Osobně identifikovatelné údaje (PII)

Co se považuje za osobní identifikační údaje?

Informace se kvalifikují jako PII, pokud splňují některou z následujících podmínek:

• Jedinečná identifikace jednotlivce – Informace mohou přímo určit konkrétní osobu, stejně jako by to platilo pro číslo sociálního zabezpečení nebo e-mailovou adresu.
• Propojitelnost – Informace v kombinaci s dalšími dostupnými údaji mohou rozumně identifikovat jednotlivce, například kombinací PSČ, data narození a pohlaví.

Při posuzování, zda se jedná o osobní údaje, je kontext zásadní:

• Agregace dat – Informace, které samy o sobě nejsou osobními údaji, se mohou stát osobními údaji v kombinaci s jinými datovými sadami. Například IP adresa sama o sobě nemusí být osobními údaji, ale v souvislosti s uživatelským účtem se stává osobními údaji.
• Účel a přístup – Roli hraje to, kdo má k datům přístup a jak je daná osoba hodlá používat. Například údaje o poloze osoby v citlivém povolání (například v oblasti vymáhání práva) mohou být považovány za osobní údaje.
• Riziko deidentifikace a reidentifikace – I deidentifikovaná data lze někdy reidentifikovat pomocí dalších zdrojů dat, a tak potenciálně znovu získat svůj status PII.

Typy osobně identifikovatelných údajů

Osobní údaje lze obecně rozdělit do dvou hlavních kategorií na základě stupně identifikovatelnosti: přímé identifikátory a nepřímé (nebo kvazi-) identifikátory.

Přímé identifikátory

Jedná se o informace, které mohou přímo a jednoznačně identifikovat jednotlivce bez nutnosti dalších údajů.

Mezi přímé identifikátory patří:

• Celé jméno, například Jan A. Novák
• Číslo sociálního zabezpečení (SSN)
• Číslo pasu
• Číslo řidičského průkazu nebo státního průkazu totožnosti
• Osobní telefonní číslo
• Osobní e-mailová adresa
• Biometrické údaje (např. otisky prstů, skeny sítnice, údaje o rozpoznávání obličeje)
• Čísla kreditních karet nebo bankovních účtů
• Fotografie celého obličeje

Nepřímé (kvazi-) identifikátory

Tyto informace přímo neidentifikují osobu, ale mohou být použity v kombinaci s jinými údaji.

Zde jsou některé běžné typy nepřímých identifikátorů s příklady:

• Demografické informace: Datum narození, pohlaví, etnická příslušnost, věk nebo rodinný stav
• Geografické informace: Poštovní adresa, PSČ, město narození nebo cestovní historie
• Vzdělání: Název školy nebo dosažený titul
• Údaje o zaměstnání: Pracovní pozice, společnost, umístění kanceláře
• Informace o zařízení: IP adresa, MAC adresa, ID zařízení (v závislosti na kontextu a jurisdikci)
• Informace o chování: Historie nákupů, zvyky prohlížení

Nově vznikající typy osobních údajů

S pokrokem v technologiích jsou za PII stále častěji považovány novější typy informací:

• Digitální identifikátory: Reklamní ID, MAC adresa
• Behaviorální data: Historie prohlížení, vyhledávací dotazy
• Genetické informace: profily DNA

Citlivé vs. necitlivé osobní údaje

Osobní údaje mohou být citlivé nebo necitlivé.

Citlivé osobní údaje

Citlivé osobní údaje jsou informace, jejichž zveřejnění nebo ohrožení by mohlo jednotlivci způsobit značnou újmu, rozpaky, finanční ztrátu nebo právní odpovědnost.

Mezi příklady patří:

• Čísla sociálního zabezpečení
• Čísla pasů a řidičských průkazů
• Údaje o bankovním účtu a kreditní kartě
• Lékařské záznamy (také považované za PHI), jako je diagnóza cukrovky ve zdravotnickém systému
• Právní záznamy (trestní historie, imigrační status)
• Biometrické údaje (otisky prstů, sken sítnice)
• Fotografie obličeje v plném obličeji (v určitých kontextech)
• Údaje o poloze (GPS souřadnice, sledování v reálném čase)

Necitlivé osobní údaje

Necitlivé osobní údaje jsou informace, které jsou obecně veřejně dostupné nebo u kterých je nepravděpodobné, že by v případě zveřejnění způsobily vážnou újmu.

Příklady jsou:

• Celé jméno (bez dalších identifikátorů)
• Kontaktní informace pro firmy (telefon do práce, firemní e-mail)
• Pracovní pozice nebo příslušnost k firmě
• Obecné demografické údaje (rasa, pohlaví, pokud nejsou kombinovány s jinými identifikátory)

Necitlivé osobní údaje mohou představovat samostatné riziko, ale mohou k riziku přispívat v kombinaci s jinými datovými soubory (agregace dat).

Jak organizace odlišně zacházejí s citlivými a necitlivými osobními údaji

Zpracování citlivých osobních údajů	Zpracování necitlivých osobních údajů
Přísné kontroly přístupu a šifrování (v klidovém stavu i při přenosu). Povinné ověřování a monitorování uživatelů. Principy minimalizace dat – shromažďujte a ukládejte pouze to, co je nezbytné. Dodržování předpisů GDPR, HIPAA a CCPAD. Požadavky na oznamování úniků dat.	Základní opatření k ochraně soukromí (např. bezpečné úložiště, protokolování přístupu). Často jsou vyloučena ze zákonů o oznamování narušení, pokud nejsou spojena s citlivými údaji. Mohou být stále chráněna interními firemními zásadami, aby se zabránilo zneužití.

Příklady osobně identifikovatelných údajů

Běžné příklady používané při ověřování identity

Případy specifické pro dané odvětví (např. zdravotnictví, finance)

Mýty o tom, co je a co není osobní údaje

Co není osobní údaje (PII)?

Ne všechna data jsou považována za osobní údaje. Neosobní údaje se vztahují na informace, které nelze samostatně použít k identifikaci konkrétní osoby. V některých případech se však neosobní údaje mohou stát osobními údaji v kombinaci s jinými údaji.

Osobní údaje vs. PII

• Osobní údaje (PII) jsou údaje, které mohou jednoznačně identifikovat jednotlivce. Tento termín se používá hlavně v právních a kybernetických bezpečnostních kontextech USA (např. NIST, HIPAA).
• Osobní údaje jsou širší pojem než PII. Podle zákonů, jako je GDPR, zahrnují jakékoli informace související s identifikovatelnou osobou, a to i nepřímo (například ID zařízení, IP adresa).

Příklady neoprávněných osobních údajů

Následující údaje obvykle nejsou osobními údaji – pokud nejsou propojeny s jinými identifikačními údaji:

• Typ prohlížeče nebo model zařízení
• PSČ (pokud není dostatečně přesné k identifikaci domácnosti)
• Věkové rozpětí
• Pohlaví
• Anonymní odpovědi z průzkumu
• Anonymizovaná data
• Agregovaná analytická data
• Náhodně generovaná uživatelská ID, která nelze zpětně dohledat k dané osobě

Kdy se neosobní informace stanou osobními údaji

Neoprávněné osobní údaje se mohou změnit na oprávněné osobní údaje, když:

• Je propojen s dalšími údaji. Například PSČ + datum narození + pohlaví může často jednoznačně identifikovat danou osobu.
• Opětovná identifikace je možná. Pokud lze anonymizovaná data deanonymizovat pomocí externích informací (jako jsou sociální média nebo veřejné záznamy), nejedná se již o údaje, které neumožňují osobní identifikaci.
• Dochází ke korelaci dat. Behaviorální data (jako jsou clickstreamy) se mohou zdát anonymní, ale lze je analyzovat za účelem identifikace konkrétních uživatelů.

Jak se shromažďují a ukládají osobní údaje

Organizace musí zodpovědně spravovat osobní údaje, aby chránily jednotlivce a dodržovaly předpisy, jako jsou GDPR, CCPA a HIPAA.

Metody shromažďování osobních údajů

Metoda	Příklady
Online sbírka	Webové formuláře: Kontaktní formuláře, registrační stránky, procesy platby. Soubory cookie a sledovací nástroje: Data o prohlížeči a chování. Průzkumy a ankety: E-mailová adresa nebo telefonní číslo. Mobilní aplikace: Oprávnění aplikací mohou udělovat přístup ke kontaktům, poloze atd.. Platformy sociálních médií: Profily, interakce a nahraný obsah.
Offline (fyzická) kolekce	Papírové formuláře: Žádosti, smlouvy, záznamy o návštěvnosti Osobní interakce: Pohovory, interakce se zákaznickým servisem Dohled: Záznamy z CCTV (může zahrnovat biometrické údaje)
Sběr biometrických údajů	Systémy rozpoznávání obličejeSnímače otisků prstůRozpoznávání hlasuSnímání duhovky/sítnice

Kde jsou uloženy osobní údaje

Většina moderních organizací ukládá osobní údaje (PII) v cloudových prostředích, jako jsou AWS, Microsoft Entra, Google Cloud (veřejné, soukromé nebo hybridní). PII jsou také často uloženy v platformách SaaS (CRM, HRIS, ERP).

Některé podniky však stále používají lokální servery a databáze pro citlivé úlohy, stejně jako hybridní systémy, které kombinují lokální a cloudové úložiště.

Bez ohledu na umístění musí být osobní údaje šifrovány (v klidovém stavu i při přenosu), bezpečně zálohovány a pravidelně auditovány.

Souhlas a transparentnost při shromažďování osobních údajů

Souhlas uživatele

Zákony jako GDPR a CCPA vyžadují výslovný a informovaný souhlas před shromažďováním osobních údajů. To znamená:

• Uživatelé se musí přihlásit (ne předem zaškrtnout políčka).
• Souhlas musí být svobodně udělený, konkrétní, informovaný a jednoznačný.
• Odvolání souhlasu musí být stejně snadné.

Požadavky na transparentnost

Organizace musí poskytnout:

• Jasné zásady ochrany osobních údajů týkající se toho, jaké údaje se shromažďují, jak se používají, jak dlouho budou uchovávány a jakéhokoli sdílení se třetími stranami
• Oznámení v místě shromažďování, jako například bannery s upozorněními na soubory cookie nebo vložená prohlášení o vyloučení odpovědnosti
• Snadné způsoby, jak si uživatelé mohou prohlížet, opravovat a mazat svá data

Jak dochází k ohrožení osobních údajů

Osobní údaje jsou hlavním cílem kyberzločinců, protože je lze použít k finančním podvodům, krádežím identity a firemní špionáži. Pochopení běžných způsobů, jakými jsou osobní údaje ohroženy, pomáhá organizacím i jednotlivcům je lépe chránit.

Běžné vektory hrozeb

Útočníci často získávají přístup k osobním údajům pomocí:

• Phishing – Falešné e-maily nebo webové stránky lstí přimějí uživatele k odhalení přihlašovacích údajů nebo osobních údajů. Často jsou maskovány jako legitimní komunikace od bank, zaměstnavatelů nebo poskytovatelů služeb.
• Malware – Škodlivý software (např. keyloggery, spyware, ransomware) nainstalovaný v zařízení může zachycovat stisknuté klávesy, odcizovat uložené přihlašovací údaje nebo soubory a otevírat zadní vrátka pro budoucí přístup.
• Sociální inženýrství – Útočníci manipulují s lidmi tím, že se vydávají za IT pracovníky, využívají informace ze sociálních médií k získání důvěry a přesvědčují zaměstnance, aby jim udělili přístup k systému nebo obešli protokoly.
• Slabé bezpečnostní postupy – Útočníci mohou také získat přístup k osobním údajům zneužitím špatné hygieny hesel, neopraveného nebo zastaralého softwaru, nezabezpečených API nebo služeb třetích stran a nesprávně nakonfigurovaného cloudového úložiště (například otevřených S3 bucketů).

Úniky dat a incidenty v reálném světě

K únikům dat dochází, když neoprávněné osoby získají přístup k osobním údajům. Důsledky mohou být závažné jak pro organizaci, u které došlo k úniku dat, tak pro jednotlivce, jejichž data byla ohrožena.

