V zájmu zajištění ochrany osobních údajů hraje otázka bezpečnosti údajů ústřední roli. Důležitými klíčovými slovy v této souvislosti jsou ”privacy by design”(tzv. záměrná ochrana osobních údajů) a ”privacy by default” (“ochrana osobních údajů ve výchozím nastavení”).
Definice
Termínem ”privacy by design” se rozumí ochrana údajů prostřednictvím technologického návrhu. To znamená, že již při vývoji nových technologií musí být zajištěna vhodná řešení v souladu s ochranou údajů. Například při vývoji nových softwarových programů a zařízení nesmí být ignorovány důležité zásady ochrany dat, jako je minimalizace dat.
”Privacy by default” znamená ochrana údajů prostřednictvím příslušného výchozího nastavení. Odpovědná osoba musí pomocí vhodného výchozího nastavení zajistit, aby byly zpracovávány pouze ty osobní údaje, které jsou naprosto nezbytné.
Stále si nejste jisti, co ”privacy by design” a ”privacy by default” ve skutečnosti znamená? Podívejme se na pár příkladů:
Příklad
”Privacy by design”: Začlenění konceptů mazání do softwaru pro zpracování dat nebo používání pseudonymizace (nahrazení osobně identifikovatelného materiálu umělými identifikátory) a šifrování (šifrování zpráv tak, aby je mohli číst pouze oprávněné osoby).
”Privacy by default”: Poskytovatel sociální sítě musí například zajistit, aby osobní údaje uživatelů nebyly od začátku zveřejňovány přednastavením své aplikace. Osoby, které aplikaci používají, by neměly nejprve měnit nastavení z „veřejné“ na „soukromé“.
Co však lze konkrétně udělat pro zlepšení bezpečnosti dat? Nyní se seznámíte s některými vhodnými opatřeními:
Definice cílů ochrany údajů
TOMs – technická a organizační opatření (z angl.“ technical and organizational measures“)
Podívejme se nyní na jednotlivá opatření trochu blíže:
Za základní cíle ochrany údajů se považuje
Integrita: Údaje jsou věrné originálu a nebyly poškozeny ani změněny neoprávněnými stranami.
Dostupnost: Údaje jsou k dispozici oprávněným osobám kdykoli a kdekoli je potřebují. Systém zpracování dat je do určité míry tolerantní k poruchám a chybám.
Důvěrnost: Data jsou přístupná pouze oprávněným osobám.
GDPR požaduje, aby správce a zpracovatel provedli vhodná technická a organizační opatření (TOMs) při zpracování údajů za účelem zajištění úrovně ochrany přizpůsobené riziku.
Jak již víte, GDPR zavazuje k ochraně soukromí již záměrně (privacy by design”) a ve výchozím nastavení (“privacy by default”).
Přesná opatření, která je třeba přijmout k ochraně osobních údajů, jsou však v konečném důsledku odpovědností správce údajů a zpracovatele. Příkladem TOMs je pseudonymizace a šifrování dat, informací a školení zaměstnanců nebo automatické zálohování.
Následující příklad ukazuje, jak lze opatření na ochranu údajů uvést do praxe.
Příklad
Předpokládejme, že jste zaměstnáni ve společnosti, která používá databázi zákazníků. Tato databáze zákazníků je umístěna na serveru. Pro zajištění odpovídající úrovně ochrany osobních údajů zákazníků jsou myslitelná například tato opatření na ochranu údajů:
Přístup ke všem údajům o zákaznících je možný pouze pomocí přihlašovacího hesla a uživatelského jména.
Místnost, ve které je server umístěn, je zamčena klíčem.
Každé použití je zaznamenáno, jak přihlášení, tak odhlášení, jako i změny datových záznamů. Každému přihlášení je přiřazena osoba.
Práva ke čtení a zápisu jsou distribuována pouze podle potřeby.
Pokud je to možné, zákazníci se nezaznamenávají pod skutečným jménem, ale pod ID uživatele.
Jsou prováděny pravidelné zálohy, které jsou také testovány na integritu v určitých časových intervalech.
Všechny TOMs podmínky jsou kontrolovány čtvrtletně.
Zaměstnanci dostávají e-mailem jasné instrukce, jak zacházet s osobními údaji, základní školení o ochraně údajů a pravidelná specifickáoznámení o ochraně údajů.
V zájmu zajištění ochrany osobních údajů hraje otázka bezpečnosti údajů ústřední roli. Důležitými klíčovými slovy v této souvislosti jsou ”privacy by design”(tzv. záměrná ochrana osobních údajů) a ”privacy by default” (“ochrana osobních údajů ve výchozím nastavení”).
Definice
Termínem ”privacy by design” se rozumí ochrana údajů prostřednictvím technologického návrhu. To znamená, že již při vývoji nových technologií musí být zajištěna vhodná řešení v souladu s ochranou údajů. Například při vývoji nových softwarových programů a zařízení nesmí být ignorovány důležité zásady ochrany dat, jako je minimalizace dat.
”Privacy by default” znamená ochrana údajů prostřednictvím příslušného výchozího nastavení. Odpovědná osoba musí pomocí vhodného výchozího nastavení zajistit, aby byly zpracovávány pouze ty osobní údaje, které jsou naprosto nezbytné.
Stále si nejste jisti, co ”privacy by design” a ”privacy by default” ve skutečnosti znamená? Podívejme se na pár příkladů:
Příklad
”Privacy by design”: Začlenění konceptů mazání do softwaru pro zpracování dat nebo používání pseudonymizace (nahrazení osobně identifikovatelného materiálu umělými identifikátory) a šifrování (šifrování zpráv tak, aby je mohli číst pouze oprávněné osoby).
”Privacy by default”: Poskytovatel sociální sítě musí například zajistit, aby osobní údaje uživatelů nebyly od začátku zveřejňovány přednastavením své aplikace. Osoby, které aplikaci používají, by neměly nejprve měnit nastavení z „veřejné“ na „soukromé“.
Co však lze konkrétně udělat pro zlepšení bezpečnosti dat? Nyní se seznámíte s některými vhodnými opatřeními:
Podívejme se nyní na jednotlivá opatření trochu blíže:
Za základní cíle ochrany údajů se považuje
GDPR požaduje, aby správce a zpracovatel provedli vhodná technická a organizační opatření (TOMs) při zpracování údajů za účelem zajištění úrovně ochrany přizpůsobené riziku.
Jak již víte, GDPR zavazuje k ochraně soukromí již záměrně (privacy by design”) a ve výchozím nastavení (“privacy by default”).
Přesná opatření, která je třeba přijmout k ochraně osobních údajů, jsou však v konečném důsledku odpovědností správce údajů a zpracovatele. Příkladem TOMs je pseudonymizace a šifrování dat, informací a školení zaměstnanců nebo automatické zálohování.
Následující příklad ukazuje, jak lze opatření na ochranu údajů uvést do praxe.
Příklad
Předpokládejme, že jste zaměstnáni ve společnosti, která používá databázi zákazníků. Tato databáze zákazníků je umístěna na serveru. Pro zajištění odpovídající úrovně ochrany osobních údajů zákazníků jsou myslitelná například tato opatření na ochranu údajů: