości naruszenia ich praw lub wolności.
Podstawa prawna:
- ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1).