przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Jak w praktyce wdrożyć szyfrowanie danych w firmie?

Jak w praktyce wdrożyć szyfrowanie danych w firmie?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Szyfrowanie danych to nie tylko teoretyczna rekomendacja, lecz praktyczny aspekt cyberbezpieczeństwa w organizacji. To zagadnienie jest szczególnie ważne w przypadku przetwarzania danych osobowych. Warto pamiętać, że wdrożenie szyfrowania plików czy partycji nie musi być czasochłonne ani kosztowne, a pomaga uniknąć wielu potencjalnych incydentów związanych z bezpieczeństwem informacji.

RODO i UODO a szyfrowanie danych

W motywie 83 RODO stwierdzono, że administrator powinien oszacować ryzyko związane z przetwarzaniem danych osobowych oraz wdrożyć środki, które pozwolą je zminimalizować – przykładem takiego działania jest szyfrowanie. Praktyczną implementację widzimy w art. 32 rozporządzenia, gdzie ryzyko naruszenia praw i wolności osób fizycznych zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych, do których zalicza się wspomniane szyfrowanie.

Jednocześnie RODO nie nakłada na administratorów i podmioty przetwarzające obligatoryjnego wdrożenia szyfrowania danych – taka decyzja musi być oparta przede wszystkim na wspomnianym ryzyku i może okazać się konieczna, lecz wymaga każdorazowej oceny. W poradniku UODO „Obowiązki administratora związane z naruszeniem ochrony danych osobowych” z lutego 2025 roku stwierdzono, że w przypadku utraty lub ujawnienia danych zaszyfrowanych, które pozostają „nieczytelne dla osób nieupoważnionych”, można oszacować ryzyko naruszenia praw i wolności i osób fizycznych jako bliskie zeru. Organ nadzorczy podkreślił jednak konieczność posiadania kopii zapasowej (możliwej do odtworzenia) przy odpowiednio zabezpieczonym kluczu (np. haśle) do odszyfrowania informacji.

Przykład 1. 

(źródło: „Obowiązki administratora związane z naruszeniem ochrony danych osobowych”, UODO, przykład 7.1.2)

Zgubienie laptopa z danymi osobowymi, który był zaszyfrowany z wykorzystaniem niezawodnej metody przy ówczesnym stanie wiedzy technicznej, pozwala na stwierdzenie braku ryzyka naruszenia praw i wolności osób fizycznych w sytuacji, gdzie istnieje inna dostępna forma zapisu danych (np. kopia zapasowa) oraz klucz szyfrowania nie został ujawniony. Należy pamiętać o wewnętrznym odnotowaniu zdarzenia (art. 33 ust. 5 RODO).

Z praktycznego punktu widzenia trzeba pamiętać o tym, że to administrator jest odpowiedzialny za wdrażanie rozwiązań technicznych i organizacyjnych. W głośnej sprawie kary za zgubienie pendrive’a z danymi osobowymi jednego pracownika (DKN.5131.29.2023), skutkującą karą w wysokości 238 tys. zł, Prezes Urzędu Ochrony Danych Osobowych jednoznacznie podkreślił, że administrator jest zobowiązany do możliwości zweryfikowania tego, czy szyfrowanie zostało faktycznie wdrożone. Przesłanie filmu instruktażowego bez dalszej weryfikacji zostało uznane za „przerzucanie wdrożenia środków na pracowników” z racji na to, że za realizację przepisów o ochronie danych osobowych odpowiedzialny jest administrator (wyrok WSA w Warszawie z 15 lutego 2022 roku, sygn. akt II SA/Wa 3309/21). Warto tutaj przytoczyć art. 32 ust. 1 lit. b RODO, zobowiązujący administratora do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania.

Szyfrowanie danych w praktyce

W rządowym poradniku „Szyfrowanie informacji” podkreślono kluczowy aspekt szyfrowania danych, do których zaliczono złożoność klucza (hasła) wraz z jego bezpiecznym przechowywaniem. W tym celu można wykorzystać np. menedżery haseł, dzięki czemu stosowana fraza może być odpowiednio skomplikowana oraz zapisana w bezpieczny sposób.

