Šifrovanie ako bezpečnostné opatrenie – GDPR

Šifrovanie predstavuje z pohľadu predpisov o ochrane osobných údajov jedno z bezpečnostných opatrení, ktoré môže prevádzkovateľ a sprostredkovateľ zaviesť pri plnení svojich bezpečnostných povinností.  Čo je to šifrovanie, akú úlohu mu prikladá Nariadenie GDPR a kedy je vhodné ho v spoločnosti zaviesť, Vám priblížime v našom ďalšom článku.

Čo je šifrovanie?

Šifrovanie vo všeobecnosti znamená zmenu obsahu informácie (textu) na skupinu nezrozumiteľných znakov, ktorá je pre neoprávnenú osobu nečitateľná bez znalosti šifrovacieho kľúča. Zjednodušene povedané, ide o akýsi proces kódovania informácií tak, aby neoprávnené osoby v čase prenosu údajov nemali možnosť si tieto informácie prečítať. V prípade, ak prístup k údajom získa neoprávnená osoba, bude pre ňu obsah správy bez dešifrovacieho kľúča nečitateľný. Účinnosť šifrovania ako bezpečnostného opatrenia závisí od zvolenej metódy, ktorých existuje niekoľko. K základným patria symetrické šifry, ktoré pre šifrovanie a dešifrovanie používajú ten istý šifrovací kľúč a symetrické šifry, ktoré používajú verejný kľúč pre šifrovanie a súkromný kľúč pre dešifrovanie.¹

Bežne používanou a pomerne účinnou funkciou je aj hashovacia funkcia. Táto predstavuje spôsob, ako je možné z celého textu vytvoriť krátky reťazec, ktorý s veľmi veľkou pravdepodobnosťou identifikuje nezmenený text.

Najbežnejším príkladom šifrovania je šifrovanie pri zabezpečení e-mailovej komunikácie alebo komunikácie prostredníctvom mobilných aplikácia, ktorá je dnes základným štandardom poskytovateľoch týchto služieb.

GDPR a šifrovanie

Nariadenie GDPR hovorí o šifrovaní v čl. 32, keď ho uvádza ako jeden z príkladov opatrení, ktorých cieľom je zaistiť bezpečnosť spracúvaných osobných údajov primeranú rizikám, ktoré pri spracúvaní osobných údajov pre práva a slobody fyzických osôb hrozia. Nariadenie GDPR zámerne neuvádza taxatívny výpočet bezpečnostných opatrení, ktoré je prevádzkovateľ a sprostredkovateľ povinní prijať. Uvedené platí najmä preto, lebo pri zavádzaní bezpečnostných opatrení sú prevádzkovateľ a sprostredkovateľ povinní brať do úvahy najmä rôzne stupne pravdepodobnosti a závažnosti rizík, ktoré boli vo vzťahu k spracúvaným osobným údajom identifikované. Potvrdzuje to aj recitál 76 Nariadenia GDPR, podľa ktorého pravdepodobnosť a závažnosť rizika pre práva a slobody dotknutých osôb by sa mala stanoviť v závislosti od povahy, rozsahu, kontextu a účelov spracúvania.

Uvedenie presného zoznamu bezpečnostných opatrení² by sa minulo účinku, pretože by nebolo objektívne možné pokryť všetky možné riziká, ktoré hrozia alebo môžu pri spracúvaní osobných údajov hroziť.

V zmysle dobrej praxe pravidiel informačnej bezpečnosti³ je bezpečnosť akejkoľvek informácie daná troma základnými atribútmi, ktoré musia byť splnené: dôvernosť (confidentiality), integrita a dostupnosť (availability). Šifrovanie je možné vo svojej podstate označiť za bezpečnostné opatrenie, prostredníctvom ktorého je možné všetky vyššie uvedené atribúty naplniť, pretože:

• chráni osobné údaje pred sprístupnením neautorizovanému subjektu (dôvernosť),
• zabezpečuje presnosť a nezmeniteľnosť uchovávaných osobných údajov (integrita),
• zabezpečuje použiteľnosť osobných údajov v čase, keď je to potrebné autorizovanému subjektu (dostupnosť)

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Je šifrovanie potrebné zaviesť vždy?

Nariadenie GDPR nezavádza povinnosť osobné údaje v každom prípade šifrovať. Výber bezpečnostných opatrení je vždy na zodpovednom subjekte a mal by vychádzať z analýzy rizík, ktoré spracúvanie osobných údajov konkrétnom prípade predstavuje. V neposlednom rade závisí aj od veľkosti subjektu spracúvajúceho osobné údaje a povahy a rozsahu spracovateľských operácií.(Cieľom Nariadenia GDPR nie je ukladať rovnaké povinnosti nadnárodnej spoločnosti a malej spoločnosti s pár zamestnancami))

Šifrovanie by malo byť aplikované cielene tam, kde je jeho využitie opodstatnené. Na druhej strane, šifrovanie je jednou z oblastí, ktoré je podľa noriem informačnej bezpečnosti⁴ potrebné pri zavádzaní systému informačnej bezpečnosti v spoločnosti implementovať.  Aj keď z pohľadu predpisov o ochrane osobných údajov nie je šifrovanie povinné, predstavuje spoľahlivú a pomerne dostupnú metódu, ktorá sa dnes v mnohých sférach stáva štandardom. Šifrovanie je využiteľné napríklad pri ukladaní (spracúvaní) osobných údajov na lokálne disky pracovných staníc (notebook), ktoré využívajú zamestnanci aj mimo zabezpečeného prostredia svojho pracoviska, napr. počas homeoffic-u. Pre viac informácií o téme homeoffic-u si prečítajte aj: GDPR a home-office.

1. t. j. rôzne kľúče pre šifrovanie a dešifrovanie. V praxi sa obe vyššie uvedené druhy šifier kombinujú ↩

2. Tak technických, ako aj organizačných opatrení ↩

3. Informačnú bezpečnosť nie je možné stotožňovať s bezpečnostnou osobných údajov, jej princípy a metódy však platia aj v tejto oblasti a pri nastavení správneho „prieniku“ medzi oboma oblasťami je možné zabezpečiť primeranú úroveň ochrany spracúvaných osobných údajov prostredníctvom dodržiavania pravidiel a postupov v oblasti informačnej bezpečnosti ↩

4. ISO 2700, príloha A ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb