zmínil jsem se v poslední době, že Obecné nařízení o ochraně údajů (GDPR) je komplikovaný zákon? Jistě, existují některé základní principy, jako je Privacy by Design (PbD) a další nápady, které jakmile pochopíte, celá věc dává větší smysl. Ale existuje spousta překvapení, když se ponoříte do legalese. Například pseudonymizace.

Co to je?

předtím, Než jsme se vysvětlit, pseudonymization, je důležité pochopit, že EU obecného nařízení o ochraně údajů se vztahuje pouze na osobní údaje. To je to, co bychom v USA nazývali osobně identifikovatelnými informacemi (PII). Přemýšlejte o jménech, adresách, telefonních číslech, číslech účtů a nověji o e-mailových a IP adresách.

jaké osobní údaje jsou a nejsou

Co když odstraníte tyto identifikátory osobních údajů například z tabulky nebo sestavy nebo z jiného obsahu souboru?

jste osvobozeni od oficiálních nařízení GDPR (a pokut).

ani byste nemuseli implementovat veškeré zásady ochrany osobních údajů podle návrhu-minimalizace, plány uchovávání-a bezpečnostní záruky pro tyto neosobní údaje.

duševní vlastnictví vaší společnosti-software — obchodní plány na ovládnutí světa a další IP-také nespadá pod GDPR.

Ano, To znamená, že pokud hackeři ukradnou marketingové plány pro další velké uvedení produktu na trh, nemusíte incident hlásit místnímu úřadu pro ochranu údajů nebo DPA

společnost by samozřejmě chtěla přijmout opatření na ochranu údajů-můžeme doporučit přístup naruby? – pro svůj obsah, ale GDPR to nevyžaduje!

šifrování je neřešení

zpět k osobním údajům. Většina společností to nemůže jednoduše odstranit ze svého obsahu. Ačkoli není špatný nápad minimalizovat soubory, kde se tyto osobní údaje objevují.

Jeden způsob, jak se vypořádat s obsahem, který obsahuje osobní údaje, a zmírnit některé zátěže obecného nařízení o ochraně údajů, je šifrování.

podle GDPR vám šifrování dat na rozdíl od starší směrnice o ochraně údajů přináší určité výhody. Je výslovně zmiňován jako legitimní způsob, jak řešit bezpečnost zpracování osobních údajů—jeden z klíčových požadavků zákona.

společnosti, které šifrují své osobní údaje, mají také výhodu, že v případě porušení nemusí subjekty údajů informovat. (I tak by ale museli informovat místní agenturu DPA.

je šifrování levným trikem, který vám umožní vyhnout se některým pravidlům GDPR EU?

není to špatný trik a má některé výhody, ale není to levné.

v naší filozofii IOS považujeme šifrování za možné, ale velmi nepraktické řešení zabezpečení dat souborů. Jednoduše řečeno: velkoobchodní šifrování souborů obsahujících osobní údaje by zaměstnancům velmi ztížilo nebo téměř znemožnilo práci.

jak jsme říkali celou dobu, souborový systém je místo, kde zaměstnanci uchovávají a sdílejí obsah (tabulky, dokumenty, prezentace), na kterém nyní pracují. Je to jejich virtuální stoly, a přidá vrstvu šifrování je rád pohybující se věci kolem a dělat jejich stůl i opatrný — nikdo nemá rád, že!— stejně jako administrativně obtížné zvládnout.

pseudonymizace: nahrazení identifikátorů kódy

a to nás nakonec přivádí k pseudonymizaci.

jedná se o techniku Kódování osobních údajů schválenou GDPR s cílem snížit část zátěže tohoto zákona.

cílem je nahradit osobní identifikátory náhodným kódem. Je to stejná myšlenka za spisovateli, kteří používají pseudonymy ke skrytí své identity. GDPR říká, že to můžete udělat ve větším měřítku jako způsob, jak snížit některé požadavky GDPR.

obecně by musel existovat sací systém, který by zpracoval identifikátory nezpracovaných dat a převedl je na tyto speciální kódy. A musela by existovat hlavní tabulka, která mapuje kódy zpět do skutečných identifikátorů pro ty procesy, které potřebují původní informace.

pomocí tohoto přístupu by pak zaměstnanci mohli pracovat s pseudonymizovanými soubory, ve kterých by byly skryty identity subjektů údajů. Zbytek souboru by byl samozřejmě čitelný.

částečné šifrování je možná jeden způsob, jak přemýšlet o této technice.

stejně jako šifrování je pseudonymizace považována za bezpečnostní opatření (viz článek 32) a je také výslovně uvedena jako“ data by protection by design and by default “ nebo technika PbD (viz článek 25). Je také považována za techniku minimalizace osobních údajů-velmi důležitou pro GDPR.

a v případě porušení údajů se tomuto advokátovi zdá, že subjekty údajů by nemusely být nutně informovány, pokud by byly odcizeny jejich pseudonymizované údaje. Technicky, záleží na tom, zda je v ukradeném souboru dostatek kvazi-identifikátorů-pamatujte si PSČ — datum narození, a pohlaví — aby hackeři mohli znovu identifikovat subjekt údajů.

v každém případě existují další výhody pseudonymů. Lidé IAPP – nezisková organizace pro ochranu soukromí, která rozsáhle psala o GDPR-má skvělý blogový příspěvek vysvětlující více o tom.

a budu psát více o tomto tématu v budoucím příspěvku.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.