Zde je několik významných incidentů:

• Equifax (2017) – Tento útok postihl 147 milionů lidí a odhalil jejich čísla sociálního zabezpečení, data narození a další informace.
• Facebook (2019) – 540 milionů uživatelských záznamů bylo odhaleno prostřednictvím aplikací třetích stran uložených v nezabezpečených cloudových databázích.
• Marriott (2018–2020) – Hackeři ukradli data 500 milionů hostů, včetně čísel pasů a údajů o rezervaci.

Jak útočníci zneužívají ukradené osobní údaje

Ukradené osobní údaje mají na černém trhu obrovskou hodnotu a lze je zneužít mnoha způsoby. I malé množství osobních údajů (jako je jméno, datum narození nebo číslo sociálního zabezpečení) často stačí k spáchání těchto činů.

Krádež identity a podvody

Ukradené osobní údaje umožňují útočníkům vydávat se za oběti a provádět podvodné akce, jako například:

• Otevření kreditních karet nebo bankovních účtů
• Berou si půjčky
• Provádění neoprávněných nákupů
• Podávání falešných daňových přiznání za účelem získání vrácení daně

Vyplňování přihlašovacích údajů a převzetí účtu

Pokud ukradené osobní údaje obsahují uživatelská jména a hesla, útočníci mohou spustit automatizované skripty k otestování těchto přihlašovacích údajů napříč různými platformami (banky, e-mail, elektronické obchodování). Kvůli opakovanému použití hesla to často vede k úplnému převzetí kontroly nad účty a udělení přístupu k citlivým údajům a uloženým finančním prostředkům.

Spear Phishing a sociální inženýrství

Podrobné osobní údaje o dané osobě útočníci mohou v budoucnu efektivněji cílit na ni. S přesnými údaji o věcech, jako je zaměstnavatel dané osoby nebo nedávné nákupy, se mohou vydávat za důvěryhodnou kontaktní osobu nebo poskytovatele služeb a obelstít oběť, aby sdělila více informací nebo provedla finanční transakce.

Lékařské a pojišťovací podvody

Ukradené zdravotní záznamy nebo informace o pojištění lze použít k:

• Podávat falešná tvrzení o lékařské péči
• Přijímat neoprávněné léčebné postupy nebo recepty
• Ukradnout něčí lékařskou identitu, což může vést k nebezpečným chybám v péči o pacienta

Vydírání nebo vydírání

Vysoce citlivé osobní údaje (jako jsou soukromé zprávy nebo zdravotní anamnéza) mohou být použity k vyhrožování veřejnému odhalení, pokud není zaplaceno výkupné, a také k cílení na jednotlivce v kampaních poškozujících pověst.

Prodej na dark webu a další prodej dat

Někdy útočníci prodávají osobní údaje, místo aby je sami používali. Balíčky „Fullz“ (úplné profily identity) lze prodávat za vysoké ceny a zdravotní záznamy, pasy a údaje o kreditních kartách dosahují na tržištích dark webu prémiové hodnoty.

Dlouhodobý dopad

Na rozdíl od odcizené kreditní karty nelze osobní údaje vždy snadno nahradit. Oběti se mohou setkat s:

• Roky monitorování a právních sporů
• Opakované cílení kvůli šíření dat mezi zločinci
• Obtíže se získáním úvěru nebo zaměstnání kvůli ohrožení záznamů

Předpisy upravující osobní identifikační údaje

Pojďme se rychle podívat na předpisy upravující PII, které zahrnují zákony USA, mezinárodní rámce a rozdíly v globálních definicích a ochranách.

Zákony USA

Zákon	Rychlé informace
Zákon o ochraně soukromí z roku 1974	Rozsah působnosti: Vztahuje se na federální vládní agentury (ale nikoli na subjekty soukromého sektoru). Klíčová ustanovení: Omezuje shromažďování, používání a šíření osobních údajů federálními agenturami. Uděluje jednotlivcům právo na přístup k jejich osobním záznamům a jejich opravu.
Kalifornský zákon o ochraně soukromí spotřebitelů (CCPA)	Rozsah působnosti: Vztahuje se na ziskové subjekty, které splňují určité limity (například příjmy, objem dat). Klíčová ustanovení: Dává obyvatelům Kalifornie právo vědět, jaké osobní údaje jsou shromažďovány, požádat o smazání a odhlásit se z prodeje dat. Vyžaduje od podniků, aby zveřejňovaly své postupy v oblasti nakládání s daty. Rozšíření: Posíleno kalifornským zákonem o právech na ochranu osobních údajů (CPRA) s účinností od roku 2023.
Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA)	Rozsah: Poskytovatelé zdravotní péče, pojišťovny a jejich obchodní partneři Klíčová ustanovení: Chrání lékařské záznamy a další osobní údaje související se zdravím Vynucuje ochranná opatření pro ukládání, přístup a přenos dat Zahrnuje požadavky na oznamování narušení
Zákon Gramm-Leach-Bliley (GLBA)	Rozsah: Finanční instituce Chrání: Finanční a osobní údaje spotřebitelů Vyžaduje: Oznámení o ochraně osobních údajů, zásady zabezpečení údajů
Zákon o vzdělávacích právech a ochraně soukromí rodin (FERPA)	Rozsah: Vzdělávací instituce Chrání: Záznamy o vzdělávání studentů a osobní údaje

Mezinárodní rámce

Zákon	Rychlé informace
Obecné nařízení o ochraně osobních údajů (GDPR)	Rozsah působnosti: Vztahuje se na všechny subjekty zpracovávající údaje obyvatel EU bez ohledu na jejich umístění. Klíčová ustanovení: Silný důraz na souhlas, transparentnost a omezení účelu. Mezi práva patří přístup, oprava, výmaz (právo být zapomenut) a přenositelnost údajů. Vyžaduje pověřence pro ochranu osobních údajů a dohody o zpracování údajů. Přísné sankce za nedodržení předpisů (až 20 milionů EUR nebo 4 % celosvětových příjmů).
Australský zákon o ochraně soukromí (1988)	Rozsah: Platí pro většinu australských podniků s tržbami přesahujícími 3 miliony AUD, s několika výjimkami. Klíčová ustanovení: Zahrnuje 13 australských zásad ochrany osobních údajů (APP). Upravuje shromažďování, používání, ukládání a zveřejňování osobních údajů. Uděluje práva na přístup k údajům a jejich opravu.

