Czy na gruncie RODO oraz ustawy o ochronie danych osobowych, w sytuacji gdy odbiorca wyrazi pisemną zgodę na wysyłanie faktur albo innych dokumentów zawierających dane osobowe za pośrednictwem poczty elektronicznej w formacie PDF (bez szyfrowania), a także wyrazi zgodę na przetwarzanie danych osobowych w celu realizacji umowy, czy w takim stanie będzie to prawidłowe działanie w kontekście ochrony danych osobowych?

 

W świetle art. 32 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. 119, s. 1) – dalej RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator danych osobowych (dalej: ADO) i podmiot przetwarzający (czyli procesor) wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się zaś w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 RODO).

Z przepisu art. 32 RODO (ani z żadnego innego przepisu RODO, czy unormowania ustawy z 10.05.2018 r. o ochronie danych osobowych) w żaden sposób nie wynika więc, aby istniała jakakolwiek konieczność zabezpieczania przesyłania odbiorcom,w e-mailach, faktur czy innych dokumentów w PDF, szyfrem. Wystarczające będzie, gdy praca biura zostanie zorganizowana w taki sposób , że dostęp do danych osobowych odbiorców, wynikających z faktur czy innych dokumentów, będą miały wyłącznie osoby do tego upoważnione, zaś korespondencja elektroniczna będzie przesyłana wyłącznie na wskazane przez odbiorców, adresy e- mailowe. Sam dostęp do komputera może być zaś chroniony hasłem, który będzie znany tylko osobom upoważnionym do przetwarzania danych osobowych odbiorców. Natomiast to hasło może być np. co miesiąc zmieniane. W celu zapewnienia dodatkowej ochrony danych osobowych odbiorców można także zainstalować na komputerze program antyszpiegowski, którego konieczność instalacji jest oczywista.