SZYFROWANIE DANYCH OSOBOWYCH
CZY WIESZ, JAKIE SĄ TWOJE PRAWA WYNIKAJĄCE Z RODO?
9 lipca, 2021
NISZCZENIE DOKUMENTÓW ZAWIERAJĄCYCH DANE OSOBOWE ZGODNIE Z RODO
20 października, 2021SZYFROWANIE DANYCH OSOBOWYCH
Szyfrowanie danych jest zaawansowanym procesem dostosowanym do rodzaju danych, a także sposobu ich wykorzystania.
Klucz
Tylko osoba uprawniona (posiadająca klucz) może przeczytać zaszyfrowane dane. Najprostszy klucz może być nawet pojedynczą cyfrą, która określi, jak należy podstawić litery w zaszyfrowanym tekście, aby go odczytać. Jednak współczesne klucze zdecydowanie są bardziej skomplikowane, po to, aby ich odgadnięcie było jak najtrudniejsze. Klucz posiadają wyłącznie nadawca i odbiorca wiadomości.
W przypadku utraty laptopa, dysku zewnętrznego lub pendrive ustawione hasło dostępu nie ochroni plików. Nawet silny i skomplikowany kod to zdecydowanie za mało, ponieważ hasło można szybko złamać. Pomocne może być zatem szyfrowanie danych.
Szyfrowanie danych w świetle RODO
Ogólne rozporządzenie o ochronie danych osobowych (RODO) przewiduje, że szyfrowanie danych przez administratorów może być konieczne, jeśli analiza ryzyka wykaże, że inne metody zabezpieczania danych nie eliminują ryzyka wycieku danych.
Tym samym ciężar doboru odpowiednich metod ich zabezpieczania spoczywa na administratorach danych i podmiotach przetwarzających, którzy powinni wdrożyć odpowiednie środki zachowania bezpieczeństwa przetwarzania danych osobowych. Wybór rodzaju zabezpieczenia jest zawsze zależny od podmiotu, jednakże ponosi on odpowiedzialność za wyciek danych, nieautoryzowaną ich zmianę i inne incydenty, do których może dojść.
Zgodnie z art. 32 ust. 1 RODO:
„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (a) pseudonimizację i szyfrowanie danych osobowych;”
Ogólne rozporządzenie o ochronie danych osobowych daje wytyczne, które należy wziąć pod uwagę, wybierając metodę zabezpieczania baz danych, np. stan wiedzy technicznej, koszt wdrożenia, zakres, charakter i cel przetwarzania oraz ryzyko naruszenia praw i wolności osób, których dotyczą dane. W związku z tym zalecane jest zatem korzystanie z metod szyfrowania danych osobowych, które są adekwatne do rodzaju przetwarzania danych i możliwości wystąpienia ryzyka ich naruszenia.
Rodzaje szyfrowania danych
Szyfrowanie danych można podzielić na symetryczne i niesymetryczne:
- Szyfrowanie symetryczne zakłada, że istnieje ten sam klucz szyfrujący do zaszyfrowania i odszyfrowania danych (klucz prywatny);
- Szyfrowanie niesymetryczne zakłada zastosowanie pary kluczy – jeden do zaszyfrowania, drugi do odczytania danych np. tak działa klucz SSL chroniący strony, zapewniający szyfrowanie danych, przesyłanych między serwerem a przeglądarką użytkownika (klucz publiczny).
Pozostałymi metodami pozbawiana danych swoich właściwości są także:
- Anonimizacja polegająca na zamazywaniu niektórych danych, by pozostałe widoczne dane, nie umożliwiały ich połączenia z konkretną osobą;
- Pseudonimizacja, czyli rozdzielenie danych z jednego zbioru na kilka plików, tak aby w jednym pliku nie znalazły się dane umożliwiające identyfikację danej osoby. Połączenie ich kluczami dopiero daje taką możliwość.
Kiedy stosować szyfrowanie danych?
Szyfrowanie danych jest zaawansowanym procesem dostosowanym do rodzaju danych, a także sposobu ich wykorzystania.
Stosowanie szyfrowania może być przydatne gdy:
- pracownicy używają komputerów przenośnych, w których znajdują się dane osobowe;
- w firmie korzysta się z laptopów i smartfonów w publicznych sieciach wi-fi;
- przesyłane są przez sieć internetową pliki z danymi osobowymi;
- dane osobowe przekazywane są na nośnikach danych.
Gdy dojdzie do ryzyka naruszenia praw lub wolności osób fizycznych, szyfrowanie danych osobowych może sprawić, iż administrator nie będzie musiał zawiadamiać osoby, której dane zostały naruszone, ponieważ odczyt danych nie będzie możliwy, a więc nie zostaną one bezprawnie wykorzystane.
Szyfrowanie danych to bardzo dobra metoda, która uzupełniająca system zabezpieczeń.
