Szyfrowanie wiadomości e-mail nie jest konieczne

RODO nie odnosi się bezpośrednio do problemu zabezpieczenia danych osobowych z wykorzystaniem kluczy szyfrujących do korespondencji e-mailowej. Co za tym idzie, zastosowanie znajdują ogólne reguły RODO dotyczące zabezpieczania danych osobowych.

To czy i jakie środki zabezpieczające przetwarzanie danych powinien wdrożyć administrator danych, reguluje art. 24 RODO. Zgodnie z tym przepisem „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

Oznacza to, że ADO powinien samodzielnie ocenić, czy i jakie środki należy podjąć, w szczególności znając specyfikę środowiska pracy i warunki w jakich dane osobowe mogą być zabezpieczone w danej lokalizacji czy podczas przesyłania w formie e-mail. Samo RODO nie stoi na przeszkodzie szyfrowaniu e-maili, ale go także nie wymaga. Należy jednak dostosować do takiej sytuacji (tj. wprowadzenia szyfrowania) wewnętrzną dokumentację ADO. Powinna ona określać jaką korespondencję się szyfruje, jaką metodę(y) szyfrowania należy stosować w określonych przypadkach, kto dokonuje szyfrowania, jak są wymieniane klucze szyfrujące itd.