Wymiana korespondencji pomiędzy urzędami – czy konieczne szyfrowanie
Nie. Wybór środka bezpieczeństwa przetwarzania danych zależy od administratora, także w przypadku podmiotów publicznych.
Decyzja należy do ADO
RODO nie odnosi się bezpośrednio do problemu zabezpieczenia danych osobowych w sposób fizyczny z wykorzystaniem kluczy szyfrujących do korespondencji pisemnej (papierowej). Co za tym idzie, zastosowanie znajdują ogólne reguły RODO dotyczące zabezpieczania danych osobowych.
To czy i jakie środki zabezpieczające przetwarzanie danych powinien wdrożyć administrator danych, reguluje art. 24 RODO. Zgodnie z tym przepisem „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Administrator powinien samodzielnie ocenić czy i jakie środki należy podjąć, w szczególności znając specyfikę środowiska pracy i warunki w jakich dane osobowe mogą być zabezpieczone w danej lokalizacji czy podczas przesyłania w formie papierowej.
Szyfrowanie dopuszczalne ale nie obligatoryjne
Samo RODO nie stoi na przeszkodzie szyfrowaniu dokumentów. Należy jednak dostosować do takiej sytuacji wewnętrzną dokumentację administratora. Powinna ona określać jaką korespondencję się szyfruje, jaką metodę(y) szyfrowania należy stosować w określonych przypadkach, kto dokonuje szyfrowania, jak są wymieniane klucze szyfrujące między urzędami itd.
Same metody szyfrowania są naturalnie bardzo różne, poczynając od najprostszej metody Cezara. W zakresie doboru metody szyfrowania należy zalecić skorzystanie z pomocy podmiotu wyspecjalizowanego w kryptologii.
- Udostępnienie danych osobowych na żądanie a niewłaściwa podstawa prawna
- Omyłkowa korespondencja z ZUS z danymi osobowymi – jak postąpić
- Zewnętrzny inspektor ochrony danych – umowa powierzenia czy upoważnienie do przetwarzania danych
- Co zrobić z danymi osobowymi, które nie powinny do nas trafić
- Komu można udostępnić dane osobowe ucznia
- Korespondencja z członkami spółdzielni – jak ją zabezpieczyć
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
