Poradnik Przedsiębiorcy

Czy zgodnie z RODO szyfrowanie danych jest obowiązkowe? Metody szyfrowania

Czy jeśli pracujesz na danych osobowych, musisz korzystać z szyfrowania? Ustawa RODO przewiduje, że szyfrowanie danych przez administratorów może być konieczne, jeśli analiza ryzyka wykaże, że inne metody zabezpieczenia danych nie eliminują ryzyka wycieku danych. Przeczytaj, kiedy warto szyfrować dane, jakie są najczęściej stosowane metody szyfrowania i jakie korzyści przynosi szyfrowanie danych.

Szyfrowanie danych w świetle ustawy RODO

Ustawa RODO wprowadziła restrykcyjne zasady przetwarzania danych osobowych. Ciężar doboru odpowiednich metod ich zabezpieczania spoczywa na administratorach danych i podmiotach przetwarzających tzw. procesorach. RODO zaznacza, że osoby sprawujące takie stanowiska, powinny oszacować ryzyko np. wycieku danych i przetwarzania ich niezgodnie z zapisami RODO. Na podstawie wyników analizy, osoby te powinny wdrożyć odpowiednie środki zachowania bezpieczeństwa. Wybór rodzaju zabezpieczenia zależy od administratorów i procesorów, którzy ponoszą odpowiedzialność za wyciek danych, nieautoryzowaną ich zmianę i inne incydenty.

Zgodnie z art. 32 ust. 1 RODO:
„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (a) pseudonimizację i szyfrowanie danych osobowych;”

Oznacza to, że rozporządzenie unijne daje tylko wytyczne, które należy wziąć pod uwagę, wybierając metodę zabezpieczania baz danych osobowych np. stan wiedzy technicznej, koszt wdrożenia, zakres charakter i cel przetwarzania oraz ryzyko naruszenia praw i wolności osób, których dotyczą dane. Podsumowując, ustawa nie nakazuje korzystania z najdroższych metod szyfrowania danych osobowych, lecz z tych, które są adekwatne do rodzaju przetwarzania danych i możliwości wystąpienia ryzyka ich naruszenia.

Rodzaje szyfrowania danych

Szyfrowanie, czyli działanie, które ma na celu zmianę informacji poprzez ingerencję w ciąg znaków, tak by postronna osoba nie potrafiła odczytać tych informacji. Tylko osoba uprawniona (posiadająca klucz) może przeczytać zaszyfrowane dane. Szyfrowanie danych można podzielić na symetryczne i niesymetryczne. Symetryczne zakłada, że istnieje ten sam klucz szyfrujący do zaszyfrowania i odszyfrowania danych. Szyfrowanie niesymetryczne zakłada zastosowanie pary kluczy – jeden do zaszyfrowania, drugi do odczytania danych np. tak działa klucz SSL chroniący strony, zapewniający szyfrowanie danych, przesyłanych między serwerem a przeglądarką użytkownika.

Jedną z metod szyfrowania danych jest anonimizacja polegająca na zamazywaniu niektórych danych, by pozostałe widoczne dane, nie umożliwiały ich połączenia z konkretną osobą. RODO na pierwszym miejscu, jako przykład szyfrowania danych podaje pseudonimizację, czyli rozdzielenie danych z jednego zbioru na kilka plików, tak by w jednym pliku nie znalazły się dane umożliwiające identyfikację danej osoby. Połączenie ich kluczami dopiero daje taką możliwość.

Kiedy warto stosować szyfrowanie danych?

Stosowanie szyfrowania może być przydatne gdy:

  • pracownicy używają komputerów przenośnych, w których znajdują się dane osobowe,
  • w firmie korzysta się z laptopów i smartfonów w publicznych sieciach wi-fi,
  • przesyłane są przez sieć internetową pliki z danymi osobowymi,
  • dane osobowe przekazywane są na nośnikach danych.

Jedną z najważniejszych korzyści, jaka płynie z szyfrowania danych osobowych, jest fakt, że nie musisz, będąc administratorem, gdy dojdzie do ryzyka naruszenia praw lub osób fizycznych, zawiadamiać osoby, której dane mogą zostać naruszone. Ustawa przewiduje, że zawiadomienie o naruszeniu nie jest wymagane, jeśli dane zostały zaszyfrowane, np. jeśli skradziono pendrive z danymi osobowymi klientów, a plik był zaszyfrowany, to odczyt danych nie jest możliwy, a więc nie zostaną one bezprawnie wykorzystane.