Artykuł 32 RODO: Jak udowodnić, że dzielisz się dokumentami w sposób bezpieczny
← All Articles

Artykuł 32 RODO: Jak udowodnić, że dzielisz się dokumentami w sposób bezpieczny

Published on 22 kwietnia 2026

Artykuł 32 RODO wymaga od organizacji wdrożenia odpowiednich technicznych i organizacyjnych środków bezpieczeństwa podczas przetwarzania danych osobowych. Dla zespołów finansowych, które dzielą się dokumentami zewnętrznie, oznacza to szyfrowanie danych w tranzycie i w spoczynku, kontrolowanie, kto ma dostęp do dokumentów oraz prowadzenie rejestrów, które udowadniają, że Twoje środki bezpieczeństwa są wdrożone. Ten artykuł wyjaśnia, co dokładnie wymaga artykuł 32 i jak wykazać zgodność.

Co rzeczywiście wymaga artykuł 32

Artykuł 32(1) wymienia środki, które administratorzy i przetwarzający muszą wziąć pod uwagę, biorąc pod uwagę stan techniki, koszty wdrożenia oraz ryzyko związane z przetwarzaniem. Należą do nich:

  • Pseudonimizacja i szyfrowanie danych osobowych
  • Możliwość zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów przetwarzania
  • Możliwość przywrócenia dostępu do danych osobowych w odpowiednim czasie po incydencie fizycznym lub technicznym
  • Proces regularnego testowania, oceny i ewaluacji skuteczności środków bezpieczeństwa

Fraza "odpowiednie środki" jest istotna. Organy regulacyjne nie oczekują tych samych kontroli od dwuosobowej firmy doradczej, co od systemowo ważnego banku. Standard jest proporcjonalny do Twojego profilu ryzyka, wrażliwości danych oraz potencjalnych szkód dla osób, których dane dotyczą, w przypadku wystąpienia naruszenia.

Cztery techniczne kontrole, które spełniają artykuł 32 dla dzielenia się dokumentami

Dla zespołów dzielących się dokumentami z klientami, kontrahentami lub doradcami, cztery techniczne kontrole stanowią fundament podejścia zgodnego z artykułem 32.

Szyfrowanie w tranzycie i w spoczynku. Każdy dokument przesyłany przez internet powinien być szyfrowany przy użyciu TLS 1.2 lub wyższego. Dokumenty przechowywane na serwerach powinny być szyfrowane w spoczynku, przy użyciu AES-256, który jest obecnie standardem branżowym. Jeśli wysyłasz dokumenty jako załączniki e-mail, nie masz gwarancji, że którakolwiek z tych warunków jest spełniona.

Kontrola dostępu. Tylko uprawnieni odbiorcy powinni mieć możliwość otwarcia dokumentu. Oznacza to używanie unikalnych linków dostępu zamiast publicznie dostępnych URL, wymaganie weryfikacji e-mail lub hasła przed przyznaniem dostępu oraz ustalanie dat wygaśnięcia linków, aby dostęp nie mógł trwać w nieskończoność.

Rejestrowanie audytów. Artykuł 32 wymaga, abyś mógł wykazać, że Twoje środki bezpieczeństwa działają. Dziennik audytu, który rejestruje, kto uzyskał dostęp do dokumentu, kiedy, z jakiego adresu IP lub lokalizacji oraz jak długo, dostarcza tych dowodów. Bez niego nie możesz udowodnić zgodności, nawet jeśli Twoje kontrole są silne.

Rezydencja danych. Dla osób z UE przetwarzanie ich danych osobowych na serwerach znajdujących się poza EOG wprowadza ryzyko transferu na mocy Rozdziału V RODO. Hosting dokumentów na infrastrukturze UE eliminuje to ryzyko i upraszcza Twoją pozycję zgodności.

Panel funkcji bezpieczeństwa SendNow pokazujący AES-256, kontrole dostępu i odznaki zgodności z hostingiem w UEPanel funkcji bezpieczeństwa SendNow pokazujący AES-256, kontrole dostępu i odznaki zgodności z hostingiem w UE

Budowanie pakietu dowodów artykułu 32

Jeśli organ nadzorczy zbada Twoje praktyki dzielenia się dokumentami, będzie oczekiwał dowodów, a nie tylko twierdzeń. Twój pakiet dowodów powinien zawierać:

  1. Umowa o przetwarzaniu danych z każdą platformą, której używasz do dzielenia się dokumentami, potwierdzająca środki bezpieczeństwa przetwarzającego.
  2. Rekordy konfiguracji bezpieczeństwa pokazujące, że szyfrowanie, kontrole dostępu i rejestrowanie są aktywne w Twoim narzędziu do dzielenia się dokumentami.
  3. Przykładowe dzienniki audytu demonstrujące poziom szczegółowości rejestrowanego dostępu do każdego zdarzenia.
  4. Ocena ryzyka lub DPIA, która dokumentuje, dlaczego wybrane środki są odpowiednie dla kategorii danych, które dzielisz.
  5. Rekordy incydentów, nawet jeśli incydenty były drobne, pokazujące, że monitorujesz, wykrywasz i reagujesz na zdarzenia związane z bezpieczeństwem.

Jak platforma do dzielenia się dokumentami generuje dowody artykułu 32

Korzystanie z platformy do dzielenia się dokumentami stworzonej specjalnie w tym celu, zamiast e-maila lub ogólnego przechowywania w chmurze, znacznie upraszcza zgodność z artykułem 32. Każdy link do udostępnionego dokumentu może generować automatyczny zapis audytu, a certyfikaty infrastruktury platformy służą jako dowód zewnętrzny technicznych kontroli.

