W stosownym przypadku, czyli nie zawsze.

Ogólne rozporządzenie o ochronie danych nie zawiera, w przeciwieństwie do obecnie obowiązującej ustawy o ochronie danych osobowych, szczegółowych rozwiązań w zakresie zabezpieczeń organizacyjnych i technicznych. Kwestii tej poświęcony jest art. 32 RODO, który stanowi miedzy innymi, że „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

W oparciu o ten przepis spotkać można głosy, że pod rządami RODO obowiązkowe będzie chociażby szyfrowanie. Nie jest to jednak prawda. W RODO wdrożenie środków organizacyjnych i technicznych opiera się o ryzyko („wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”). To właśnie jego analiza powinna wskazać stosowanie konkretnych zabezpieczeń. Wobec tego w sytuacji, w której stopień bezpieczeństwa odpowiadający temu ryzyku nie może zostać osiągnięty przez szyfrowanie danych osobowych nie jest konieczne jego stosowanie. Może to mieć miejsce, gdy nie wystąpią ryzyka, których ograniczenie może zostać osiągnięte przez szyfrowanie danych osobowych (np. wykorzystywanie tylko komputerów stacjonarnych lub brak możliwości zapisywania danych na dyskach lokalnych)

Na marginesie należy zauważyć, że gdyby szyfrowanie miało być obligatoryjnym środkiem zabezpieczenia danych osobowych do zastosowania w każdej sytuacji, to art. 32 RODO zawierałby zapis „administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w KAŻDYM przypadku”.

Z poważaniem,
Tomasz Cygan

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

18 + eighteen =