Citlivé údaje a GDPR
- 1/12
- 2/12
- 3/12
- 4/12
- 5/12
- 6/12
- 7/12
- 8/12
- 9/12
- 10/12
- 11/12
- 12/12
5 min
Nám všem dobře známé Obecné nařízení o ochraně osobních údajů (GDPR) definuje zvláštní kategorii údajů, kterým říká poněkud odtažitě a úředně „zvláštní kategorie údajů“. V praxi se u nás pro tuto kategorii prosadil přístupnější neformální pojem „citlivé údaje“.
Jsou to takové údaje, které samy o sobě (pouhým zpřístupněním neoprávněné osobě, bez ohledu na kontext) mohou způsobit jejich nositeli*ce významný zásah do osobnostních práv.
Mezi citlivé údaje patří například informace o zdraví, etnickém původu, politických názorech, sexuální orientaci či biometrické údaje.
Údaje o dětech nejsou přímo do této kategorie zahrnuty, avšak i v tomto případě musíme být obezřetní. GDPR totiž na několika místech zdůrazňuje zvláštní ochranu osobních údajů dětí.
Ať už tedy pracujete s cílovou skupinou uprchlíků*ic, provádíte sociologické průzkumy, poskytujete spolu se sociálními službami i zdravotní služby, pomáháte obětem obchodu s lidmi nebo řídíte přístup po budově pomocí systému skenu oční rohovky – ve všech těchto případech se vás kategorie citlivých údajů může týkat.
Proč toto téma řešíme v souvislosti s kyberbezpečností, když jsme se všichni s GDPR vypořádávali před lety, máme k tomu směrnice a postupy? Protože jako správci citlivých údajů jsme zavázání podniknout nadstandardní opatření k jejich ochraně.
Ke konci roku 2023 došlo k úniku dat až 10 tisíc osob z estonské společnosti Asper Biogene, která nabízí služby genetického testování a diagnostiky dědičných nemocí. Celkem mělo být zatím stále neznámým útočníkem zkopírováno cca 100 tisíc souborů z testů. Útočník od společnosti požadoval výkupné za nezveřejnění údajů. Společnost únik okamžitě nahlásila všem dotčeným úřadům. Státní zastupitelství obratem zahájilo vyšetřování.
Generální ředitelka Národní agentury pro informační systémy Pille Lehis k tomu uvedla:
Důsledky úniku dat mohly být mírnější, pokud by tato data společnost šifrovala nebo pseudonymizovala.
Co tedy můžeme udělat?
- Identifikujte osobní údaje v rámci organizace a rozčleňte je podle účelu zpracování a stupně ochrany.
- Zaveďte šifrování pro ukládání a přenos těchto dat, čímž se zvýší jejich bezpečnost během probíhajícího incidentu.
- Data můžete také pseudonymizovat.
- Zaveďte přístupová omezení. Pouze pověřené a potřebné osoby by měly mít přístup k citlivým údajům. Zároveň by měly využívat vícefaktorovou autentizaci. Výpis přístupů pravidelně kontrolujte.
- Vše průběžně kontrolujte.
- Vzdělávejte pracovní týmy.
- Mějte dobře a pečlivě nastavený celý systém správy dat. Problém s úniky osobních údajů je často způsoben lehkovážností, opomenutím či chybou někoho z organizace. O cílené útoky zvenčí jde spíše výjimečně.
- GDPR definuje citlivé údaje, které musí být přísně chráněny. Pokud je spravujeme, musíme ochranu zajistit třeba i za cenu zvýšených nákladů.
- Kyberbezpečnostní opatření jako šifrování a vícefaktorová autentizace mohou pomoci zajistit ochranu těchto dat. V případě citlivých údajů je šifrování nezbytné.
- Únik osobních údajů může vést k pokutám, ztrátě důvěry a právním postihům.
- Pravidelné audity a školení zaměstnanců zvyšují bezpečnostní povědomí a snižují riziko porušení ochrany dat.
- Nezapomínejte, že k úniku údajů může dojít nejen útokem zvenčí, ale hlavně chybou či zanedbáním někoho z vašeho týmu.
- Citlivé údaje: Osobní údaje zahrnující informace o zdraví, politických názorech, biometrických údajích či náboženském přesvědčení.
- GDPR: Nařízení Evropské unie týkající se ochrany osobních údajů.
- Šifrování: Proces převodu dat do kódu, který je nečitelný bez správného klíče.
- Pseudonymizace: Technika, která nahrazuje identifikovatelné informace v datové sadě pseudonymy. Tím se chrání soukromí jednotlivců, protože pseudonymizovaná data nemohou být přímo spojena s konkrétní osobou bez přístupu k dodatečným informacím. GDPR výslovně zmiňuje pseudonymizaci jako jedno z vhodných technických opatření pro zajištění úrovně zabezpečení osobních údajů.