Know-How
GDPR technická implementace
GDPR není jen právní dokument. Vyžaduje konkrétní technická opatření — šifrování, pseudonymizaci, data portability, right to erasure.
Klíčové požadavky
- Šifrování osobních údajů (at rest + in transit)
- Pseudonymizace kde možné
- Data minimization — sbírejte jen nutné
- Right to erasure — smazání na žádost
- Data portability — export v strojovém formátu
- Breach notification — 72 hodin
Implementace
# Pseudonymizace
import hashlib
def pseudonymize(email):
return hashlib.sha256(email.encode() + SALT).hexdigest()
# Right to erasure
async def delete_user_data(user_id):
await db.users.delete(user_id)
await db.orders.anonymize(user_id) # Anonymizace, ne smazání
await db.logs.redact(user_id)
await search_index.delete(user_id)
await backups.mark_for_deletion(user_id)
# Data export (portability)
async def export_user_data(user_id):
data = {
"profile": await db.users.get(user_id),
"orders": await db.orders.list(user_id),
"preferences": await db.prefs.get(user_id),
}
return json.dumps(data, indent=2)
Klíčový takeaway
Šifrujte, pseudonymizujte, minimalizujte data. Implementujte erasure a export API. Breach notification do 72 hodin.