Přenos osobních dat podle pravidel GDPR

Když organizace přenášejí data, nevyhnutelně tak do určitého stupně narušují jejich bezpečí. Data již nejsou chráněna fyzickými prostředky, jako jsou zamčené zásuvky ve firemním sejfu a prostředky jejich přenosu mohou být ztraceny, ukradeny nebo napadeny. Není toho mnoho, co mohou organizace udělat, aby eliminovaly ztrátu dat, takže hlavní otázka je, jak snížit škody jakmile budou data zneužita.

Toto je obzvláště aktuální vzhledem k tomu, že GDPR v EU vejde v platnost za méně než 8 měsíců. GDPR posiluje práva obyvatel EU v oblasti jejich osobních dat a týká se všech organizací na světě, které takováto data zpracovávají.

Datové přenosy

Přestože přenos dat je často riskantní, je většinou nutný. Pokus americké vlády zakázat USB flash disky selhal, protože byl jednoduše příliš nepraktický. Přenosná úložná zařízení jsou neskutečně praktická pro přenos souborů a uchovávání záloh.

GDPR zajišťuje, aby subjekty, jichž se tyto osobní údaje týkají, měly právo na přenosnost informací, což ospravedlňuje důležitost přenosných zařízení. To jednotlivcům umožňuje získat a znovu použít svá osobní data pro své vlastní účely napříč různými sektory. To se týká:

– osobních dat, která jednotlivec poskytl správci

– oblastí, kde je zpracování založeno na souhlasu jednotlivce nebo za účelem smlouvy

– a těch oblastí, kde je zpracování provedeno automatickými prostředky

Všechna osobní data musí být přenášena ve strukturované, běžně užívané a strojově čitelné formě.

Pseudonymizace a šifrování

GDPR organizacím doporučuje pseudonymizovat nebo šifrovat všechna osobní data. To nezabrání jedincům či skupinám v přístupu k datům ale značně jim jej zkomplikuje. Pseudonymizace maskuje data nahrazováním identifikačních informací umělými identifikátory. Přestože je základem GDPR – v GDPR je zmiňována 15krát – a může pomoci ochránit soukromí a bezpečnost osobních dat, pseudonymizace má svá omezení, což je důvod, proč GDPR zmiňuje i šifrování.

Šifrování také zneprůhledňuje informarmace nahrazováním identifikátorů něčím jiným. Ale zatímco pseudonymizace umožňuje komukoliv s přístupem k datům zobrazit část datové sady, šifrování umožňuje k celé datové sadě pouze oprávněným uživatelům.

Pseudonymizace a šifrování mohou být použity současně či samostatně.

Implementace šifrování

Ani šifrování, ani pseudonymizace nevyžadují pro zavedení technické znalosti. Obtížnost pro organizace se nachází v zavedení vhodných bezpečnostních politik a postupů a v proškolení zaměstnanců tak, aby si uvědomovali své povinnosti z nich vyplývající.

Napsat komentář