Od 1 stycznia 2019 r. w Danii zaostrzone zostaną przepisy dotyczące szyfrowania e-maili zawierających dane szczególnej kategorii. Zgodnie z art. 9 RODO należą do nich dane  ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby, genetyczne oraz biometryczne przetwarzane w celu jednoznacznego zidentyfikowania. Duński organ nadzorczy zalecał stosowanie szyfrowania wiadomości e-mail od 2008 r., od 1 stycznia 2019 r. będzie to już obowiązek.

W Polsce nie ma takiego obowiązku, choć Urząd Ochrony Danych Osobowych w opinii w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty elektronicznej wskazał, że szyfrowanie przekazywanych informacji jest jedną z najbardziej efektywnych metod zapewnienia poufności. Czy to jednak oznacza, że zawsze trzeba szyfrować?

 


 

Szyfrowanie to zagrożenie

– Proces szyfrowania poczty elektronicznej w korespondencji z klientami  jest wyzwaniem – uważa Maciej Gawroński, radca prawny, partner w Gawroński & Partners. – Z jednej strony zapewnia poufność danych, bo utrudnia dostęp do nich osobom niepowołanym. Z drugiej  w ogóle utrudnia dostęp i może spowodować utratę danych – tłumaczy Gawroński. I podaje ciekawy przykład. - Po 25 maja wiele księgowych zaczęło przesyłać klientom dane opatrzone hasłem. Tyle, że większość z nas nie jest w stanie odtworzyć żadnych haseł po kilku miesiącach. Gdy zapomnę, nikt mi go nie będzie w stanie przypomnieć, nie dostanę się do danych. A to oznacza ryzyko utraty dostępu – tłumaczy Maciej Gawroński. Dlatego jego zdaniem szyfrowanie jest wyzwaniem.

Co mówi RODO

Art 32 ust.1 RODO jako techniczny środek zabezpieczenia wymienia właśnie szyfrowanie. Z drugiej ust. 2 mówi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub modyfikacji danych. Według Macieja Gawrońskiego zaś szyfrowanie to z jednej strony środek dla poufności, ale z drugiej zagrożenie  dla dostępności  i integralności danych. Dlatego jego zdaniem do sprawy trzeba podchodzić ostrożnie.

Krzysztof Szura, radca prawny w kancelarii NGL Wiater podkreśla, że RODO wskazuje szyfrowanie wyłącznie jako jeden ze sposobów właściwego zabezpieczenia danych. - Wybierając sposób zabezpieczenia , w pierwszej kolejności należy ustalić, który środek będzie najlepszy dla ustalonego ryzyka. Może się okazać, że inne sposoby okażą się równie bezpieczne, a nie będą rodziły tak wysokiego ryzyka utraty integralności jakie stwarza szyfrowanie – podkreśla Krzysztof Szura.

Według ekspertów więc szyfrowania nie należy stosować zawsze, ale tylko tam,  gdzie jest to konieczne i nie ma alternatywnych sposobów właściwego zabezpieczenia.

 


 

Najpierw więc należy ocenić, czy stopień ryzyka naruszenia praw lub wolności osób fizycznych wymaga wprowadzenia szyfrowania, czy wystarczy inna metoda – tłumaczy Maciej Gawroński.

Krzysztof Szura dodaje, że jeśli okaże się, że zachodzi konieczność szyfrowania, to warto wdrożyć politykę określającą, które dane będą szyfrowane i w jakich okolicznościach.

Trudne metody

Firmy mają do wyboru  różne metody szyfrowania,  m.in. w tranzycie (TLS),  end-to-end (point to point: S/MIME, PGP, GnuPG…), w spoczynku (szyfrowanie dysku) – BitLocker, szyfrowanie „portalowe” - secure webmail systems, ręczne szyfrowanie załączników. Maciej Gawroński zwraca jednak uwagę, że trzeba wiedzieć, z jakimi problemami wiąże się dane rozwiązanie.

- Szyfrowanie w spoczynku, gdy padnie dysk, powoduje problem z pozyskaniem danych. Z kolei ręczne szyfrowanie – jak u księgowej – jest trudne do wykonania, bo wymaga przemyślanej polityki zarządzania hasłami – tłumaczy Gawroński. Dlatego jego zdaniem w relacjach z klientami szyfrowanie należy wprowadzać ostrożnie i bez przesadnego pośpiechu. - Natomiast szyfrowanie urządzeń przenośnych i nośników przenośnych jest konieczne i nie należy z tym zwlekać - dodaje.

 

Sprawdź w LEX SIP jak wygląda kontrola UODO: