20. 12. 2016
ID: 104196upozornění pro uživatele
Ochrana osobních údajů skrze tokenizaci
Nová evropská úprava ochrany údajů GDPR[1] ve formě nařízení[2] Evropského parlamentu a Rady[3] a dalších pomocných dokumentů, byla konečně po čtyřech dlouhých letech debat přijata v květnu 2016 a nahradila již poměrně zastaralou směrnici 95/46/EC z roku 1995. V oblasti ochrany soukromí a osobních údajů jde technický vývoj vpřed mílovými kroky a právo zde bylo poněkud pozadu. Bohužel nová úprava se stane účinnou až v květnu 2018, tedy dva roky po svém přijetí. Dobrou zprávou zůstává, že díky své formě nebude potřebovat samostatné přijetí každým členským státem Evropské unie.
Očekává se výrazné zvýšení standardu u ochrany osobních údajů, které však nebude v České republice až tak markantní, neboť již nyní jsou požadavky stanovené v českých předpisech striktnější než v mnohých jiných členských státech. Pokuty, které pak nově hrozí společnostem porušujícím pravidla týkající se ochrany osobních údajů, jsou poměrně přísné. Hovoříme zde až o 4% celosvětového ročního obratu té dané společnosti či až 20 000 000 eur, přesnou výši v daném případě pak určí národní autorita v oblasti ochrany soukromí, tedy v České republice Úřad pro ochranu osobních údajů (ÚOOÚ). Bude nutné si dávat větší pozor na definici osobních údajů, neboť stále platí, že se jedná o cokoliv, co může danou osobu identifikovat, ale podrobněji jsou v předmětném nařízení rozepsány různé varianty. Autoři nového předpisu doslova uvádějí, že je doporučeno, aby k zachování určité úrovně soukromí častěji docházelo k šifrování a používání pseudonymů, aby se snížila šance, že bude skrze tato data identifikována konkrétní fyzická osoba.
Jedna z možností jak elegantně a bez dalšího naplnit podmínky velké části nového předpisu je tzv. tokenizace. Je to proces, kde jsou citlivá osobní data, jako je například číslo kreditní karty a další údaje, nahrazena náhodně generovaným tokenem, což je prostý číselný řetězec a to ještě před tím, než jsou tato osobní data zpracovávána nebo uložena třetími subjekty, jako jsou banky, koncoví obchodníci nebo provozovatelé cloudových úložišť. Originální identifikovatelné údaje jsou uloženy u speciálního subjektu a tento je jediný schopen "spárovat" token a původní data, tím se výrazně zvyšuje bezpečnost a ochrana proti zlodějům dat. Tokenizace je proto mnohem lepší než šifrování, neboť ani matematicky zde neexistuje navenek žádný vztah mezi tokenem a původními daty, tedy ani pomocí metod jako je hrubá síla či slovníkové útoky není možné token rozluštit.
Tokenizace není žádnou novinkou, již ji například ve Spojených státech používá přes 40% bank a poskytovatelů finančních služeb, protože údaje jako číslo sociálního pojištění, datum narození a daňové údaje se považují v tomto kontextu za osobní údaje a banky se tedy snaží je co nejlépe chránit. Pokud dojde k úspěšné tokenizaci, tak jedním z důsledků je, že jsou splněny i jinak velmi přísné podmínky týkající se přenosu dat mimo prostor Evropské unie do třetích zemí.
Spousta manažerů má obavy z umisťování citlivých dat na cloudová úložiště, proto je nutné, aby tato data prošla tokenizací ještě předtím, než k nahrání těchto dat na cloud v praxi dojde. Bohužel ani tato metoda, bez ohledu na řádky výše, není všespásná a není vhodná na zpracování některých typů nestrukturovaných údajů, tam opět přichází ke slovu standardní šifrování a další starší metody jak uchránit soukromé údaje před nepovolanými osobami. Závěrem lze říci, že i přes obavy mnohých lidí z budoucnosti v duchu románu 1984 se zdá, že v budoucnu bude téma soukromí a jeho ochrany stále důležitým aspektem každodenního života.
Mgr. Jan Metelka,
advokátní koncipient
_______________________
[1] General Data Protection Regulation.
[2] Dostupné na www, k dispozici >>> zde.
[3] 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Jedna z možností jak elegantně a bez dalšího naplnit podmínky velké části nového předpisu je tzv. tokenizace. Je to proces, kde jsou citlivá osobní data, jako je například číslo kreditní karty a další údaje, nahrazena náhodně generovaným tokenem, což je prostý číselný řetězec a to ještě před tím, než jsou tato osobní data zpracovávána nebo uložena třetími subjekty, jako jsou banky, koncoví obchodníci nebo provozovatelé cloudových úložišť. Originální identifikovatelné údaje jsou uloženy u speciálního subjektu a tento je jediný schopen "spárovat" token a původní data, tím se výrazně zvyšuje bezpečnost a ochrana proti zlodějům dat. Tokenizace je proto mnohem lepší než šifrování, neboť ani matematicky zde neexistuje navenek žádný vztah mezi tokenem a původními daty, tedy ani pomocí metod jako je hrubá síla či slovníkové útoky není možné token rozluštit.
Tokenizace není žádnou novinkou, již ji například ve Spojených státech používá přes 40% bank a poskytovatelů finančních služeb, protože údaje jako číslo sociálního pojištění, datum narození a daňové údaje se považují v tomto kontextu za osobní údaje a banky se tedy snaží je co nejlépe chránit. Pokud dojde k úspěšné tokenizaci, tak jedním z důsledků je, že jsou splněny i jinak velmi přísné podmínky týkající se přenosu dat mimo prostor Evropské unie do třetích zemí.
Spousta manažerů má obavy z umisťování citlivých dat na cloudová úložiště, proto je nutné, aby tato data prošla tokenizací ještě předtím, než k nahrání těchto dat na cloud v praxi dojde. Bohužel ani tato metoda, bez ohledu na řádky výše, není všespásná a není vhodná na zpracování některých typů nestrukturovaných údajů, tam opět přichází ke slovu standardní šifrování a další starší metody jak uchránit soukromé údaje před nepovolanými osobami. Závěrem lze říci, že i přes obavy mnohých lidí z budoucnosti v duchu románu 1984 se zdá, že v budoucnu bude téma soukromí a jeho ochrany stále důležitým aspektem každodenního života.
Mgr. Jan Metelka,
advokátní koncipient
_______________________
[1] General Data Protection Regulation.
[2] Dostupné na www, k dispozici >>> zde.
[3] 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
