GoldenLine
Zaloguj się
Rafał Łożyński

Rafał Łożyński Dyrektor Generalny
(CEO), Varico W
biznesie warto na
nas ...

Temat: Czy zaszyfrowane dane osobowe bez znajomości klucza...

Zastanawiam się na ile dane zaszyfrowane (np. ZIP+hasło), przy czym przechowujący nie zna hasła czyli te dane nie są dla niego w ogóle czytelne to nadal dane osobowe? Może być tak, że przechowujący wie (lub może wiedzieć), że w tym ZIP są d.o. albo zupełnie nie ma pojęcia co to za dane (czy to ma znaczenie). Otrzymuje już dane po zaszyfrowaniu i ma obowiązek je przechować i udostępniać na życzenie tego kto je umieścił. Zakładam, że algorytm szyfrowania nie został złamany a hasło jest dostatecznie długie i bezpieczne np. 20 znakowe.

Odpowiedź na to pytanie decyduje co dalej: czy niezbędna jest umowa podpowierzenia przetwarzania (dla przechowującego) czy nie?

PS.
Jeśli mój język nie jest precyzyjny proszę o sugestie doprecyzowania - nie jestem specjalistą ds. RODO.
Link do wypowiedziLink
Materusz P.

Materusz P.

Temat: Czy zaszyfrowane dane osobowe bez znajomości klucza...

Dane osobowe są zawsze nimi. Forma ich zabezpieczenia nie może być podstawą uznana, że nie są to dane osobowe.
Dane osobowe oceniane są z punktu widzenia adresata.
Szyfrowanie danych to środki techniczne w celu zminimalizowania ryzyka naruszenia ochrony danych osobowych.
Zasadnym jest by przed przesłaniem takich danych zawrzeć umowę powierzenia.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Czy zaszyfrowane dane osobowe bez znajomości klucza...

Rafał Ł.:
Zastanawiam się na ile dane zaszyfrowane (np. ZIP+hasło), przy czym przechowujący nie zna hasła czyli te dane nie są dla niego w ogóle czytelne to nadal dane osobowe?
Tak, to są dane osobowe. Procesor odpowiada za ich integralność i dostępność - przy założeniu, że poufność jest rzeczywiście zapewniona, bo to zależy od stosowanych technik kryptograficznych i zarządzania kluczami.
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Czy zaszyfrowane dane osobowe bez znajomości klucza...

Rafał Ł.:
Zastanawiam się na ile dane zaszyfrowane (np. ZIP+hasło), przy czym przechowujący nie zna hasła czyli te dane nie są dla niego w ogóle czytelne to nadal dane osobowe? Może być tak, że przechowujący wie (lub może wiedzieć), że w tym ZIP są d.o. albo zupełnie nie ma pojęcia co to za dane (czy to ma znaczenie). Otrzymuje już dane po zaszyfrowaniu i ma obowiązek je przechować i udostępniać na życzenie tego kto je umieścił. Zakładam, że algorytm szyfrowania nie został złamany a hasło jest dostatecznie długie i bezpieczne np. 20 znakowe.

Odpowiedź na to pytanie decyduje co dalej: czy niezbędna jest umowa podpowierzenia przetwarzania (dla przechowującego) czy nie?

PS.
Jeśli mój język nie jest precyzyjny proszę o sugestie doprecyzowania - nie jestem specjalistą ds. RODO.

Wydaje się, że w tej sprawie należy dokonać rozróżnienia:
1) czy dane zaszyfrowane to nadal dane osobowe? - tu jak napisano wcześniej - zdecydowanie tak (analogicznie - jak dane przechowywane w sejfie to nadal dane - tylko b. bezpieczne:)

2) czy dane są - albo muszą być - dostępne dla przechowującego? Wydaje się, że nie muszą zawsze być dostępne, co jednak nie oznacza, że przechowujący ich nie przetwarza :) (kontynuując analogię - pilnujący sejfu z danymi nie musi w danej chwili znać kodu do szyfru ani nawet mieć do niego klucza)

Co do zasadniczego pytania: czy niezbędna jest umowa podpowierzenia przetwarzania (dla przechowującego) czy nie?
- jeśli administrator powierza dane procesorowi - to niezbędna jest umowa powierzenia stosownie do art. 28 RODO.
Ewentualna umowa "podpowierzenia" zawierana jest przez wykonawcę (procesora) z podwykonawcą - na zasadach określonych w art. 28 ust. 4 RODO.
Link do wypowiedziLink
Rafał Łożyński

Rafał Łożyński Dyrektor Generalny
(CEO), Varico W
biznesie warto na
nas ...

Temat: Czy zaszyfrowane dane osobowe bez znajomości klucza...

Dziękuję za bardzo precyzyjne wyjaśnienia.
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Czy zaszyfrowane dane osobowe bez znajomości klucza...

Ponadto, w ramach uzupełnienia można dodać, że generalnie szyfrowanie mieści się - zgodnie z art. 32 RODO - w katalogu tzw. środków technicznych i organizacyjnych służących zapewnieniu właściwego stopnia bezpieczeństwa.
Jednakże zaszyfrowane dane (podobnie jak spseudonimizowane [ nawiasem pisząc - piękne słowo;)] nie przestają być w żadnym momencie danymi osobowymi - stają się natomiast danymi bardziej bezpiecznymi.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Czy to nadal dane osobowe?




Wyślij zaproszenie do
Anuluj