Obecné nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. V článku 32 GDPR se sice mluví o provedení vhodných technických a organizačních opatření, která zajistí zabezpečení odpovídající danému riziku například formou šifrování osobních údajů, nejde ale o povinnost, jde pouze o doporučení.
Čtěte také: HTTPS není jen rozmar Googlu. Letos už vás přechod na něj nemine
Šifrování není povinné
Jak upozorňuje Úřad pro ochranu osobních údajů, při stanovení povinnosti správce a zpracovatele zabezpečit osobní údaje se GDPR výslovně dovolává ohledu na stav techniky, náklady na přijetí a provedení jednotlivých technických a organizačních opatření k zabezpečení osobních údajů, povaze, rozsahu, kontextu a účelům samotného zpracování a také k pravděpodobným rizikům pro práva a svobody, jež s sebou zpracování nese. Vlastní povinnost pak zahrnuje zavedení vhodných technických a organizačních opatření a začlenění do zpracování nezbytných záruk, a to jak v době určení prostředků pro zpracování, tak v době vlastního zpracování,
doplňuje ÚOOÚ na svém webu.
Šifrování je doporučeno jako jedno z vhodných opatření. Při posuzování úrovně bezpečnosti by měl podnikatel zohlednit zejména rizika, která představuje zpracování, jako náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění osobních údajů a neoprávněný přístup k takovým údajům. Kromě šifrování tak lze využít i další nástroje, může se jednat například o pseudonymizaci osobních údajů, omezená přístupová práva k datům, procesy pro pravidelné testování a hodnocení účinnosti zavedených technických a organizačních opatření atd.
ČLÁNKY DO MAILU