GDPR last minute: Existují minimální požadavky na zabezpečení hesel?

15. 5. 2018
Doba čtení: 2 minuty

Sdílet

 Autor: Depositphotos
Ještě nejste připraveni na obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost 25. května? Nabízíme odpovědi na některé praktické otázky.

Každý den v květnu nabízíme odpověď na jednu praktickou otázku týkající se dopadu GDPR na online podnikání

Obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost 25. května, je často velmi obecné a jeho převedení do praxe může leckomu působit problémy. V dnešním pokračování našeho last minute seriálu se pokusíme vyřešit další praktický dotaz z oblasti online podnikání. Odpovídá Jana Břeská ze Sdružení pro internetový rozvoj (SPIR), které má také vlastního online průvodce GDPR.

TIP: Pokud hledáte odpovědi na skutečně specifické dotazy, můžete je také položit odborníkům v GDPR poradně na sesterském serveru Podnikatel.cz.

Stanovuje GDPR nějaké konkrétní požadavky na zabezpečení přihlašovacích údajů (a dalších dat) zákazníků e-shopů (např. hesla hashovaná nejméně MD5 apod.)?

Už samotný název obecného nařízení o ochraně osobních údajů napovídá, že tento předpis je obecný a nestanoví žádné konkrétní technické požadavky. GDPR stanoví pouze, že osobní údaje mají být přiměřeným způsobem zabezpečeny. E-shop by tedy měl provést řádnou analýzu rizik, porovnat si různá dostupná technická řešení a různou úroveň zabezpečení a zhodnotit pravděpodobnost možných rizik a také možných negativních dopadů v případě, že by k porušení zabezpečení došlo. Na základě takové analýzy by se pak měla firma rozhodnout, jak data svých zákazníků zabezpečí.

Univerzální návod neexistuje a také dozorový orgán v případě kontroly bude posuzovat každý jednotlivý případ zvlášť a na kontrolované firmě pak bude, aby prokázala, že přijala všechna rozumná (nikoliv všechna možná) opatření, aby porušení zabezpečení předešla. Nelze např. očekávat, že drobný živnostník investuje svůj roční obrat do dokonalého technického zabezpečení, když si vede pouze základní databázi kontaktních údajů svých klientů. Takové řešení je sice bezpečné, ale není přiměřené. 

Úřad pro ochranu osobních údajů (ÚOOÚ) v příručce ke GDPR na svém webu píše mimo jiné toto: „Jedním z prvků zabezpečení osobních údajů je např. jejich pseudonymizace nebo šifrování. Tyto prvky však nejsou povinné. Jejich dobrovolné nasazení však správci může přinést i zproštění např. povinnosti ohlásit případ porušení zabezpečení osobních údajů subjektu údajů.“ 

A k možnému zproštění povinnosti ohlašovat úřadu případné porušení zabezpečení dodává: „Oznamují se jen rizikové incidenty pro práva a svobody fyzických osob, nikoli bagatelní záležitosti, které jsou nerizikové. Například používání pseudonymizace či šifrování může případné riziko zcela eliminovat a tudíž i zbavit správce nutnosti případ ohlásit dozorovému úřadu. Vždy je však nutné míru rizika posoudit, a to i v případě, že byla použita pseudonymizace či šifrování.“

Další otázky a odpovědi ke GDPR:

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).