Hlavní navigace

Mýty o GDPR: Šifrování osobních údajů je povinné

Redakce

Přestože někteří lidé tvrdí, že podnikatelé musí při ochraně osobních údajů používat šifrování, není tomu tak.

Doba čtení: 1 minuta

Obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. V článku 32 GDPR se sice mluví o provedení vhodných technických a organizačních opatření, která zajistí zabezpečení odpovídající danému riziku například formou šifrování osobních údajů, nejde ale o povinnost, jde pouze o doporučení.

Čtěte také: HTTPS není jen rozmar Googlu. Letos už vás přechod na něj nemine

Šifrování není povinné

Jak upozorňuje Úřad pro ochranu osobních údajů, při stanovení povinnosti správce a zpracovatele zabezpečit osobní údaje se GDPR výslovně dovolává ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese. Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování, doplňuje ÚOOÚ na svém webu.

Šifrování je doporučeno jako jedno z vhodných opatření. Při posuzování úrovně bezpečnosti by měl podnikatel zohlednit zejména rizika, která představuje zpracování, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům. Kromě šifrování tak lze využít i další nástroje, může se jednat například o pseudonymizaci osobních údajů, omezená přístupová práva k datům, procesy pro pravidelné testování a hodnocení účinnosti zavedených technických a organizačních opatření atd.