Чи достатньо TLS для безпечного шифрування електронних листів і сумісності з GDPR? Багато хто каже, що так, юристи скоріше це залежить. Але для чого? Сtephan Heimel з SEPPmail проливає світло на це питання.
Як кінцеві клієнти, так і консалтингові та впроваджувальні компанії все частіше чують твердження: «TLS (Transport Layer Security) достатньо, щоб спілкуватися відповідно до GDPR». Зазвичай за цим стоїть прагнення до найпростішого способу зашифрованого спілкування через електронну пошту Exchange. електронні листи з іншими партнерами по спілкуванню. На жаль, це помилковий висновок.
Про це говорить GDPR
Щоб поглянути на цю оцінку через юридичну призму, рекомендуємо уважніше розглянути статтю 32 GDPR «Безпека обробки» та пункт 83 декларації GDPR.
У статті 32 GDPR зазначено, що особи, відповідальні за обробку персональних даних, повинні забезпечити захист цих даних від несанкціонованого доступу. Зобов'язані сторони повинні вжити відповідних технічних та організаційних заходів. Тут можлива псевдонімізація та шифрування даних. Шифрування має гарантувати, що особисті дані будуть недоступні для всіх осіб, які не мають доступу до персональних даних (див. ст. 34, абз. 3, літ. a GDPR). Тут ви можете самостійно вирішити, чи TLS є відповідною технологією в усіх випадках.
Остерігайтеся загальних відповідей
З юридичної точки зору, загальні заяви рідко є хорошим підходом. Тому перша відповідь юриста зазвичай: «Це залежить…».
У разі суперечки факти, про які йде мова, повинні розглядатися в кожному окремому випадку. Перевірка може показати, що шифрування взагалі не було потрібним, що шифрування TLS було достатнім або що слід було використовувати наскрізне шифрування вмісту на додаток до чистого лінійного шифрування.
До таких загальних тверджень, як «TLS достатньо для зв’язку відповідно до GDPR», слід підходити обережно. З метою дотримання правил захисту даних відповідальна особа (відповідно до статті 4, пункт 7 EUGDPR) залишається відповідальною. Тому що не тільки ризик лежить на ньому, але й наслідки торкаються його – якщо потрібно особисто. Можливі санкції включають, серед іншого, позови про регрес проти керівництва або спеціальних представників щодо відповідності, захисту даних та інформаційної безпеки. Відшкодування збитків зазвичай вимагається згідно з цивільним законодавством. Це також включає фінансові збитки без обмеження відповідальності. Санкції публічного права включають штрафи, позбавлення волі або адміністративні стягнення. Регуляторні заходи можуть призвести навіть до закриття бізнесу.
Мистецтво безпечного спілкування електронною поштою
Враховуючи ці потенційні небезпеки, вкрай важливо вжити всіх можливих практичних заходів, щоб мінімізувати ризики та максимально підвищити безпеку електронної пошти. Окрім шифрування TLS, яке часто використовується, для захисту конфіденційних електронних листів доступні різні інші методи шифрування. Це включає такі технології, як S/MIME та PGP, які забезпечують наскрізне шифрування та гарантують, що лише авторизований одержувач може розшифрувати вміст.
Так само використання спонтанного шифрування є життєздатним варіантом для шифрування певних електронних листів або повідомлень за потреби, створюючи додатковий рівень безпеки. Усі ці технології були розроблені таким чином, що їх не потрібно створювати на основі базової інфраструктури, а функціонувати незалежно між передавачем і приймачем.
В ідеалі ці технології поєднуються таким чином, щоб конфіденційність і цілісність електронної пошти за жодних обставин не були причиною порушення GDPR.
Більше на SEPPmail.de
Про SEPPmail
Міжнародна компанія SEPPmail, яка працює у Швейцарії та Німеччині, є виробником у сфері «Безпечного обміну повідомленнями». Його запатентована технологія, відзначена багатьма нагородами, для спонтанного безпечного трафіку електронної пошти шифрує електронні повідомлення та, за бажання, надає їм цифровий підпис. Захищені рішення електронної пошти доступні в усьому світі та роблять тривалий внесок у безпечне спілкування за допомогою електронної пошти.