Warto również uwzględnić szyfrowanie nie tylko pojedynczych plików lub archiwów, lecz również tzw. pełne szyfrowanie dysku (FDE). Oznacza to, że w przypadku kradzieży lub zgubienia sprzętu (np. laptopa) praktycznie niemożliwe będzie odczytanie jakichkolwiek danych z określonych partycji (wydzielonych fragmentów dysku) – konieczne byłoby „odgadnięcie” hasła lub posiadanie klucza odzyskiwania. Przykładem takiego mechanizmu jest BitLocker, wbudowany w wiele wersji systemów z rodziny Windows. W przypadku nośników danych zaleca się m.in. otwartoźródłowy VeraCrypt.

SP ZOZ MSWiA Centrum Rehabilitacji w Górznie opublikowało praktyczną „Instrukcję bezpiecznego przesyłania plików”, która dobrze pokazuje praktyczne aspekty szyfrowania archiwów przesyłanych do innych osób. W dokumencie opisano wykorzystanie programu 7-zip. Rekomendowanym algorytmem był AES-256. Należy również pamiętać o tym, że hasło powinno być możliwie skomplikowane oraz nieschematyczne – np. „ZielonaKlawiaturaAObokNiejDużySłoń” jest zdecydowanie lepsze niż numer PESEL, który ma skończoną liczbę kombinacji, zawierających jedynie cyfry. W instrukcji podkreślono również konieczność nadesłania hasła innym kanałem komunikacji – np. SMS-em w przypadku wysyłania danych mailowo.

Przykład 2.

Urząd wysyła do klienta zaszyfrowane archiwum za pomocą e-maila. Hasło do niego nie powinno być przesłane w tej samej wiadomości, ponieważ w przypadku włamania na którekolwiek z kont dokument jest możliwy do odszyfrowania przez nieuprawnioną osobę. W tym celu można wykorzystać np. SMS.

Przykład 3.

Pracownik szyfruje nośniki danych, lecz zapisuje hasła do nich na karteczkach samoprzylepnych, które znajdują się koło jego monitora. Z racji łatwej dostępności do klucza (hasła) takich danych nie należy uważać za odpowiednio zabezpieczone.

Kopie zapasowe

Zgodnie z art. 32 ust. 1 lit. b RODO administrator oprócz poufności i integralności systemów musi zapewnić również dostępność do danych. Oznacza to, że kopia zapasowa niemożliwa do przywrócenia nie spełnia tego warunku. Aby tego uniknąć, zaleca się tzw. zasadę „3-2-1”: trzy kopie, dwa nośniki, jedna w innej lokalizacji. Dzięki temu działanie złośliwego oprogramowania nie pozostawi nas bez dostępu do danych.

Nie wolno zapominać o rozważeniu tego, czy kopie zapasowe (szczególnie te przechowywane na osobnych, fizycznych nośnikach) również nie powinny być szyfrowane. W grudniu 2025 roku Szkoła Podstawowa nr 7 im. Batalionu Zośka w Otwocku wydała komunikat o naruszeniu ochrony danych osobowych, które polegało na możliwości zapoznania się z plikami na dwóch dyskach przenośnych, służących do wykonywania kopii zapasowych. 

Nie istnieje bezpośredni obowiązek szyfrowania takich dysków, lecz RODO jasno wskazuje, że nasze podejście powinno być uzależnione od ryzyka. Widzimy, że w przypadku fizycznych nośników konieczne jest uwzględnianie ich kradzieży, dlatego zazwyczaj powinniśmy je szyfrować, aby uniknąć ewentualnego naruszenia poufności danych.

Monitorowanie wdrożenia szyfrowania

Administrator jest zobowiązany do regularnego testowania, mierzenia i oceny środków stosowanych w celu ochrony danych osobowych (art. 32 ust. 1 lit. d RODO). Jednocześnie art. 24 ust. 1 Rozporządzenia nakazuje przeglądanie oraz uaktualnianie ich w ramach potrzeb danej organizacji wraz z możliwością wykazania korzystania z określonych rozwiązań.

