• Magdalena Wikarjak-Górzna, autor |

Od 1 stycznia 2019 r. w Danii zaostrzone zostaną przepisy dotyczące szyfrowania e-maili zawierających dane szczególnej kategorii. Duński organ nadzorczy zaleca stosowanie szyfrowania wiadomości e-mail od 2008 r., ale od 1 stycznia 2019 r. szyfrowanie będzie obejmowało już wszystkie wiadomości e-mail zawierające dane osobowe szczególnych kategorii w rozumieniu art. 9 RODO.

Do takich danych należy zaliczyć dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Zmiana ta dotyczy sektora prywatnego, bowiem już od 2000 r. szyfrowanie jest stosowane w duńskim sektorze publicznym obowiązkowo.

Szyfrowanie wiadomości e-mail polega na stosowaniu dodatkowej warstwy zabezpieczeń, która pomaga zapewnić poufność wiadomości, powodując, że treść wiadomości e-mail może być odczytywana tylko przez zamierzonego adresata. W rozbudowanej wersji swojego komunikatu duński organ nadzorczy wskazuje na dwa sposoby szyfrowania wiadomości: Transport Layer Security (TLS) oraz end-to-end, ale ostateczną decyzję pozostawia administratorowi. To administrator ponosi odpowiedzialność za przetwarzanie danych osobowych, które mają miejsce na jego własnym serwerze pocztowym.

W kontekście ochrony danych szczególnych kategorii warto przywołać karę nałożoną przez portugalski organ nadzorczy. Kara w wysokości 400 000 EUR z tytułu naruszenia RODO została nałożona na szpital w Portugalii ze względu na zasady dostępu do baz danych, które umożliwiały technikom i lekarzom przeglądanie dokumentacji klinicznej pacjentów bez odpowiedniego zezwolenia. Szpital nie posiadał wewnętrznych zasad tworzenia kont lub różnych poziomów dostępu do informacji klinicznych, co ostatecznie skutkowało naruszeniem zasady uczciwości i poufności, naruszeniem zasady minimalizacji danych oraz niezdolność administratora danych do zapewnienia poufności i integralności danych.