Už od konce května budou muset firmy lépe zabezpečovat data, která spravují. Týká se to klient­ských údajů, stejně jako informací o vlastních zaměstnancích. Nové evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR zavádí státy Evropské unie proto, aby úřady i soukromé společnosti citlivá data skutečně zpracovávaly v souladu s právními předpisy a zároveň je dostatečně chránily před zneužitím. Jeden ze způsobů, jak toho docílit, je osobní údaje anonymizovat.

"Dělá se to tak, že se z datového souboru nevratně odstraní všechny osobní údaje, bez možnosti zpětné identifikace konkrétní osoby," vysvětluje právnička Zuzana Kohútová ze společnosti FlyEye. Připomíná, že na takto upravená data se už nevztahují pravidla o ochraně osobních údajů.

Pokud by se firmy nechtěly svých dat nadobro vzdát, mohou pro jejich ochranu využít takzvanou pseudonymizaci. "Při ní se osobní údaje v souboru odstraní, případně nahradí. Provede se to takovým způsobem, že identifikace konkrétní osoby bude po přiřazení dodatečných údajů možná," popisuje Kohútová. Cílem tohoto postupu je, aby byly údaje nesrozumitelné pro kohokoli, kdo nemá oprávnění k přístupu k nim.

Seriál HN k ochraně dat GDPR

◼ 14. 3. - Osobní údaje 2018
◼ 21. 3. - Procesy GDPR
◼ 28. 3. - Co čekat od UOOU?

Další možností částečného anonymizování dat je šifrování pomocí technologií, kdy je možné se k údajům dostat pouze při využití šifrovacího klíče. Na obě varianty zabezpečení odkazuje nařízení GDPR, nejsou sice výslovnou podmínkou, mohou ale při úniku dat zabránit jejich zneužití.

Podle loňského průzkumu IT společností ESET a IDC považuje šifrování dat za žádoucí pouze každá třetí firma. Přitom k více než polovině průniků do citlivých dat dochází kvůli krádeži nebo prolomení hesla. "Šifrování sice tento problém řeší, ale donedávna jej lidé vnímali jako příliš složité a nákladné na to, aby je mohly používat malé a střední firmy," uvádí ve zprávě o výsledcích průzkumu vedoucí výzkumu společnosti IDC Mark Child.

Podle advokátky Karin Pomaizlové z Taylor Wessing si musí společnosti vyhodnotit, jak závažný dopad by měly neautorizované a nezákonné zásahy do databáze jejich zákazníků či zaměstnanců, a podle toho zvolit vhodná opatření.

Úřad pro ochranu osobních údajů se přimlouvá za anonymizaci dat, alespoň částečnou. "Šifrování a pseudonymizace jsou bezpečnostním prvkem, který může správci zlepšit jeho postavení v případě úniků těchto údajů. V takovém případě se na něj nemusí vztahovat povinnost ohlašovat případ porušení zabezpečení osobních údajů dozorovému úřadu," píše úřad ve svém manuálu. Připomíná ale, že v každém případě bude nutné posuzovat rizika úniku dat a dávat pozor například na to, zda nedošlo k prolomení šifrovacího klíče.

 

Samotné splnění základních technologických a bezpečnostních podmínek GDPR zároveň neznamená, že se firmy ubrání útokům hackerů. Pouhé šifrování či pseudonymizace jsou jen základní ochranou, proti útokům se datová úložiště musí bránit i jinak. "Nařízení zvýší technickou náročnost a nákladnost hackerských útoků, bylo by ale nebezpečné myslet si, že nebude možné data ukrást," varuje specialista Pavol Lupták, který pomáhá odhalit díry v zabezpečení.

"Prostředků k zabezpečení osobních údajů je mnoho, šifrování představuje jen jednu z možností a jistě nesplní svůj účel, pokud bude jediným prostředkem zabezpečení," říká Karin Pomaizlová s tím, že je nutné například zajistit automatizovanou softwarovou kontrolu práce s osobními údaji v databázích a zabránit tomu, aby zaměstnanci či jiní spolupracovníci provozovatele zkopírovali a vynesli osobní údaje jeho zákazníků.

Někteří experti se přitom obávají, že nařízení nebude mít takový dopad, jaký se od něj očekává, a společnosti do ochrany investovat nebudou. "Firmy od zabezpečení očekávají pouze splnění shora daných požadavků, protože se chtějí vyhnout pokutám, nejde o vlastní rozhodnutí zaměřit se na bezpečnost," myslí si Petr Samek, spolumajitel společnosti CNS, která vyvíjí šifrovací systémy.

Související