Czy RODO wymaga szyfrowania danych?

Słyszałeś o obowiązku szyfrowania danych osobowych? Otrzymałeś ofertę zakupu licencji na program szyfrujący? A może zastanawiasz się, jakie korzyści wynikają z szyfrowania danych osobowych? Z mojego artykułu dowiesz się:

• Czy RODO zobowiązuje do szyfrowania danych,
• W jakich sytuacjach warto rozważyć szyfrowanie danych,
• Czy szyfrowanie danych niesie ze sobą dodatkowe korzyści dla administratora danych?

RODO a szyfrowanie

RODO, czyli ogólne rozporządzenie o ochronie danych wprowadza nowatorskie zasady bezpieczeństwa danych osobowych. Przede wszystkim ciężar doboru właściwych metod i środków przeniesiony został na administratorów danych i podmioty przetwarzające (tzw. procesorów).

W praktyce oznacza to, że jeżeli przetwarzasz dane osobowe, to w pierwszej kolejności powinieneś oszacować ryzyko z tym związane oraz wdrożyć odpowiednie środki zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z prawem. RODO jednakże nie narzuca wprost sposobów osiągnięcia tego celu. Ich dobór należy do ww. podmiotów, które rzecz jasna ponoszą odpowiedzialność za ewentualne incydenty (np. wyciek danych, nieautoryzowaną zmianę danych, itp.).

Rozporządzenie unijne daje wszakże wytyczne, które należy wziąć pod uwagę przy wyborze zabezpieczeń. Mianowicie, powinno się tego dokonywać uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Innymi słowy, im większa szkoda dla osoby, której dane są przetwarzane może powstać z zaistnienia incydentu oraz wyższe prawdopodobieństwo jego wystąpienia, tym stosowane zabezpieczenia powinny gwarantować większy poziom bezpieczeństwa. Nie musisz jednak korzystać z najdroższych rozwiązań dostępnych na rynku, a takich które swoim poziomem oraz kosztem ich wdrożenia będą adekwatne do prowadzonej przez ciebie działalności.

Jako przykłady ww. zabezpieczeń RODO wymienia na pierwszym miejscu pseudonimizację oraz szyfrowanie. Pseudonomizacja polega na rozdzieleniu danych z jednego zbioru na co najmniej kilka plików w taki sposób, aby w jednym dokumencie nie znajdowały się dane umożliwiające identyfikację konkretnej osoby fizycznej. Pliki te połączone są odpowiednimi kluczami pozwalającymi na ponowne złożenie danych w całość. Dzięki takiej operacji dopiero wyciek wszystkich plików z danymi oraz kodów przejścia stwarza ryzyko dla ochrony danych osobowych.

Podsumowując, szyfrowanie stanie się obowiązkowym narzędziem do stosowania przez administratora, bądź procesora, tylko jeżeli konieczność jego wdrożenia wynikać będzie z przeprowadzonej przez ciebie analizy ryzyka. Czyli w inny sposób, aniżeli przez szyfrowanie, nie będzie możliwe odpowiednie zmniejszenie, bądź wyeliminowanie ryzyka dla ochrony danych osobowych.

Kiedy warto szyfrować?

Wśród przykładów sytuacji, w których szyfrowanie powinno być rozważane są następujące przypadki:

• posługiwanie się komputerami przenośnymi, które przenoszone są poza siedzibę firmy, zwłaszcza jeżeli towarzyszą pracownikom w wyjazdach służbowych – kradzież, bądź nieumyślne pozostawienie niezabezpieczonego laptopa z danymi osobowymi może grozić wyciekiem danych osobowych,
• korzystanie z laptopów lub smartfonów z zapisanymi danymi osobowymi z publicznych sieci wi-fi (hotspotów) np. w centrach handlowych i innych miejscach ogólnodostępnych,
• przesyłanie plików zawierających dane osobowe wrażliwe za pomocą sieci internet,
• przekazywanie danych osobowych, zwłaszcza wrażliwych, na przenośnych nośnikach danych.

W tego typu przypadkach wprowadzenie innych środków bezpieczeństwa, np. procedur postępowania z nośnikami danych, może okazać się niewystarczające.

Jak szyfrować dane osobowe?

Rzecz jasna sam sposób szyfrowania również powinien być dobrany do poziomu stwierdzonego ryzyka oraz uwzględniać koszty wdrożenia. Okazuje się jednakże, że aby sprostać warunkowi szyfrowania nośników danych nie jest konieczne czynienie znacznych nakładów finansowych:

• niektóre systemy operacyjne zawierają preinstalowane narzędzia do szyfrowania dysków twardych,
• większość programów pakujących pliki pozwala na ich zaszyfrowanie hasłem,
• istnieje wiele programów do szyfrowania danych, część z nich jest bezpłatna.

Jakie są korzyści z szyfrowania?

Prócz wyższego poziomu zabezpieczenia danych osobowych należy wspomnieć o jeszcze jednej korzyści. Mianowicie, jak zapewne wiesz, jeżeli naruszenie ochrony danych osobowych (incydent) może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki ma obowiązek zawiadomić osobę, której dane dotyczą, o takim naruszeniu.

Niemniej, zawiadomienie takie nie jest wymagane, gdy wdrożyłeś uprzednio m.in. szyfrowanie, które zostało zastosowane do danych osobowych, których dotyczy naruszenie. Przykładowo, jeżeli zaginął tobie pendrive z plikiem zawierającym dane osobowe wrażliwe twoich klientów. Jednakże plik ten był zaszyfrowany, przez co uniemożliwiał odczyt danych osobom nieuprawnionym.