toggle menu

Výmaz osobních údajů v praxi

Výmaz osobních údajů v praxi
11.3.2024 Technologie, Spektrum

Výmaz či anonymizace osobních údajů dost často bývá největší výzvou všech správců a zpracovatelů osobních údajů. Proč? Jak v praxi efektivně a chytře anonymizovat osobní údaje? V příspěvku, který vyšel na odborném serveru www.gdpr.cz, se dozvíte více.

Více informací, které se týkají problematiky GDPR, naleznete ZDE.

 Proč je právě výmaz či anonymizace osobních údajů takovým strašákem?

Pro tento stav existuje mnoho důvodů, mezi ty nejdůležitější patří především:

  1. Zájem správce uchovávat osobní údaje co nejdéle pro jejich případné statistické, obchodní či finanční využití.
  2. Nepřeberné množství strukturovaných, a především nestrukturovaných dat, to vše navíc v mnoha podobách, aplikacích, databázích a dalších úložištích.
  3. Ne zcela přehledný právní rámec povinně uchovávaných dat a zákonných retenčních lhůt pro osobní údaje.

Bez zmapování osobních údajů to nejde

Zcela zásadní význam pro dodržování GDPR i v oblasti nastavení datové retence má audit datových toků obsahujících osobní údaje.

Správci, kteří jsou držiteli nebo postupují podle mezinárodního standardu ISO/IEC 27001, mají z půlky vyhráno, protože tato norma poskytuje osvědčený rámec pro řízení informační bezpečnosti. Ten zahrnuje politiky, procesy a kontrolní mechanismy, které zajišťují pravidelné hodnocení informačních aktiv, rizik a dokumentace, včetně doby pro jejich uchování.

Mohlo by vás zajímat: PwC CEO Survey: Šéfové českých firem jsou výrazně optimističtější než loni

Pro ostatní je však audit datových toků procesem, který je značně finančně a časově náročný, protože je třeba kontrolovat všechny oblasti činnosti správce. Finanční a časová náročnost již odradila nejednoho správce od skutečně důkladné a detailní vstupní analýzy dat.

Výstupem analýzy zpravidla bývá identifikace a klasifikace osobních údajů. Zároveň by měl být popsán proces, při kterém dochází ke zpracování, účel a právní základ zpracování, základní analýza rizik a popis správy a ukládání osobních údajů. Každé zpracování osobních údajů má svoje specifické aspekty, typické pro daný obor podnikání, či obecně předmět činnosti správce a účel, pro který jsou osobní údaje získány a zpracovány.

Vlastníci dat určují lhůtu pro výmaz

Nezbytným krokem je určení vlastnictví analyzovaných dat. Tento krok obvykle spočívá v přiřazení odpovědnosti za data zpracovávaná v rámci procesů či činností jednotlivým vlastníkům, typicky vedoucím příslušných odborů, oddělení, členům statutárních orgánů atp. Vlastníci dat jsou pak zodpovědní za jejich správu a určení lhůty pro uchování a následný výmaz v souladu s GDPR.

K zajištění souladu s GDPR je nezbytné přiřazení specifických skartačních příznaků pro jednotlivé kategorie osobních údajů. Skartační příznak definuje, jakým způsobem a kdy mají být data odstraněna. Toto odstranění by mělo proběhnout v souladu s předem stanovenými pravidly a postupy, které musí být pečlivě dokumentovány, ideálně ve formě metodického nebo vnitřního předpisu, např. skartačního řádu. Skartační řád by měl být pravidelně aktualizován, aby odrážel změny v právních předpisech nebo vnitřních politikách a praxi organizace. Měl by být také dostupný všem zaměstnancům, kteří se podílejí na zpracování osobních údajů, především ale vlastníkům dat.

Mohlo by vás zajímat: Ondřej Kovařík: Díky směrnici ADR se zvýší ochrana spotřebitelů

Automatizovaný výmaz jako zlatý standard

Automatizovaný výmaz dat je v oblasti ochrany osobních údajů považován za "zlatý standard". Předpokládá však konsolidaci a jednotnou správu dat napříč jednotlivými softwarovými nástroji. Tento přístup k výmazu dat má několik klíčových výhod:

  1. Účinnost a důslednost: Automatizované procesy zajišťují, že výmaz dat je proveden systematicky a konzistentně napříč všemi systémy a databázemi. To eliminuje lidské chyby a zajišťuje, že všechna data, která mají být vymazána, jsou opravdu odstraněna.
  2. Rychlost a škálovatelnost: Automatizace umožňuje rychlé a efektivní odstraňování velkých objemů dat bez nutnosti manuálního zásahu, což je zvláště důležité v organizacích, kde se zpracovávají velké objemy dat.
  3. Dokladovatelnost: Automatizované procesy umožňují snadné sledování a dokumentaci výmazu dat, což je klíčové pro prokázání shody s právními požadavky a pro auditní účely.
  4. Bezpečnost a ochrana soukromí: Efektivní automatizovaný výmaz dat snižuje riziko úniku nebo zneužití citlivých informací, čímž přispívá k lepší ochraně soukromí jednotlivců a zvyšuje celkovou bezpečnost dat.

Mohlo by vás zajímat: ČBA Hypomonitor: Úroková sazba klesla na 5,54 %

I přes tyto výhody je nezbytné, aby automatizované procesy byly správně nastaveny a kontrolovány, zda skutečně odpovídají požadavkům na zpracování a dobu uchování osobních údajů. To zahrnuje správnou konfiguraci a pravidelné testování automatizovaných systémů pro zajištění, že jsou schopny efektivně a bezpečně odstraňovat data tak, jak jejich interní vlastníci určí.  

Proces výmazu je také důležitou oblastí pro kontrolu ze strany pověřence pro ochranu osobních údajů. Pověřenec by nadto měl být seznámen s novými procesy zpracování osobních údajů a proces výmazu adekvátně aktualizovat.

Více informací, které se týkají problematiky GDPR, naleznete ZDE.

Jan Vohnout
www.gdpr.cz

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

RSS

Související články

Evropský prostor pro zdravotní data II
Podnikání na internetu a právo: Co musí podnikatel zveřejnit na webu?
Evropský prostor pro zdravotní data I
Pět hlavních technologických regulací pro tento rok
Podnikání na internetu a právo: Co musí podnikatel zveřejnit na webu?
Nahoru