52
0
Polecane

Czy szyfrowanie danych zwalnia administratora z obowiązku zgłaszania naruszenia ochrony danych osobowych do PUODO?

Patrycja Myśliwiec
Patrycja Myśliwiec
15 kwietnia, 2025 · 3 min read
52
0

W artykule znajdziesz odpowiedzi na pytania:

  • 1. Czym jest szyfrowanie ?
  • 2. Czy szyfrowanie jest jednym ze środków technicznych minimalizujących ryzyko wystąpienia naruszenia ochrony danych osobowych?
  • 3. Kiedy stosujemy szyfrowanie danych?
  • 4. Cel stosowania szyfrowania danych?
  • 5. Brak szyfrowania w decyzjach PUODO.
  • 6. Podsumowanie.

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Bezpłatna konsultacja

Wśród specjalistów zajmujących się ochroną danych osobowych oraz samych administratorów temat zgłaszania naruszeń ochrony danych do organu nadzorczego nadal budzi emocje. Po opublikowaniu przez Prezesa Urzędu Ochrony Danych Osobowych zaktualizowanego poradnika w tym przedmiocie w lutym 2025r. rozgorzała dyskusja, która trwa do dziś. W celu wyjaśnienia wątpliwości organ nadzorczy pod koniec marca 2025r. zorganizował webinar, którego celem było  wyjaśnienie kluczowych kwestii związanych m.in. z określaniem poziomu ryzyka naruszenia praw lub wolności osoby, której dane dotyczą oraz stosowania środków technicznych i organizacyjnych minimalizujących ryzyko wystąpienia naruszenia.

Czym jest szyfrowanie?

Termin „szyfrowanie” nie został wprost zdefiniowany w przepisach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).Należy je jednak interpretować jako zapisanie danych szyfrem, zakodowanie, w taki sposób, że wyłącznie osoba znająca szyfr lub dysponująca odpowiednim kluczem jest w stanie odczytać treść w ten sposób zabezpieczonych danych.

Czy szyfrowanie jest jednym ze środków technicznych minimalizujących ryzyko wystąpienia naruszenia ochrony danych osobowych?

Tak. Pomimo braku definicji  „szyfrowania” prawodawca w art. 32 RODO wskazał, że:

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.”

Ponadto w art. 34 ust. 3 RODO szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym  dostępu do danych osobowych zostało wskazane jako jeden ze środków bezpieczeństwa dających administratorowi możliwość niezawiadamiania osób, których dane dotyczą o dokonanym naruszeniu. Oczywiście należy pamiętać, że skuteczność stosowanych środków oraz ich wpływ na ocenę ryzyka będzie uzależnione od konkretnych okoliczności takich jak m.in. zakres danych osobowych, oraz kategoria i liczba osób, których dane dotyczą oraz dodatkowych zabezpieczeń.

Kiedy stosujemy szyfrowanie danych?

W związku ze stałym rozwojem technologicznym dla większości przedsiębiorców szyfrowanie jest podstawowym środkiem stosowanym w celu ochrony informacji oraz danych. Szyfrujemy, w szczególności:

● wiadomości e-mail oraz ich załączniki (hasło dostępne jedynie dla odbiorcy);

● dane zgromadzone na dyskach twardych, serwerach czy chmurze (np. bazy danych, listy klientów, pliki, foldery);

● dane przechowywane na urządzeniach zewnętrznych takich jak m.in. pendrivy, dyski zewnętrzne, urządzenia mobilne, laptopy (warto również zastosować  tzw. funkcję „zdalnego czyszczenia danych” – na wypadek zagubienia lub kradzieży sprzętu);

● przesyłane dane przez Internet np. za pomocą protokołu HTTPS;

● kopie zapasowe.

Co istotne, stosowanie adekwatnych środków organizacyjnych i technicznych w celu zapewnienia ochrony danych osobowych to nie tylko jednorazowe wdrożenie, ale stały proces zapewniający ciągłość monitorowania skali zagrożeń, oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. W przypadku ewentualnej kontroli organu nadzorczego należy udowodnić, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, a ponadto uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.

Cel stosowania szyfrowania danych?

W dobie dzisiejszych zagrożeń cybernetycznych szyfrowanie stanowi podstawowy element systemu ochrony informacji, który przede wszystkim chroni dane osobowe przed nieuprawnionym dostępem osób trzecich oraz ogranicza ryzyko ujawnienia danych w przypadku ich utraty lub kradzieży. Niejednokrotnie mamy do czynienia z decyzjami Prezesa Urzędu Ochrony Danych Osobowym, które potwierdzają, że ma ono istotne znaczenie przy dokonaniu analizy prawidłowości dokonanej przez administratora analizy ryzyka oraz wysokości ewentualnej administracyjnej kary pieniężnej. W przypadku wymiany informacji poprzez Internet szyfrowanie zapewnia, że wiadomości są dostępne wyłącznie dla określonych odbiorców.

Brak szyfrowania w decyzjach PUODO

Decyzja nr DKN.5131.9.2024 dotyczyła utraty laptopa w trakcie podróży pracownika środkami komunikacji miejskiej. Jak wskazano w decyzji: „Pomimo faktu, że Administrator prawidłowo zidentyfikował zagrożenia w przypadku przetwarzania danych osobowych przy użyciu komputerów przenośnych oraz z wykorzystaniem dokumentacji papierowej wynoszonej poza jego organizację, a także określił poziom ryzyka naruszenia tych danych oraz zdefiniował sposób postępowania z ryzykiem poprzez wskazanie zabezpieczeń, które należy zastosować, nie podjął jednak działań, które sam przewidział, a w szczególności nie uruchomił szyfrowania pamięci masowej komputerów wynoszonych poza siedzibę jego organizacji”. Niewłaściwe działanie administratora skutkowało materializacja zidentyfikowanego zagrożenia w postaci zagubienia w środku komunikacji laptopa z danymi osobowymi,który finalnie nie został zaszyfrowany. W związku z powyższym Prezes UODO na podmiot administracyjną karę pieniężną w wysokości 24 555,00 zł.

Z kolei na podstawie decyzji nr DKN.5131.34.2022 Prezes UODO nałożył administracyjną karę pieniężną w wysokości 50.000 zł na Wójta Gminy Nowiny. Administrator przed wystąpieniem naruszenia ochrony danych osobowych prawidłowo zidentyfikował ryzyko związane z wykorzystywaniem nieaktualnego oprogramowania, ale pomimo tego przetwarzał dane przy użyciu oprogramowania, które utraciło wsparcie producenta i wbrew wnioskom z analizy ryzyka i przeprowadzonych audytów nie podjął żadnych działań, by oprogramowanie to zastąpić takim, które takie wsparcie posiadało.

Podsumowanie

Szyfrowanie to jeden z kluczowych elementów systemu ochrony informacji, ale nie jedyny. Poza nim również istotnym elementem jest tworzenie kopii zapasowych, prawidłowe zarządzanie dostępem do danych, monitorowanie systemu, uwierzytelnianie dwu lub wieloskładnikowe. Tylko kompleksowe działania są w stanie uchronić administratora przed utratą poufności, dostępności lub integralności danych.

Patrycja Myśliwiec
PRAWNIK

Specjalizuję się w ochronie danych osobowych i bezpieczeństwie informacji. Od ponad 10 lat wspieram firmy i instytucje w zgodności z RODO, audytach oraz wdrażaniu systemów ochrony danych. Mam doświadczenie jako Inspektor Ochrony Danych i audytor. Pomagam organizacjom tworzyć bezpieczne i zgodne z prawem rozwiązania.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja