Szyfrowanie danych a RODO – kiedy jest wymagane?

Jeśli Twoi klienci powierzają Ci swoje dane, musisz wiedzieć, kiedy ich ochrona wymaga więcej niż hasła do komputera. Sprawdź, kiedy szyfrowanie nie jest opcją, tylko obowiązkiem.

Szyfrowanie danych a RODO – kiedy jest wymagane?
Katarzyna Leszczak 1 sierpnia 2025

Szyfrowanie to zabezpieczenie Twojej odpowiedzialności

Sklepy internetowe, nawet te najmniejsze, każdego dnia przetwarzają dane osobowe. Wydaje się to oczywiste, ale wielu właścicieli nadal nie dostrzega, jak cienka granica dzieli zwykłą operację zakupu od poważnego naruszenia przepisów. Imię i nazwisko, numer telefonu, adres e-mail, dane dostawy, historia zamówień – wszystko to podlega ochronie. Gdy pojawiają się płatności odroczone, usługi zdrowotne, suplementy czy konsultacje – w grę wchodzą również dane wrażliwe. RODO nie wymaga wprost, by wszystko było szyfrowane. Ale też nie daje Ci alibi, jeśli tego nie zrobisz, a dojdzie do naruszenia. W takich przypadkach liczy się nie to, czy zabezpieczenia były „jakieś”, ale czy były adekwatne do zagrożeń. A w wielu scenariuszach brak szyfrowania jest po prostu trudny do obrony – zarówno przed organem nadzorczym, jak i przed klientami. Zamiast więc zastanawiać się, czy szyfrowanie jest obowiązkowe, lepiej zadać inne pytanie — czy jestem gotowy wziąć odpowiedzialność za dane, które przetwarzam?

Gdzie brak szyfrowania może mieć fatalne skutki? 

Nie trzeba spektakularnego cyberataku, by dane wyciekły. Poniżej kilka bardzo realnych scenariuszy, które w polskich e-commerce’ach dzieją się częściej, niż by się chciało.

1. Praca zdalna i urządzenia mobilne

Masz pracowników lub zleceniodawców, którzy mają dostęp do danych klientów z laptopów albo smartfonów? A czy te urządzenia mają szyfrowane dyski? Czy można je zablokować zdalnie? Jeśli odpowiedź brzmi: „chyba nie”, to w razie zgubienia lub kradzieży czeka Cię nie tylko stres, ale i obowiązek zgłoszenia incydentu.

2. Wysyłka dokumentów e-mailem

Wiele sklepów przesyła dane osobowe załącznikami – od faktur po umowy. Często bez szyfrowania. Jedna literówka w adresie i dokument ląduje u obcej osoby. Taki błąd trzeba zgłosić – a czasem i przeprosić klienta.

3. Formularze i integracje

Masz formularz kontaktowy? Integrujesz się przez API z dostawcą usług? Dane przechodzą przez sieć – a jeśli nie są odpowiednio zabezpieczone, mogą zostać przechwycone. HTTPS to podstawa, ale często niewystarczająca.

4. Przenośne nośniki danych

Pendrive z bazą klientów? Dysk z historią zamówień? Jeśli nie są zaszyfrowane, lepiej ich w ogóle nie używać. Hasło do pliku to nie to samo co szyfrowanie. I o tym też przekonali się już właściciele wielu sklepów – niestety dopiero po szkodzie.

5. Podwykonawcy z dostępem do danych

Jeżeli szukasz wsparcia prawnego swojego e-biznesu

zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniom

Sprawdź szczegóły

Biuro rachunkowe, agencja e-mail marketingu, operatorzy logistyczni – każdy z nich może mieć dostęp do danych Twoich klientów. Jeśli nie szyfrują, to Ty ponosisz odpowiedzialność za skutki.

Nie musisz być ekspertem, żeby wdrożyć podstawowe zabezpieczenia

Szyfrowanie nie oznacza budowy serwerowni ani zatrudnienia działu IT. Czasem wystarczy uruchomić funkcję, która od dawna jest dostępna w systemie. Oto kilka przykładów:

  • Windows i macOS – posiadają narzędzia szyfrujące całe dyski (BitLocker, FileVault). Włączasz raz, działa zawsze.

  • Załączniki e-mail – darmowe aplikacje typu 7-Zip pozwalają zaszyfrować pliki. Hasło można przekazać innym kanałem (np. SMS-em).

  • Platformy chmurowe – większość z nich oferuje szyfrowanie plików i dostęp na poziomie użytkownika. Wystarczy z tego korzystać.

  • Szyfrowanie bazy danych – jeśli masz własny system, warto zapytać developera, czy baza danych jest szyfrowana „w spoczynku”.

  • Procedury wewnętrzne – pracownicy powinni wiedzieć, że plików z danymi osobowymi nie przesyła się ot tak. Nawet na Slacku czy Messengerze.

Nie chodzi o to, żeby całkowicie wyeliminować ryzyko – bo to niemożliwe. Chodzi o to, żeby pokazać, że zrobiłeś wszystko, co było rozsądnie możliwe. I właśnie to oceni organ nadzoru, jeśli coś pójdzie nie tak.

Ochrona danych to nie prawniczy obowiązek. To minimum uczciwości wobec klientów

Szyfrowanie danych to nie tylko wymóg przepisów. To podstawowy gest odpowiedzialności wobec ludzi, którzy powierzają Ci swoje dane, często nieświadomi, jak łatwo mogą one wyciec. W branży e-commerce to zaufanie jest walutą – tracisz je raz, a potem długo próbujesz odzyskać. Szyfrowanie warto potraktować nie jako koszt, ale jako część codziennego procesu prowadzenia firmy – podobnie jak robienie backupu, ustawianie silnych haseł czy aktualizowanie oprogramowania. Bez patosu, bez straszenia. Po prostu: uczciwie. Jeśli dziś pomijasz szyfrowanie, bo „przecież nic się nie stało”, to wiedz, że jutro możesz żałować, że nie poświęciłeś na to jednego popołudnia. Takie rzeczy dzieją się nagle. I zazwyczaj wtedy, kiedy jesteś akurat offline.

Czy ten artykuł był przydatny?

Tagi: RODO
Cło i VAT w sprzedaży do krajów spoza UE — obowiązki informacyjne sklepu

Cło i VAT w sprzedaży do krajów spoza UE — obowiązki informacyjne sklepu

Obowiązki sprzedawców po likwidacji platformy ODR

Obowiązki sprzedawców po likwidacji platformy ODR

Udostępnij:
Popularne tematy
Blogi tematyczne
Prawo konsumenckie 2021
Blog ochrona danych osobowych
Prawo konsumenckie
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO