W treści RODO tylko kilkukrotnie i bardzo pobieżnie przewija się temat szyfrowania. Nadspodziewanie jednak często pojawiają się pytania dot. prostych sposobów na szyfrowanie plików w celu wysłania ich pocztą e-mail.

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki takie jak szyfrowanie, minimalizujące to ryzyko… – Motyw 83 RODO

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku … pseudonimizację i szyfrowanie danych osobowych… – Art. 32 ust. 1 RODO

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. … Zawiadomienie, nie jest wymagane, w następujących przypadkach … administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych… – Art. 34 RODO

Co i w jakim zakresie szyfrować wynikać powinno z przeprowadzonej analizy ryzyka. Być może zakres danych poddawanych szyfrowaniu wynikać będzie z przyjętej polityki ochrony danych lub innych wewnętrznych instrukcji. Te uregulowania wskazywać będą jednak tylko minimalny zakres danych. Niezależnie warto dmuchać na zimne i w przypadku jakichkolwiek wątpliwości szyfrować dane. W przypadku właściwie zaszyfowanych plików, nawet w sytuacji ich utraty czy niewłaściwego udostępniania trudno będzie mówić o poważnym naruszeniu ochrony danych osobowych (przez które rozumień należy naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych), a przynajmniej skutki takiego naruszenia będą niewspółmiernie mniejsze.

Przed omówieniem najprostszych metod szyfrowania, warto wspomnieć, że obecnie każdy poważny dostawca kont poczty elektronicznej szyfruje połączenia. Tego typu bezpieczne połączenie zabezpiecza użytkownika poczty podczas jej wysyłania i odbierania, eliminując ryzyko przechwycenia i odczytania korespondencji (ryzyko podsłuchania transmisji).

Nie oznacza to jednak, że dostęp do korespondencji zawsze jest bezpieczny. Pliki mogą jeszcze zostać odczytane m.in. na komputerach nadawcy i odbiory. Czasami więc zachodzić będzie konieczność dodatkowego zaszyfrowania wysyłanych plików. Jak to zrobić najprościej? Poniżej przedstawione zostały sposoby, które będą miały najczęstsze zastosowanie (zależnie od programu i wersji mogą występować drobne różnice na nazewnictwie funkcji)

Zabezpieczenie plików pakietu Microsoft Office:

  • Przejdź do Plik > Informacje > Chroń dokument (chroń skoroszyt) > Szyfruj przy użyciu hasła.
  • Wpisz hasło, a następnie je potwierdź.
  • Zapisz plik, aby upewnić się, że hasło zacznie obowiązywać.

Zabezpieczenie plików pakietu Libre Office i Open Office:

  • Przejdź do Plik > Zapisz jako > zaznacz opcję Zapisz z hasłem.
  • Wpisz hasło, a następnie je potwierdź.
  • Zapisz plik, aby upewnić się, że hasło zacznie obowiązywać.

Zabezpieczenie dowolnego pliku:

W tym celu można skorzystać z odrębnego oprogramowania, np. w pełni bezpłatnego 7-Zip:

  • Po zainstalowaniu programu 7-Zip otwórz okno Eksploratora plików i znajdź folder z plikami do zabezpieczenia.
  • Zaznacz wybrane pliki, kliknij prawym przyciskiem myszy i przejdź do 7-Zip, Dodaj do archiwum.
  • Podaj hasło do archiwum i wybierz OK.

Można również skorzystać z systemowej funkcji szyfrowania wbudowanej w Microsoft Windows 10. Ze względu jednak na jej ograniczenia (szyfrowanie plików jest dostępne wyłączenie w wersji Windows 10 Pro, nie jest dostępne w systemie Windows 10 Home), w tym artykule nie opisano tej metody szyfrowania.

Uwaga! Zaszyfowane plików na niewiele się przyda, jeżeli nie zostaną spełnione następujące zasady:

  • Hasło musi być odpowiednio silne. Złamanie prostego hasła nie zajmie przestępcy więcej niż kilka sekund. Hasło powinno składać się z liter, cyfr i znaków specjalnych; nie należy bazować na istniejących słowach; nie należy używać powtarzających się znaków. Najprościej siłę hasła można sprawdzić w jednym z dostępnych w sieci internet kalkulatorów np. https://password.kaspersky.com/pl/.
  • Hasło należy przekazać inną droga niż same pliki. Jeżeli pliki wysyłane są pocztą e-mail, hasło należy przekazać telefoniczne lub wysyłając wiadomość SMS.

Istnieją też specjalistyczne konta poczty elektronicznej, oferujące w standardzie gotowe mechanizmy szyfrowania, np. szwajcarski dostawca szyfrowanej poczty elektronicznej https://protonmail.com. Prócz szyfrowania wysyłanych wiadomości, bez konieczności używania dodatkowych narzędzi, dostawca deklaruje tzw. szyfrowanie end-to-end, co w uproszczeniu oznacza, że szyfrowanie odbywa się po stronie klienta, a więc nawet pracownicy serwisu nie mają dostępu do treści wiadomości przesyłanych i odbieranych przez użytkowników.

Na zakończenie warto wspomnieć, że konta poczty elektronicznej zazwyczaj funkcjonują na zasadzie hostingu i obsługiwane są przez zewnętrzną firmę. Korzystając z takich kont dochodzi zatem do powierzenia danych osobowych. Tym samym, zgodnie z przepisami, przed powierzeniem danych należy z takim podmiotem przetwarzającym zawrzeć stosowną umowie powierzenia. Jak taką umowę zawrzeć w praktyce, na przykładzie konkretnych dostawców usług hostingowych – opisane zostanie w odrębnym artykule.