Rozdíly v definicích a ochraně osobních údajů podle země nebo regionu

Aspekt	Spojené státy	Evropská unie	Austrálie
Definice osobních údajů	Užší; často specifické pro daný kontext (např. rodné číslo, e-mail)	Široký; jakékoli údaje, které mohou přímo či nepřímo identifikovat osobu	Podobné jako GDPR; zahrnuje veškeré informace o identifikované nebo identifikovatelné osobě
Požadavek souhlasu	Často implicitní; liší se podle zákona	Výslovný, informovaný a svobodně udělený souhlas je zásadní	V mnoha případech vyžaduje souhlas, ale často je méně přísný než GDPR
Práva subjektu údajů	Značně se liší podle odvětví/práva	Rozsáhlé a jednotné napříč členskými státy	Zahrnuje přístup, opravu a omezená práva na smazání
Omezení přeshraničních převodů	Specifické pro daný sektor (např. data HIPAA musí zůstat v USA)	Předávání mimo EU vyžaduje odpovídající ochranná opatření	Převody povoleny s odpovídající ochranou nebo souhlasem
Vynucení	Agentury specifické pro daný sektor (FTC, OCR atd.)	Centralizované orgány pro ochranu osobních údajů	Úřad australského komisaře pro informace (OAIC)

Ochrana osobně identifikovatelných údajů

Ochrana osobních údajů je v dnešní digitální době klíčová kvůli rostoucím hrozbám ze strany narušení bezpečnosti dat, krádeží identity a kybernetických útoků.

Nejlepší postupy pro jednotlivce

Nejlepší postupy	Podrobnosti
Používejte silná a jedinečná hesla.	Vybírejte dlouhá hesla. Pokud je to možné, používejte přístupové fráze. Vytvářejte složitá hesla s kombinací písmen, číslic a symbolů. Nikdy nepoužívejte stejné heslo pro více platforem.
Povolte vícefaktorové ověřování (MFA).	MFA přidává druhou vrstvu zabezpečení nad rámec pouhého hesla. Mezi běžné typy patří SMS kódy, ověřovací aplikace a biometrie.
Šifrovat osobní údaje.	Používejte šifrování celého disku na zařízeních (např. BitLocker, FileVault). Šifrujte citlivé soubory a komunikaci (např. pomocí PGP, aplikací pro zasílání zpráv s end-to-end šifrováním).
Dávejte si pozor na phishing a sociální inženýrství.	Neklikejte na neznámé odkazy ani neotevírejte podezřelé přílohy. Před odpovědí ověřte údaje odesílatele e-mailu a adresy URL.
Bezpečná zařízení.	Udržujte operační systémy, prohlížeče a antivirový software aktuální. Používejte zámky obrazovky a automatické časové limity na mobilních a stolních zařízeních. Vypněte Bluetooth a sdílení polohy, když je nepotřebujete.

Protokoly pro zpracování firemních dat

Plocha	Nejlepší postupy
Klasifikace dat a řízení přístupu	Klasifikujte data na základě citlivosti (např. veřejná, interní, důvěrná, omezená). Udělte přístup na základě principu nejnižších oprávnění.
Mapování a inventarizace osobních údajů	Udržujte aktuální seznam míst, kde jsou osobní údaje uloženy, zpracovávány a přenášeny. To pomáhá zajistit soulad s předpisy, jako je GDPR a CCPA.
Školení a povědomí zaměstnanců	Pravidelně provádějte školení v oblasti ochrany osobních údajů, phishingu a bezpečného nakládání s osobními údaji. Zahrňte moduly specifické pro danou roli pro týmy HR, IT a zákaznický servis.
Šifrování při přenosu a v klidovém stavu	Pro bezpečný přenos dat používejte TLS/SSL. Šifrujte databáze a úložné systémy pro ochranu dat v klidovém stavu.
Auditní záznamy a monitorování	Zaznamenávejte přístup k citlivým datům a monitorujte anomálie. Pro upozornění v reálném čase používejte systémy pro správu bezpečnostních informací a událostí (SIEM).
Zásady minimalizace a uchovávání dat	Shromažďujte pouze nezbytné údaje. Pravidelně kontrolujte a odstraňujte zastaralé nebo nepotřebné osobní údaje.

Zmenšení útočné plochy

Nejlepší postupy	Podrobnosti
Minimalizujte sběr dat.	Vyhněte se shromažďování zbytečných osobních údajů; posouďte riziko vs. hodnotu každého datového bodu. Pokud je to možné, anonymizujte nebo pseudonymizujte data.
Omezte sdílení dat.	Vyhněte se sdílení citlivých dat mezi více systémy nebo třetími stranami bez řádných smluv a šifrování. V případě potřeby používejte tokenizaci nebo maskované identifikátory.
Systémy pro opravy a aktualizace.	Udržujte software, firmware a bezpečnostní nástroje aktuální, abyste mohli opravit známé zranitelnosti.
Použijte segmentaci sítě.	Oddělte sítě pro různé obchodní funkce (například finance vs. provoz), abyste omezili šíření narušení bezpečnosti.
Přijměte bezpečnostní model Zero Trust.	Ověřujte a autorizujte každého uživatele, zařízení a aplikaci bez ohledu na umístění. Předpokládejte narušení a průběžně ověřujte důvěryhodnost.

Důsledky nesprávného zacházení s osobními údaji

Nesprávné zacházení s osobními údaji může vést k vážným důsledkům jak pro organizace, tak pro jednotlivce.

