Všeobecné nariadenie o ochrane osobných údajov (GDPR = General Data Protection Regulation) má nahradiť Smernicu EP a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.
Nové nariadenie GDPR nadobudne účinnosť 25. mája 2018. Nariadenie GDPR je priamo uplatniteľné v každom členskom štáte a povedie k väčšej harmonizácii ochrany osobných údajov členských štátov EÚ.
Malé firmy i veľké spoločnosti už prijali procesy a postupy ochrany osobných údajov v súlade s doterajšou smernicou 95/45/ES. Teraz bude potrebné zosúladiť ochranu osobných údajov s nariadením GDPR.
S novými povinnosťami týkajúcimi sa napríklad súhlasu dotknutých osôb, anonymizácie údajov, oznámení o porušení ochrany osobných údajov, cezhraničných prenosoch osobných údajov, vymenúvania zodpovedných osôb a ďalších, GDPR vyžaduje od subjektov, ktoré spracúvajú osobné údaje občanov EÚ, aby vykonali zásadnú operačnú reformu.
V tomto a ďalších súvisiacich článkoch si povieme práve niečo viac o najdôležitejších dopadoch GDPR na zmenu procesov, prostriedkov a postupov ochrany osobných údajov.
GDPR podporuje pseudonymizáciu osobných údajov
Jadrom GDPR je koncept osobne identifikovateľných informácií. Akékoľvek osobné údaje, ktoré sú definované ako informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (= dotknutej osoby), patria do rozsahu pôsobnosti GDPR. Nariadenie sa však nevzťahuje na údaje, ktoré nesúvisia s identifikovanou alebo identifikovateľnou fyzickou osobou, ani s údajmi, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba už nie je identifikovateľná.
GPDR zavádza v podstate celkom nový koncept v európskom práve na ochranu osobných údajov – pseudonymizáciu – pre proces, ktorý narába s údajmi ani nie anonymnými, ale ani priamo identifikujúcimi.
Pseudonymizácia je vlastne oddelenie údajov od priamych identifikátorov, takže spojenie s identitou osoby nie je možné bez dodatočných informácií (ktoré, ako sme uviedli, sú vedené oddelene). Pseudonymizácia preto môže výrazne znížiť riziká spojené so spracovaním osobných údajov a súčasne zachovať ich užitočnosť.
Z toho dôvodu GDPR vytvára stimuly pre prevádzkovateľov, aby pseudonymizovali údaje, ktoré zhromažďujú. Hoci pseudonymizované údaje nie sú úplne vyňaté z nariadenia, GDPR trochu odľahčuje požiadavky kladené na prevádzkovateľov, ktorí údaje pseudonymizujú.
Čo sú pseudonymizované údaje?
Ide o spracovanie osobných údajov takým spôsobom, že údaje už nemožno pripísať konkrétnej dotknutej osobe bez použitia ďalších informácií. Na pseudonymizáciu súboru údajov musia byť "dodatočné informácie" uchovávané oddelene. Zároveň musia byť technicky a organizačne zabezpečené tak, aby nebolo možné ich priradiť k identifikovanej alebo identifikovateľnej osobe.
Súhrnne, pseudonymizácia zvyšuje ochranu súkromia, pri ktorej sú údaje, ktoré by mohli viesť k identifikácii osoby, bezpečne oddelené od spracovávaných údajov o nej.
Samozrejme, aj keď pseudonymizácia môže znížiť riziká pre dotknuté osoby, aj takéto spracovanie údajov o dotknutých osobách, plne podlieha pod pôsobnosť GDPR. Táto technika môže významne znížiť riziko narušenia ochrany osobných údajov, ale úplne jej zabrániť nemôže.
Preto aj keď boli osobné údaje podrobené pseudonymizácii, mali by sa podľa výkladu GDPR považovať za informácie o identifikovateľnej osobe. Čiže summa summarum, za osobné údaje s potrebou adekvátnej miery ochrany. Cieľom pseudonymizácie je ochrana osobných údajov, nie vylúčenie z nej.
GDPR vytvára stimuly pre prevádzkovateľov na pseudonymizáciu údajov
Nariadenie GDPR sa skutočne snaží podporiť prevádzkovateľov, aby pri spracúvaní osobných údajov používali techniku pseudonymizácie údajov. GDPR štandardne vyžaduje od prevádzkovateľov, aby zhromažďovali údaje iba na špecifické, explicitné a legitímne účely.
Jednu z výnimiek tohto obmedzenia zberu údajov predstavuje práve existencia vhodných ochranných opatrení. Medzi ne patrí napríklad šifrovanie a práve v našom texte skloňovaná pseudonymizácia. GDPR teda umožňuje prevádzkovateľom, ktorí pesudonymizujú osobné údaje, väčšiu voľnosť pri spracúvaní osobných údajov na iný účel ako na ten, na ktorý boli zozbierané.
GDPR tiež poskytuje výnimku zo zásady obmedzenia účelu spracovania osobných údajov pre vedecký, historický a štatistický výskum. Prevádzkovatelia, ktorí spracovávajú osobné údaje na tieto účely, musia zabezpečiť primeranú ochranu dotknutých osôb a dodržiavať zásadu minimalizácie údajov. Na tento účel je vhodná práve pseudonymizácia, nakoľko spracúvanie osobných údajov tým pádom neumožňuje identifikáciu dotknutých osôb.
Prevádzkovatelia sú podľa GDPR povinní implementovať opatrenia na ochranu bezpečnosti osobných údajov podľa miery možného rizika bezpečnostných incidentov. Jedným z opatrení, ktoré to môže zaistiť, je pseudonymizácia osobných údajov spolu s ich šifrovaním.
