RODO

Brak szyfrowania danych – administrator vs podmiot danych

Prawo dostępu i prawo do kopii danych  z art. 15 RODO to prawa otwierające drogę do realizacji pozostałych praw. Bez zapytania o to czy administrator przetwarzane dane podmiotu danych nieco trudniej pokusić się np. o realizację prawa do bycia zapomnianym.

Realizacja prawa dostępu i prawa do kopii danych przez administratora wiąże się ściśle nie tylko z komunikacją z podmiotem danych, ale również z zabezpieczeniem tych danych. Jednym ze sposobów zabezpieczenia danych jest szyfrowanie. RODO w swojej treści rekomenduje szyfrowanie jako jeden ze sposobów zabezpieczenia danych i zarządzania ryzykiem (np. w art 32 RODO). Szyfrowanie nie zostało zdefiniowanie w RODO, a zatem należy posługiwać się potocznym znaczeniem tego słowa – musi istnieć szyfr (kod), którego znajomość przez daną osobę umożliwia dostęp do zaszyfrowanego materiału.

Czytaj również: „Prawo do uzyskania kopii danych jako element prawa dostępu

Trzeba pamiętać, że w przypadku realizacji prawa dostępu, dane, które są przesyłane podmiotowi danych powinny być odpowiednio zabezpieczone, w tym właśnie na przykład przez szyfrowanie. Szyfrowanie jest chyba najpowszechniejszym sposobem zabezpieczenia danych przy realizacji prawa dostępu. Często polega ono na tym, że plik zawierający dane osoby, która realizuje prawo dostępu jest zaszyfrowany hasłem wysyłanym jednocześnie podmiotowi danych innym kanałem komunikacji np. plik wysyłany jest mailem z informacją w treści maila, że kod zostanie przesłany np. smsem. Taki – dosyć prosty – sposób szyfrowania zwiększa bezpieczeństwo danych, w szczególności chroni dane i prawa podmiotu danych w sytuacji, gdyby mail został wysłany przez pomyłkę na błędny adres albo został w jakiś sposób przejęty przez osobę nieupoważnioną.

Co jednak zrobić w sytuacji, gdy podmiot danych nie chce otrzymać zaszyfrowanego pliku i żąda realizacji swojego prawa bez szyfrowania? Takie sytuacje nie należą wcale do rzadkości, gdyż bardzo często osoby, których dane dotyczą po prostu odbierają fakt zaszyfrowania pliku z danymi jako „przeszkodę” w realizacji ich prawa. Osoby te jednak nie wiedzą, że administrator oprócz obowiązku realizacji praw podmiotów danych musi zapewnić bezpieczeństwo ich przetwarzania.

Administrator ma w tej sytuacji nie lada problem, który nie jest rozstrzygnięty ani w przepisach ani w praktyce. Do wyboru pozostają dwie opcje. Pierwsza zakłada zrealizowanie żądania podmiotu danych i ponowne przesłanie danych bez szyfrowania. Skutkiem takiego działania będzie realizacja prawa podmiotu danych, ale jednocześnie dojdzie do naruszenia zasad bezpieczeństwa, art. 32 RODO i przyjętych u administratora procedur. Druga opcja to odmowa realizacji prawa dostępu z uwagi na przyjęte procedury bezpieczeństwa oraz przepisy RODO nakazujące zapewnienie bezpieczeństwa danych. Przy drugiej opcji nie ryzykuje się naruszenia bezpieczeństwa, ale z pewnością istnieje wysokie ryzyko skargi rozzłoszczonego podmiotu danych do organu nadzorczego. W takiej sytuacji należałoby odpowiedzieć na pytanie: czy taka skarga byłaby zasadna? Brak możliwości jednoznacznej odpowiedzi (z uwagi na brak praktyki) sprawia, że administrator jest w kropce i musi finalnie wybrać tzw. „mniejsze zło”.

Jakie jednak ma być to mniejsze zło? Czy lepiej naruszyć reguły bezpieczeństwa, ale zrealizować prawo czy lepiej nie zrealizować prawa, powołując się na reguły bezpieczeństwa. Odpowiedź nie jest jednoznaczna, ale z pewnością bezwzględna realizacja prawa podmiotu danych wbrew zasadom bezpieczeństwa i przyjętym procedurom może okazać się niezwykle zgubna. W przypadku naruszenia, w tym wycieku danych, organu nadzorczego raczej nie będzie interesować, że sami naruszyliśmy te reguły, bo „podmiot danych tak chciał”.

 

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s