W ostatnim czasie certyfikaty SSL pojawiają się w kontekście różnych przepisów prawa, a szczególnie RODO. Wiele osób zadaje sobie zatem pytanie, czy taki certyfikat jest wymagany przez prawo. Postanowiliśmy wyjaśnić tę kwestię.
Certyfikaty SSL stają się coraz popularniejsze i wdraża je coraz więcej właścicieli stron internetowych. Z jednej strony to wynik rosnącej świadomości na temat cyberzagrożeń i chęć skutecznego zabezpieczenia serwisu www oraz jego użytkowników, z drugiej – coraz łatwiejsza dostępność certyfikatów SSL zachęca do korzystania z nich. Dziś takie certyfikaty oferuje już każdy dobry dostawca usług internetowych (przykładem jest firma Domeny.pl, która ma bardzo szeroką ofertę certyfikatów SSL). Zanim przejdziemy do kwestii związanych z przepisami prawa, należy trochę przybliżyć same certyfikaty SSL.
Jak działa certyfikat SSL?
SSL (Secure Socket Layer) to skuteczna technologia pozwalająca zabezpieczyć transmisję danych dokonywaną w Internecie. Dzięki protokołowi HTTPS jest możliwe szyfrowanie, które gwarantuje bezpieczeństwo danych. Dla samego użytkownika nie zmienia się sposób korzystania ze strony www. Jednak dane wysyłane ze strony do serwera i w drugą stronę zostają zaszyfrowane. Dostępne są jedynie na urządzeniu końcowym użytkownika (np. komputer, smartfon). Dzięki takiemu rozwiązaniu osoba trzecia nie może przejąć wrażliwych danych (np. informacji na temat karty płatniczej). O tym, czy dana witryna jest zabezpieczona certyfikatem SSL, informuje zielona kłódka na pasku zakładki w przeglądarce internetowej. Należy również przypomnieć, że Chrome informuje użytkowników o wchodzeniu na stronę niezabezpieczoną, co wielu internautów może zniechęcić do odwiedzenia takiego serwisu.
Certyfikat SSL – co mówi prawo?
Wróćmy teraz do kwestii prawnych. Jeśli przejrzeć różne akty prawne, które odnoszą się do bezpieczeństwa danych, w żadnym z nich nie znajdziemy wzmianki o certyfikatach SSL. Dotyczy to także przepisów o RODO. Nie ma zatem formalnego nakazu używania takich certyfikatów do zabezpieczenia wrażliwych danych użytkowników serwisów internetowych. Jak zawsze jednak „diabeł tkwi w szczegółach”. GIODO w oświadczeniu wyraźnie podkreśla, że urząd nie narzuca stosowania żadnej określonej technologii. Z drugiej strony sama ustawa o RODO stwierdza, że administrator strony www lub podmiot przetwarzający dane powinien szyfrować dane osobowe. Można zatem stosować różną technologię. Jednak to właśnie certyfikat SSL jest najprostszym i najtańszym sposobem szyfrowania danych. Chcąc zatem odpowiednio je zabezpieczyć i wypełnić zalecenia prawa, najlepiej sięgnąć właśnie po certyfikat SSL. Powtórzmy zatem: nie ma nakazu stosowania certyfikatu SSL, ale to najlepszy sposób na szyfrowanie danych przekazywanych za pośrednictwem strony internetowej czy poczty e-mail.
Certyfikat SSL to skuteczny sposób, aby zabezpieczyć wrażliwe dane użytkowników serwisu internetowego. To nie jest technologia narzucona przez prawo, ale ułatwia jego przestrzeganie i pozwala uniknąć wielu problemów związanych z wyciekiem danych.