Od prevádzkovateľa sa vyžaduje, aby informoval orgán na ochranu osobných údajov vždy, keď dôjde k bezpečnostnému incidentu. Ten ako taký predstavuje riziko pre práva a slobody dotknutých osôb. Prevádzkovateľ je povinný tiež oznamovať doktnutým osobám, kedykoľvek je toto riziko vysoké.
Keďže pseudonymizácia (ideálne spojená so šifrovaním) znižuje riziko poškodenia dotknutých osôb, prevádzkovatelia, ktorí ju používajú, sa môžu vyhnúť možným oznámeniam bezpečnostných incidentov, ktoré samé o sebe môžu významne znížiť ich kredit v očiach klientov či verejnosti.
GDPR nabáda prevádzkovateľov, aby prijali kódexy správania, ktoré schvaľujú členské štáty, dozorné orgány a Komisia. Tieto kódexy slúžia na to, aby prispeli k správnemu uplatňovaniu samotného nariadenia GDPR.
Okrem iných ustanovení týkajúcich sa kódexov správania, jedno hovorí o tom, že samotné kódexy by mali podporovať používanie pseudonymizácie ako spôsobu na dosiahnutie súladu s nariadením GDPR.
Pseudonymizované údaje nie sú anonymné údaje!
Pomerne široká debata sa vedie o tom, do akého rozsahu môžu byť pseudonymizované údaje opätovne identifikované. Táto otázka má rozhodujúci význam, pretože určuje, či konkrétna operácia spracúvania osobných údajov bude v súlade s ustanoveniami nariadenia. GDPR prijíma flexibilnejší prístup ako tradičné binárne smernice o ochrane osobných údajov a zameriava sa na riziko, že údaje odhalia identifikovateľné osoby. Kľúčovým rozdielom medzi pseudonymizovanými údajmi, ktoré sú upravené v GDPR, a anonymnými údajmi, ktoré v nariadení upravené nie sú, je teda to, či je možné osobné údaje znovu zistiť s primeraným úsilím.
Na ilustráciu konceptu rizika opätovnej identifikácie je dôležité rozlišovať medzi priamymi a nepriamymi identifikátormi. Medzinárodná organizácia pre normalizáciu (ISO) definuje priame identifikátory ako dáta, ktoré možno použiť na identifikáciu osoby bez dodatočných informácií. Sú to údaje, ktoré priamo prezdrádzajú totožnosť osoby, napríklad meno či kontaktné informácie.
Nepriame identifikátory sú údaje, ktoré neidentifikujú jednotlivca izolovane, ale môžu odhaliť individuálnu totožnosť v kombinácii s ďalšími údajmi. Napríklad jedna často citovaná štúdia zistila, že 87 percent Američanov možno jednoznačne identifikovať kombináciou troch nepriamych identifikátorov: dátum narodenia, pohlavie a PSČ. Inými slovami, zatiaľ čo žiadny jedinec nemôže byť identifikovaný len na základe dátumu narodenia, v kombinácii s pohlavím a poštovým smerovacím číslom sa výber dokáže zúžiť na špecifickú identitu.
Pseudonymizácia zahŕňa odstránenie alebo zamaskovanie priamych identifikátorov a v niektorých prípadoch aj určitých nepriamych identifikátorov, ktoré by mohli vo vzájomnej spojitosti odhaliť totožnosť osoby. Tieto údaje sa potom uchovávajú v samostatnej databáze, ktorá by mohla byť prepojená s de-identifikovanou databázou pomocou kľúča, ako napríklad náhodné identifikačné číslo alebo nejaký iný pseudonym.
V dôsledku tohto procesu pseudonymizované údaje, na rozdiel od anonymných údajov, čelia riziku opätovnej identifikácie dvoma spôsobmi. Po prvé, narušenie ochranného štítu dát môže útočníkovi umožniť získať kľúč alebo inak prepojiť pseudonymizovaný súbor údajov s individuálnymi identitami. Alternatívne, aj keď kľúč nie je odhalený, zlomyseľný aktér môže byť schopný identifikovať jednotlivcov kombináciou nepriamych identifikátorov v pseudonymizovanej databáze s inými dostupnými informáciami.
GDPR nariaďuje prevádzkovateľom, aby zaviedli primerané bezpečnostné opatrenia na zabránenie takémuto neoprávnenému "zvráteniu" pseudonymizácie. Na zmiernenie rizika by prevádzkovatelia mali mať zavedené vhodné technické (napr. šifrovanie, hashovanie alebo tokenizáciu) a organizačné (napr. dohody, interné politiky, súkromie ako aspekt návrhu = privacy by design) opatrenia oddeľujúce pseudonymizované údaje od identifikačného kľúča.
Zhrnutie
GDPR zavádza do európskeho práva na ochranu údajov nový pojem - pseudonymizácia ako prostriedok na ochranu práv jednotlivcov - a súčasne umožňuje prevádzkovateľom využívať výhody užitočnosti zbieraných údajov. Hoci pseudonymizované údaje naďalej spadajú do rozsahu pôsobnosti nariadenia GDPR, niektoré ustanovenia sú v nariadení postavené voľnejšie, aby povzbudili prevádzkovateľov k používaniu tejto techniky. Preto budú mať prevádzkovatelia, ktorí pseudonymizujú svoje súbory údajov, jednoduchšiu cestu k používaniu osobných údajov na sekundárne účely a na vedecký a historický výskum, ako aj splnenie požiadaviek nariadenia GDPR o bezpečnosti údajov.
Autor: Bc. Rastislav Teplánský, Gdpr-Riesenie.sk
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.