Důsledky pro organizace, které nesprávně nakládají s osobními údaji

Pokuty a regulační sankce

Organizace, které nedodržují zákony na ochranu osobních údajů, mohou čelit značným pokutám. Zde je několik příkladů:

• GDPR (EU) – Pokuty až do výše 20 milionů EUR nebo 4 % celosvětového ročního obratu (podle toho, která částka je vyšší). Mezi příklady patří British Airways (pokuta 20 milionů GBP) a Marriott International (pokuta 18,4 milionu GBP).
• CCPA (Kalifornie) – Občanskoprávní pokuty až do výše 2 500 USD za neúmyslné porušení a 7 500 USD za úmyslné porušení. Soukromoprávní žaloba umožňuje spotřebitelům žalovat za úniky dat.
• HIPAA (sektor zdravotnictví USA) – Pokuty se pohybují od 100 do 50 000 dolarů za porušení, až do výše 1,5 milionu dolarů ročně za typ porušení.

Hromadné žaloby a urovnání

Oběti úniků dat často zahajují hromadné žaloby, kde vyrovnání může stát miliony dolarů na výplatách, právních poplatcích a provozních změnách.

Náklady na sanaci

Náklady po narušení bezpečnosti zahrnují reakci na incidenty, forenzní analýzy, vztahy s veřejností, informování zákazníků a sledování úvěruschopnosti. Podle zprávy IBM Cost of a Data Breach Report 2024 činí průměrné náklady na narušení bezpečnosti 4,45 milionu dolarů.

Poškození pověsti a ztráta důvěry zákazníků

• Eroze značky – Zprávy o narušení bezpečnosti se rychle šíří a poškozují veřejnou pověst společnosti. V takové situaci může obnova ztráty dobré pověsti trvat roky nebo být jednoduše nevratná.
• Odliv zákazníků – Zákazníci mohou přejít ke konkurenci, která je vnímána jako bezpečnější. Podniky v odvětvích, jako jsou finance, zdravotnictví nebo elektronický obchod, jsou obzvláště náchylné k odlivu zákazníků.
• Ztráta konkurenční výhody – Organizace, u kterých došlo k porušení konkurenční výhody, mohou ztratit obchodní tajemství, důvěrné informace nebo čelit narušení provozu.
• Pokles tržní hodnoty – Veřejně obchodované společnosti často zažívají pokles ceny akcií po oznámení o porušení předpisů. Mohou následovat žaloby akcionářů, zejména v případě nedbalosti.

Důsledky pro osoby, jejichž osobní údaje byly zneužity

• Krádež identity – Zločinci mohou použít ukradené osobní údaje k otevření bankovních účtů, sjednání půjček nebo podání podvodných daňových přiznání.
• Finanční podvod – Ukradené údaje o kreditní kartě a bankovní údaje mohou vést k neoprávněným transakcím, ztrátě finančních prostředků a poškození úvěrového skóre.
• Emoční a psychická tíseň – Oběti mohou trpět úzkostí, stresem a strachem z další viktimizace. Obnova identity může být navíc zdlouhavý, frustrující a rušivý proces.
• Cílené podvody a phishing – Uniklé informace mohou být použity ve vysoce personalizovaných podvodech, které je obtížné odhalit.
• Dopad na zaměstnání nebo společnost – Zveřejnění citlivých osobních údajů může vést k profesnímu rozpakům nebo sociální stigmatizaci.

Případové studie: Závažné porušení ochrany osobních údajů

Porušení Equifaxu (2017)

Společnost Equifax, jedna z největších úvěrových ratingových agentur v USA, se potýkala s velkým kybernetickým incidentem, který odhalil citlivé osobní údaje přibližně 147,9 milionu lidí v USA – téměř poloviny populace země. Dotkl se také lidí v Kanadě a Spojeném království. Incident patří mezi největší úniky citlivých údajů v historii.

K narušení bezpečnosti došlo mezi 13. květnem a 30. červencem 2017. Útok zůstal 76 dní nezjištěn, což útočníkům umožnilo odcizit obrovské množství dat. Společnost Equifax jej veřejně zveřejnila 7. září 2017. Útočníci zneužili zranitelnost (CVE-2017-5638) v Apache Struts, což je open-source framework pro webové aplikace. Tato zranitelnost byla veřejně zveřejněna a opravena v březnu 2017, ale společnost Equifax opravu včas neinstalovala. Pozdější zprávy naznačovaly, že některé systémy postrádaly řádné šifrovací a bezpečnostní protokoly.

Mezi ohroženými údaji byla jména, čísla sociálního zabezpečení, data narození, adresy, informace o kreditních kartách (u přibližně 209 000 osob) a dokumenty o sporech obsahující osobní údaje (u 182 000 osob). Celkově narušení bezpečnosti představovalo značné riziko krádeže identity a podvodů.

Kromě poškození pověsti společnost Equifax vynaložila v souvislosti s narušením bezpečnosti náklady ve výši 1,4 miliardy dolarů, včetně právních vyrovnání, zákaznické podpory a vylepšení zabezpečení. Vyrovnání zahrnovalo také bezplatné sledování úvěruschopnosti a ochranu proti krádeži identity pro postižené osoby. Equifax musel investovat do přepracování své infrastruktury kybernetické bezpečnosti, implementace silnějšího šifrování, vícefaktorového ověřování a monitorování hrozeb v reálném čase. Na právní úrovni čelila společnost Equifax několika soudním sporům a vyšetřováním ze strany regulačních orgánů a soukromých subjektů.

Skandál mezi Facebookem a Cambridge Analyticou

Skandál mezi Facebookem a Cambridge Analytica vyšel najevo začátkem roku 2018, kdy vyšlo najevo, že osobní údaje milionů uživatelů Facebooku byly získány bez jejich souhlasu a použity pro účely politické reklamy. Jádrem problému byla aplikace třetí strany, která shromažďovala data prostřednictvím zdánlivě neškodného osobnostního kvízu. Zatímco s aplikací přímo interagovalo pouze asi 270 000 uživatelů, API Facebooku v té době umožňovalo aplikaci přístup nejen k jejich datům, ale i k datům jejich přátel – což nakonec ohrozilo informace více než 87 milionů uživatelů. Tato data byla poté předána společnosti Cambridge Analytica, politické poradenské firmě, která profily využívala k vytváření psychografických modelů a cílení na uživatele s vysoce personalizovanými politickými sděleními, zejména během prezidentských voleb v USA v roce 2016 a kampaně za Brexit.

Facebook čelil intenzivní kontrole ze strany vlád a regulačních orgánů po celém světě, což vedlo k tomu, že generální ředitel Mark Zuckerberg svědčil před americkým Kongresem a Evropským parlamentem. Hodnota akcií společnosti výrazně klesla a její pověst utrpěla značné škody. Následovaly regulační důsledky, včetně pokuty ve výši 5 miliard dolarů od americké Federální obchodní komise (FTC) v roce 2019 – největší pokuty, která kdy byla uložena za porušení soukromí v té době.

Poučení z významných incidentů

Zde jsou klíčová ponaučení z významných incidentů narušení ochrany osobních údajů, jako byl únik dat z Equifaxu a skandál Facebook-Cambridge Analytica:

• Upřednostněte zabezpečení dat a správu oprav. Organizace musí udržovat aktuální program pro správu zranitelností a automatizovat nasazování oprav, kdykoli je to možné.
• Transparentní a včasná komunikace je klíčová. Dobře připravený plán reakce na incidenty a komunikace pomáhá udržovat důvěru a zajišťuje dodržování předpisů během krizí.
• Vězte, jaká data máte – a proč. Dodržujte zásady minimalizace a uchovávání dat. Shromažďujte pouze to, co je nezbytné, a jasně definujte účel a právní základ pro to.
• Posílit kontroly přístupu a interní dohled. Zavést kontroly přístupu na základě rolí (RBAC), prosazovat princip nejnižších oprávnění a monitorovat přístup k datům v reálném čase.
• Souhlas uživatele musí být informovaný a podrobný. Zajistěte jasný a konkrétní souhlas se shromažďováním a sdílením dat. Vyhněte se používání nejasných výrazů skrytých v zásadách ochrany osobních údajů.
• Dodržování předpisů není volitelné. Porušení GDPR, CCPA a dalších zákonů na ochranu osobních údajů může vést k vysokým pokutám a soudním sporům. Považujte dodržování předpisů o ochraně osobních údajů za klíčovou obchodní funkci, nikoli za úkol zadávat zaškrtávací políčka. Do vývoje datové strategie zapojte pracovníky pro ochranu osobních údajů, právníky a IT oddělení.
• Pravidelně testujte a auditujte systémy. Mnoho organizací odhalí slabiny až po incidentu. Osvědčeným postupem je provádět rutinní bezpečnostní audity, penetrační testy a hodnocení rizik, aby se zranitelnosti identifikovaly dříve, než je udělají útočníci.
• Důvěra je křehká a je třeba si ji neustále získávat. Jakmile se důvěra ztratí – ať už ze strany zákazníků, partnerů nebo regulačních orgánů – je extrémně těžké ji znovu získat. Pro budování dlouhodobé důvěryhodnosti prokazujte ochranu soukromí již v návrhu, transparentnost a etické používání dat.
• Investujte do vzdělávání a kultury v oblasti soukromí. Lidská chyba je i nadále významným faktorem při zneužívání dat. Podnikněte kroky k podpoře kultury, která klade důraz na soukromí, prostřednictvím pravidelných školení, programů zvyšování povědomí a zapojení vedení.

Osobní údaje v pracovních a dodavatelských smlouvách

Zde je podrobný průvodce správou osobních údajů na pracovišti a v dohodách s dodavateli, s důrazem na identifikaci osobních údajů během jednání s třetími stranami, odpovědnosti zaměstnanců a řízení rizik dodavatelů.

Identifikace osobních údajů během jednání s třetí stranou

Jasná definice PII	Jasně specifikujte, co se v kontextu vaší organizace kvalifikuje jako osobní údaje (například jména, e-maily, občanské průkazy, biometrické údaje). Při přípravě nebo revizi smluv nezapomeňte odkazovat na regulační definice (GDPR, CCPA atd.).
Mapování toku dat	Zdokumentujte, jak budou osobní údaje shromažďovány, zpracovávány, přenášeny a ukládány třetími stranami. Dále uveďte, kdo je správcem údajů a zpracovatelem údajů a jejich odpovědnosti.
Klíčové smluvní ustanovení, která je třeba zahrnout	Ujistěte se, že jste zahrnuli následující: Omezení použití dat – Zajistěte, aby dodavatel nemohl používat osobní údaje nad rámec stanoveného účelu. Uchovávání a mazání dat – Definujte, jak dlouho jsou data uchovávána a jak by měla být bezpečně smazána. Oznámení o narušení bezpečnosti dat – Požadujte, aby dodavatelé informovali vaši organizaci v určitém časovém rámci v případě narušení bezpečnosti dat. Auditní práva – Umožněte pravidelné audity soukromí a zabezpečení.
Standardní dohody	Pro kodifikaci odpovědností používejte dohody o zpracování osobních údajů (DPA) a dohody o úrovni služeb (SLA). V případě mezinárodních přenosů začleňte standardní smluvní doložky (SCC) nebo využijte dodavatele certifikované v rámci rámce, jako je Privacy Shield (historický), UK IDTA nebo Binding Corporate Rules.

Protokoly pro hodnocení rizik dodavatelů a dodržování předpisů

Proveďte předsmluvní posouzení rizik.	Použijte dotazníky nebo šablony pro posouzení rizik k vyhodnocení: Bezpečnostních certifikací (např. ISO 27001, SOC 2), Postupů šifrování dat, Historie narušení, Správy dílčích zpracovatelů.
Proveďte due diligence.	Zkontrolujte reputaci dodavatele, jeho finanční zdraví a regulační historii. V závislosti na odvětví ověřte soulad s rámci, jako je GDPR, CCPA, HIPAA nebo PCI DSS.
Sledujte průběžné dodržování předpisů.	Vyžadujte výroční zprávy o shodě s předpisy nebo certifikace. Pokud spravujete mnoho dodavatelů, využijte služby monitorování rizik třetích stran.
Zahrňte ustanovení o ukončení a ukončení pracovního poměru.	Smlouvy by měly specifikovat postupy pro vrácení nebo zničení dat při ukončení vztahu. Zajistěte, aby dodavatelé neuchovávali žádné osobní údaje po ukončení smlouvy, pokud to není ze zákona vyžadováno.

PII vs. PHI: Jaký je rozdíl?

Osobní údaje (PII) a chráněné zdravotní informace (PHI) jsou základními pojmy v oblasti ochrany osobních údajů a zabezpečení. Následující informace vám pomohou tyto dva pojmy rozlišit.

Osobně identifikovatelné informace

Osobní údaje (PII) jsou jakékoli informace, které lze použít k identifikaci, kontaktování nebo nalezení konkrétní osoby, ať už přímo či nepřímo, jako je celé jméno, číslo sociálního zabezpečení, e-mailová adresa, telefonní číslo, číslo pasu nebo číslo řidičského průkazu. Osobní údaje se uplatňují široce napříč odvětvími, jako jsou finance, vzdělávání a maloobchod.

Chráněné zdravotní informace

PHI je podmnožinou PII, která se konkrétně vztahuje ke zdravotnímu stavu jednotlivce, lékařské péči nebo úhradě za zdravotní služby. PHI je definováno a regulováno zákonem HIPAA ve Spojených státech. Mezi příklady PHI patří:

• Lékařské záznamy
• Laboratorní výsledky
• Informace o pojištění
• Doktorovy poznámky
• Harmonogramy schůzek

Překrývání PII a PHI

PHI je podmnožinou PII, ale ne všechny PII jsou PHI. Například jméno je PII, ale jméno v kombinaci s lékařskou diagnózou nebo číslem pojištění se stává PHI.

Právní rozdíly

Osobní údaje (obecné)

Regulováno: Zákonem o ochraně osobních údajů z roku 1974, CCPA, GDPR, FERPA a různými zákony na úrovni jednotlivých států. Důsledky porušení: Liší se v závislosti na odvětví a jurisdikci. Případy použití : Zákaznické účty, marketing, bankovnictví, vzdělávání atd.

PHI (podle HIPAA)

Regulováno: Zásadami ochrany osobních údajů HIPAA a HIPAA a vynucováno Ministerstvem zdravotnictví a sociálních služeb USA (HHS). Vztahuje se na: Zahrnuté subjekty (poskytovatele zdravotní péče, pojišťovny) a jejich obchodní partnery (např. fakturační společnosti, poskytovatele cloudových služeb zabývajících se chráněnými zdravotními informacemi). Požadavky zahrnují: Záruky pro elektronické chráněné zdravotní informace (ePHI), souhlas pacienta s jejich použitím/zveřejňováním, pravidla pro oznamování porušení. Sankce: Může dosáhnout až 1,5 milionu dolarů ročně za typ porušení, plus trestní odpovědnost v závažných případech.

Případy použití, kde platí oba typy

• Aplikace pro telemedicínu, která ukládá uživatelská jména a e-mailové adresy (PII) a také záznamy o schůzkách a receptech (PHI).
• Portál zdravotního pojištění, který shromažďuje přihlašovací údaje a kontaktní informace (PII) a také historii pojistných událostí a podrobnosti o léčbě (PHI)
• Program pro zdraví zaměstnanců, který shromažďuje demografické údaje pro sledování pobídek (PII) spolu s hodnocením zdravotních rizik a laboratorními výsledky (PHI).
• Výzkumné studie a klinické studie, které využívají formuláře souhlasu a kontaktní informace (PII) a také zdravotní údaje z rozhovorů s pacienty a testování (PHI)

Budoucnost osobních údajů: Trendy a vznikající výzvy

Zde jsou některé trendy a výzvy týkající se osobních údajů, na které je třeba dávat pozor.

Dopad umělé inteligence a velkých dat

Umělá inteligence a analýza velkých dat transformují správu osobních údajů, ale také zesilují rizika. Mezi klíčové obavy patří.

• Explozivní objemy dat – Systémy umělé inteligence pracují s masivními datovými sadami, které často obsahují citlivé osobní údaje. Dokonce i anonymizovaná data lze znovu identifikovat s dostatkem pomocných informací.
• Profilování a inference – Umělá inteligence dokáže odvodit citlivé informace (například politické názory, zdravotní stav) ze zdánlivě neškodných dat, čímž vytváří nové kategorie „odvozených osobních údajů“.
• Automatizované rozhodování – modely umělé inteligence ovlivňují důležitá rozhodnutí v oblastech, jako je zaměstnanost, úvěry a zdravotní péče. Mezi obavy patří spravedlnost a vysvětlitelnost.
• Problémy s minimalizací dat – umělá inteligence se daří s velkými datovými sadami, což je v rozporu se zásadou shromažďování pouze nezbytných dat.

Hlavními výzvami bude vyvažování inovací a ochrany soukromí a zajištění řádného dohledu nad rozhodnutími založenými na umělé inteligenci, která se týkají osobních údajů.

Vzestup biometrických identifikátorů

Biometrické údaje – rozpoznávání obličeje, skenování duhovky, otisky prstů, hlasové otisky, DNA – se stále častěji používají k ověřování, sledování a personalizaci. Tyto údaje se například používají v oblasti zabezpečení chytrých telefonů, odbavování na letištích, přístupu na pracoviště a zdravotní péče.

Mezi rizika patří:

• Neodvolatelnost – Na rozdíl od hesel nelze změnit obličej ani otisky prstů, pokud jsou ohroženy.
• Hromadný dohled – Využívání rozpoznávání obličeje vládami a korporacemi vyvolalo obavy o občanské svobody.
• Úniky dat – Biometrické databáze jsou hlavním cílem kvůli vysoké hodnotě a trvalosti dat.

Klíčovou výzvou bude vytvoření právních a technických záruk pro etické používání a ukládání biometrických údajů.

Výzvy k jednotným globálním rámcům ochrany soukromí

Mnoho zemí (stejně jako jednotlivé státy USA) si vytváří vlastní zákony na ochranu soukromí, což zvyšuje složitost:

• Nekonzistentní zákony brání mezinárodnímu přenosu dat a globálnímu obchodu.
• Nadnárodní společnosti čelí nákladnému a zbytečnému úsilí o dodržování předpisů.

Probíhá úsilí o vytvoření rámců, které by tyto obavy řešily.

Patří mezi ně:

• Úsilí OECD a ISO o normalizaci
• Navrhované úmluvy OSN o digitálním soukromí
• Diskuse o „globální dohodě o ochraně soukromí“ nebo mezinárodní smlouvě o ochraně osobních údajů

Výzvou bude sladit práva na soukromí a mechanismy jejich vymáhání na globální úrovni a zároveň respektovat národní suverenitu a kulturní rozdíly.

Pohled do budoucna

Klíčové vznikající trendy

• Ochrana soukromí již od návrhu – Integrace ochrany soukromí do vývoje produktů od základů
• Architektury s nulovou důvěrou – Přechod od perimetrického zabezpečení k modelům zaměřeným na identitu
• Syntetická data – použití datových sad generovaných umělou inteligencí k trénování modelů bez použití skutečných osobních údajů
• Decentralizovaná identita (DID) – Umožnění uživatelům kontrolovat svou identitu pomocí blockchainu nebo podobné technologie

Klíčové výzvy

• Udržování důvěry v hyperpropojeném světě
• Vyvažování inovací s individuálními právy
• Prevence sledovacího kapitalismu a digitálního autoritářství

O klasifikaci dat Netwrix

Identifikace a ochrana osobních údajů (PII) je nezbytná pro zamezení nákladným únikům a zajištění souladu s přísnými předpisy o bezpečnosti dat, jako jsou GDPR a HIPAA. Osobní údaje jsou však často rozptýleny v různých datových prostředích, což ruční identifikaci ztěžuje a ztěžuje její chyby.

Klasifikace dat Netwrix umožňuje organizacím přesně identifikovat, kategorizovat a zabezpečit citlivá data, včetně osobních údajů (PII). Tento proces jim pomáhá snižovat rizika související s daty, zajistit dodržování předpisů a zlepšit provozní efektivitu. Mezi klíčové funkce související s PII patří:

• Automatizované zjišťování – Používá předdefinovaná a přizpůsobitelná pravidla k detekci různých typů osobních údajů v místních sdílených úložištích, SharePointu, cloudovém úložišti a dalších oblastech.
• Kategorizace dat – Označuje soubory na základě citlivosti a typu obsahu (například finanční data, zdravotní data), což pomáhá stanovit priority ochrany na základě rizika.
• Mapování předpisů – Podporuje dodržování předpisů, jako jsou GDPR, CCPA a HIPAA, mapováním osobních údajů na právní požadavky a zefektivněním auditů a reportingu.
• Zmírňování rizik – Identifikuje nadměrně exponované nebo nesprávně spravované osobní údaje (například data uložená ve veřejných složkách nebo sdílená široce) a podporuje nápravu integrací s Netwrix Auditor a dalšími řešeními DLP /IRM.
• Proces žádostí o přístup k údajům (DSAR) – Urychluje zpracování žádostí DSAR rychlým vyhledáním všech osobních údajů spojených s danou osobou napříč úložišti.

Často kladené otázky

Jaká je nejlepší definice osobně identifikovatelných údajů (PII)?

Osobní údaje (PII) jsou údaje, které mohou odhalit identitu jednotlivce. Následující definice je široce přijímána rámci pro ochranu osobních údajů, jako je americký Národní institut pro standardy a technologie (NIST), a mezinárodními předpisy, jako jsou GDPR a CCPA, ačkoli specifická terminologie se může mírně lišit:

Jakékoli informace, které lze použít k identifikaci, kontaktování nebo nalezení konkrétní osoby, ať už přímo nebo nepřímo.

Jaké jsou některé příklady osobních údajů?

Mezi běžné příklady PII patří:

• Celé jméno: Jane Smith, Ahmed Khan
• Vládní doklady totožnosti: číslo sociálního zabezpečení (SSN), číslo pasu, sken řidičského průkazu
• Kontaktní údaje: E-mailová adresa, telefonní číslo, poštovní adresa
• Biometrické údaje: otisky prstů, rozpoznávání obličeje, skenování sítnice
• Finanční informace: Číslo kreditní karty, údaje o bankovním účtu
• Digitální identifikátory: občanský průkaz, daňové identifikační číslo, studentský průkaz

Jaké jsou dva typy osobních údajů (PII)?

• Přímé identifikátory mohou jednotlivce jednoznačně identifikovat samy o sobě. Mezi příklady patří celé jméno, číslo pasu, telefonní číslo a číslo kreditní karty.
• Nepřímé identifikátory neidentifikují jednotlivce, pokud jsou použity samostatně, ale mohou být použity v kombinaci s jinými údaji. Mezi příklady nepřímých identifikátorů patří demografické informace, údaje o zaměstnání a informace o zařízeních.

Podrobnosti naleznete v části Typy osobně identifikovatelných údajů.

Jaké zákony chrání osobní údaje?

Předpisy na ochranu osobních údajů se liší v závislosti na zemi a odvětví, ale všechny sdílejí cíl zajistit, aby jednotlivci měli kontrolu nad svými osobními údaji a aby organizace s osobními údaji nakládaly zodpovědně. Zde je několik nejznámějších zákonů.

Země / Region	Zákony
Spojené státy	HIPAA (Zákon o přenositelnosti a odpovědnosti zdravotního pojištění)GLBA (Zákon Gramm-Leach-Bliley)FERPA (Zákon o rodinných vzdělávacích právech a ochraně soukromí)CCPA / CPRA (Kalifornský zákon o ochraně soukromí spotřebitelů / Zákon o právech na soukromí)
Kanada	Zákon o ochraně osobních údajů a elektronických dokumentů (PIPEDA)
Evropská unie	Obecné nařízení o ochraně osobních údajů (GDPR)
Singapur	Zákon o ochraně osobních údajů (PDPA)

Podrobnosti naleznete v části Předpisy upravující osobní identifikační údaje.

Mohou se necitlivé údaje stát osobními údaji?

Ano, necitlivé údaje se mohou stát osobními údaji (PII), pokud jsou zkombinovány s jinými údaji způsobem, který umožňuje identifikaci, lokalizaci nebo kontaktování osoby. Například PSČ samo o sobě PII není, ale jeho kombinace s datem narození a pohlavím by mohla osobu jednoznačně identifikovat.