Faks nie jest zgodny z ochroną danych osobowych

Wiele firm i instytucji nadal używa faksu do przekazywania informacji. Prawie zawsze dotyczy to danych osobowych: faktur, dowodów dostawy, pasków płacowych, dokumentów kontraktowych, raportów (medycznych), akt pacjentów, ...

Ale czy faks gwarantuje w ogóle bezpieczeństwo wymagane przez prawo ochrony danych?

Jeśli tak nie jest, osoby odpowiedzialne mogą spotkać się z wysokimi karami i roszczeniami o odszkodowanie.

Rozwój techniczny

Przez długi czas faks był uważany za bardzo bezpieczną metodę transmisji. Używano wyłącznej linii telefonicznej, która gwarantowała wysoki poziom bezpieczeństwa. Dziś jednak nie jest to już prawdą: zamiast przesyłania przez ekskluzywną linię z szyfrowaniem end-to-end, faks jest obecnie przesyłany w pojedynczych pakietach przez Internet. Ponadto nie można już zakładać, że odbiorca korzysta z prawdziwego urządzenia faksowego, które gwarantowałoby odpowiednie bezpieczeństwo. Zamiast tego, obecnie często zdarza się, że przychodzący faks jest automatycznie konwertowany na e-mail, który jest następnie przekazywany do odpowiedniej skrzynki e-mail.

Alternatywy

Potrzebna jest więc alternatywa dla faksu. Dostępne są szyfrowane e-maile, rozwiązania w chmurze lub klasyczna poczta listowa. Jednak w przypadku tych pierwszych również trzeba wziąć pod uwagę kilka rzeczy.

Szyfrowana poczta elektroniczna

Istotne jest, aby wiadomości e-mail były szyfrowane. W przeciwnym razie mogą być przeglądane tak jak pocztówki. Choć BDSG zaleca szyfrowanie (a DSGVO nie wnosi w tym zakresie żadnych większych innowacji), to istnieją dwie możliwości: Szyfrowanie treści i szyfrowanie transportu.

Szyfrowanie treści i transportu

Szyfrowanie treści (znane również jako szyfrowanie end-to-end), jak sama nazwa wskazuje, szyfruje treść wiadomości e-mail. Jedynie metadane mogą być nadal odczytywane.

Z kolei w przypadku szyfrowania transportowego szyfrowany jest tylko transport, natomiast wiadomość e-mail jest niezaszyfrowana zarówno u nadawcy, jak i u odbiorcy. Szyfrowanie transportowe jest zawsze niezbędne do ochrony danych, ale nigdy nie zastępuje szyfrowania treści.

Prawidłowe wykonanie

Ważne jest, aby szyfrowanie było zawsze przeprowadzane prawidłowo. Wreszcie, obowiązek odpowiedzialności z art. 5 II GDPR odnosi się również do szyfrowania. Jeśli dojdzie do tak zwanego "naruszenia danych", wszystkie osoby, których to dotyczy, muszą zostać poinformowane tak szybko, jak to możliwe. To znacznie szkodzi reputacji administratora danych.

Istnieją różne opcje skutecznego szyfrowania. Wskazane jest stosowanie standardowych rozwiązań, takich jak PGP, RMS czy szyfrowanie TLS.

Ważne jest, aby upewnić się, że konfiguracja jest prawidłowa. Ze względu na skomplikowaną konfigurację z góry, rozwiązanie to jest zazwyczaj niewykonalne dla ruchu B2C, ponieważ tutaj chodzi o spontaniczne i zmieniające się partnerki komunikacyjne. Tutaj należy raczej oprzeć się na procedurze opartej o hasło.

Jeśli firma ustawia szyfrowanie, należy zadbać o to, aby procedura była kompatybilna ze wszystkimi popularnymi klientami. Na przykład musi istnieć możliwość wysyłania przez pracowników zaszyfrowanych e-maili z telefonów komórkowych. Należy również zapewnić, że zautomatyzowane wiadomości e-mail są również szyfrowane.

Rozwiązania w chmurze

Można sobie również wyobrazić wymianę danych za pośrednictwem rozwiązań chmurowych. Jednak i to musi być zabezpieczone przez odpowiednie szyfrowanie.

Problem z rozwiązaniem w chmurze polega zwykle na tym, że dostawca usług może w zasadzie uzyskać dostęp do danych, ponieważ są one zwykle dostępne w niezaszyfrowanej formie. W tym przypadku szyfrowanie end-to-end jest ponownie opcją, o ile pozwala na to podstawowy proces biznesowy.

Warunkiem koniecznym dla tego rozwiązania jest więc zawsze oprócz szyfrowania także godny zaufania dostawca.

Szczególne kategorie danych osobowych

GDPR dzieli niektóre dane osobowe na "kategorię specjalną". Zostały one wymienione w art. 9 I RODO. Obok przekonań ideologicznych, orientacji seksualnej i przynależności do związków zawodowych są to przede wszystkim dane genetyczne i biometryczne, a także dane dotyczące zdrowia osób fizycznych. W praktyce, w sektorze medycznym, są one bardzo często przekazywane faksem z jednego gabinetu lekarskiego do drugiego lub do szpitala.

Przy przetwarzaniu tych danych, które obejmuje również przekazywanie, należy w szczególności przestrzegać § 22 BDSG (uwzględniającego wymogi art. 9 II lit. b, g oraz i DSGVO), który nakazuje w tym celu "odpowiednie i szczególne środki zabezpieczające interesy osoby, której dane dotyczą". Stanowi to obowiązek prawny.

Przekazywanie takich danych za pośrednictwem faksu jest jednak niedopuszczalne ze względu na wyjaśnione zmiany techniczne. Wyjaśniła to również Imke Sommer, pełnomocnik stanu Bremen ds. ochrony danych i wolności informacji.

Również w tym przypadku należy zastosować wymienione wyżej alternatywy. Zanim jednak nastąpi zmiana (techniczna), minie kilka lat.

Wniosek

Każde rozwiązanie ma wiele pułapek związanych z ochroną danych i techniką. Im więcej danych i im częściej przetwarzane lub przekazywane są dane kategorii specjalnej, tym większe ryzyko podejmowane ze względu na złożoność. Profesjonalne i indywidualne doradztwo staje się nieodzowne.