W przypadku szyfrowania oznacza to, że administrator musi być w stanie udowodnić, że dane na określonym nośniku są faktycznie szyfrowane – samo sporządzenie odpowiedniego dokumentu opisującego ten proces bywa uznawane za niewystarczające, co pokazuje decyzja Prezesa UODO ze stycznia 2023 roku (DKN.5131.12.2020), gdzie po zgubieniu pendrive’ów okrojono możliwość stosowania zewnętrznych nośników danych do urządzeń autoryzowanych przez dział IT (z włączonym szyfrowaniem).

Warto również zwrócić szczególną uwagę na stosowanie się do zaleceń zawartych w analizie ryzyka. W decyzji PUODO z listopada 2022 roku (DKN.5131.8.2022) wykazano, że w podmiocie publicznym nie zastosowano się do własnych polityk dotyczących szyfrowania dysków. Pomimo faktu, że incydent dotyczy kradzieży służbowego laptopa z domu pracownika, Prezes UODO podkreślił rolę administratora w zapewnianiu zgodności z RODO.

Rozwój technologii wymusza zmiany

Art. 25 oraz art. 32 RODO podkreślają konieczność uwzględnienia stanu wiedzy technicznej podczas wdrażania odpowiednich środków. Warto zaznaczyć, że niektóre rekomendacje związane z cyberbezpieczeństwem zmieniają się w czasie – dobrze widać to na przykładzie haseł, ponieważ na przestrzeni lat zalecana minimalna długość hasła wzrosła z 8 do 14 znaków.

Podobna sytuacja dotyczy również szyfrowania – rozwój technologii sprawia, że niektóre rozwiązania z czasem przestają zapewniać odpowiedni poziom bezpieczeństwa danych. Przykładem mogą być poniższe algorytmy:

  • ZipCrypto – stosowany w przeszłości do zabezpieczenia archiwów,
  • RC4 – wykorzystywany przez dokumenty z pakietu Office (w wersjach 97-2003).

W „Biuletynie UODO” z marca 2023 roku wskazano AES (Advanced Encryption Standard) jako jedną z bezpieczniejszych metod szyfrowania. Obecnie wykorzystywany jest m.in. w ramach wspomnianego Bitlockera (szyfrowania partycji na Windowsie).

Podsumowanie

Szyfrowanie to ważny aspekt zapewniania poufności plików w organizacji. Należy jednak pamiętać o tym, że niemniej ważna (pod kątem ew. naruszenia ochrony danych) pozostaje dostępność, dlatego kluczowe jest odpowiednie przechowywanie kluczy (haseł).

Decyzja o wdrożeniu szyfrowania powinna uwzględniać analizę ryzyka. Z praktycznego punktu widzenia jest bardzo zalecana w przypadku przenośnych nośników danych (dysków czy pendrive’ów) oraz szyfrowania całych partycji (np. za pomocą windowsowego Bitlockera). Wdrożenie opisanych rozwiązań zazwyczaj nie wymaga nakładów finansowych, a znacznie zwiększa bezpieczeństwo informacji w organizacji.

Polecamy:

Roczna składka zdrowotna - zasady wyliczania

Rozszerzenia przeglądarki a bezpieczeństwo firmy. ...
Podobne
Kwiecień 2026
24
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. NIS2 i KSC2 w Polsce: Sprawdź w kilka minut czy Twoja firma podlega ustawom
  2. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  3. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  4. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
  5. Jak wygląda procedura reagowania na incydenty według dyrektywy NIS 2?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Rozszerzenia przeglądarki a bezpieczeństwo firmy. Co warto sprawdzić?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni
Między faktem a fałszem: jak weryfikować rzeczywistość w cyfrowym świecie? XXVI Kongres Public Relations w Rzeszowie
Handel pod presją kosztów, regulacji i technologii. Przed nami 8. Kongres Nowoczesnej Dystrybucji
CTRL+GROW wraca do Warszawy – 9 kwietnia odbędzie się 7. edycja eventu z branży SEO × AI × Biznes
Jubileuszowa Konferencja WallStreet 30 już w maju. Największe spotkanie inwestorów indywidualnych w Polsce wraca do Karpacza Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów