Začernit rodné číslo nestačí. Vhodnější je osobní údaje šifrovat

09.03.2018

Už od konce května budou muset firmy lépe zabezpečovat data, která spravují. Týká se to klient­ských údajů, stejně jako informací o vlastních zaměstnancích. Nové evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR zavádí státy Evropské unie proto, aby úřady i soukromé společnosti citlivá data skutečně zpracovávaly v souladu s právními předpisy a zároveň je dostatečně chránily před zneužitím. Jeden ze způsobů, jak toho docílit, je osobní údaje anonymizovat.

"Dělá se to tak, že se z datového souboru nevratně odstraní všechny osobní údaje, bez možnosti zpětné identifikace konkrétní osoby," vysvětluje právnička Zuzana Kohútová ze společnosti FlyEye. Připomíná, že na takto upravená data se už nevztahují pravidla o ochraně osobních údajů.

Pokud by se firmy nechtěly svých dat nadobro vzdát, mohou pro jejich ochranu využít takzvanou pseudonymizaci. "Při ní se osobní údaje v souboru odstraní, případně nahradí. Provede se to takovým způsobem, že identifikace konkrétní osoby bude po přiřazení dodatečných údajů možná," popisuje Kohútová. Cílem tohoto postupu je, aby byly údaje nesrozumitelné pro kohokoli, kdo nemá oprávnění k přístupu k nim.

Další možností částečného anonymizování dat je šifrování pomocí technologií, kdy je možné se k údajům dostat pouze při využití šifrovacího klíče. Na obě varianty zabezpečení odkazuje nařízení GDPR, nejsou sice výslovnou podmínkou, mohou ale při úniku dat zabránit jejich zneužití.