Dziennik audytu SendNow jako zapis dowodu artykułu 32Dziennik audytu SendNow jako zapis dowodu artykułu 32

Z SendNow każdy link do dokumentu generuje szczegółowy dziennik dostępu. Możesz eksportować te dzienniki dla dowolnego dokumentu i przedstawić je jako część swojego pakietu dowodów artykułu 32. W połączeniu z szyfrowaniem AES-256 SendNow, infrastrukturą hostowaną w UE i domyślnymi kontrolami dostępu, platforma zapewnia techniczną warstwę, na której opierają się Twoje środki organizacyjne.

Lista kontrolna zgodności z artykułem 32 dla dzielenia się dokumentami

WymaganieJak to spełnić
Szyfrowanie w tranzycieTLS 1.2+ wymuszony na wszystkich linkach dokumentów
Szyfrowanie w spoczynkuAES-256 na wszystkich przechowywanych dokumentach
Ograniczenie dostępuLinki zabezpieczone e-mailem lub hasłem
Wygasanie linkówAutomatyczne wygasanie po określonym czasie
Rejestrowanie audytówZapis dostępu z datą i godziną dla każdego dokumentu
Rezydencja danych w UEDokumenty hostowane na serwerach w UE
DPA z przetwarzającymPodpisana DPA z dostawcą dzielenia się dokumentami
Testowanie bezpieczeństwaCoroczna ocena ustawień bezpieczeństwa platformy

Aby uzyskać głębsze informacje na temat śladów audytu, przeczytaj Jak utrzymać zgodny z RODO ślad audytu. Aby uzyskać pełny framework, zobacz nasz Kompletny przewodnik po dzieleniu się dokumentami RODO oraz Szyfrowanie AES-256 dla wyjaśnienia dzielenia się dokumentami.

Zacznij generować dowody artykułu 32 już dziś. Każdy dokument udostępniony przez SendNow jest automatycznie rejestrowany, szyfrowany i hostowany w UE. Odwiedź sendnow.live, aby zobaczyć, jak to działa.

Najczęściej zadawane pytania

Q: Czy artykuł 32 dotyczy dzielenia się dokumentami, jak również danych przechowywanych? A: Tak. Artykuł 32 dotyczy wszelkiego przetwarzania danych osobowych, co obejmuje przesyłanie dokumentów zawierających dane osobowe do stron zewnętrznych. Akt dzielenia się jest działalnością przetwarzającą i musi spełniać te same standardy bezpieczeństwa, co przechowywanie.

Q: Co oznacza "odpowiednie" bezpieczeństwo w kontekście artykułu 32? A: Odpowiedniość jest oceniana w kontekście ryzyk. Dla zespołów finansowych dzielących się poufnymi danymi klientów poziom ryzyka jest wysoki, więc standard oczekiwanych środków bezpieczeństwa jest odpowiednio wysoki. Szyfrowanie AES-256, kontrole dostępu i rejestrowanie audytów reprezentują aktualne najlepsze praktyki dla tego poziomu ryzyka.

Q: Czy mogę polegać na bezpieczeństwie odbiorcy, jeśli wysyłam mu dokument? A: Nie. Gdy dokument opuszcza Twoją kontrolę, bezpieczeństwo odbiorcy jest jego odpowiedzialnością. Twoim obowiązkiem na mocy artykułu 32 jest zabezpieczenie samego transferu. Używanie linku zabezpieczonego dostępem i szyfrowanego zamiast załącznika e-mail ogranicza Twoje narażenie po dostarczeniu dokumentu.

Q: Czy standardowy e-mail jest wystarczająco szyfrowany, aby spełnić wymagania artykułu 32? A: Standardowy e-mail nie jest wystarczający. Chociaż TLS szyfruje e-maile w tranzycie między serwerami, załączniki nie są szyfrowane w spoczynku na serwerze odbiorcy, nie ma rejestrowania dostępu, a Ty nie możesz cofnąć dostępu po wysłaniu. Narzędzia do dzielenia się dokumentami stworzone specjalnie w tym celu zapewniają znacznie silniejsze kontrole.

Q: Czy musimy zaktualizować naszą ocenę artykułu 32, gdy zmieniamy narzędzia do dzielenia się dokumentami? A: Tak. Artykuł 32 to żywy obowiązek. Zmiana platformy do dzielenia się dokumentami to istotna zmiana w Twoim środowisku przetwarzania i powinna wywołać przegląd Twoich środków technicznych i, jeśli to konieczne, aktualizację DPIA.

Q: Co się stanie, jeśli organ nadzorczy uzna nasze środki artykułu 32 za niewystarczające? A: Mogą wydać nakaz poprawy, wymagający od Ciebie poprawy środków, a w poważnych przypadkach mogą nałożyć karę administracyjną w wysokości do 10 milionów EUR lub 2% globalnego rocznego obrotu na mocy artykułu 83(4).

Q: Czy korzystanie z dostawcy zgodnego z RODO automatycznie spełnia wymagania artykułu 32? A: Nie. Zgodność Twojego dostawcy jest koniecznym, ale niewystarczającym warunkiem. Musisz również poprawnie skonfigurować narzędzie i wdrożyć środki organizacyjne, takie jak szkolenie personelu i polityka dzielenia się dokumentami. Zgodność z artykułem 32 wymaga obu warstw.

Q: Jak często powinniśmy testować nasze środki bezpieczeństwa dokumentów? A: Artykuł 32(1)(d) wyraźnie wymaga procesu regularnego testowania i oceny środków bezpieczeństwa. Coroczne testowanie to minimum dla większości organizacji. Po każdej istotnej zmianie w Twojej platformie lub działalności przetwarzającej, natychmiastowy przegląd jest wskazany.

Ready to share documents smarter?

Start tracking who reads your documents, page by page. Free trial, no credit card required.

Get Started for Free →