GDPR není jen právní dokument. Vyžaduje konkrétní technická opatření — šifrování, pseudonymizaci, data portability, right to erasure.
Klíčové požadavky¶
- Šifrování osobních údajů (at rest + in transit)
- Pseudonymizace kde možné
- Data minimization — sbírejte jen nutné
- Right to erasure — smazání na žádost
- Data portability — export v strojovém formátu
- Breach notification — 72 hodin
Implementace¶
Pseudonymizace¶
import hashlib def pseudonymize(email): return hashlib.sha256(email.encode() + SALT).hexdigest()
Right to erasure¶
async def delete_user_data(user_id): await db.users.delete(user_id) await db.orders.anonymize(user_id) # Anonymizace, ne smazání await db.logs.redact(user_id) await search_index.delete(user_id) await backups.mark_for_deletion(user_id)
Data export (portability)¶
async def export_user_data(user_id): data = { “profile”: await db.users.get(user_id), “orders”: await db.orders.list(user_id), “preferences”: await db.prefs.get(user_id), } return json.dumps(data, indent=2)
Klíčový takeaway¶
Šifrujte, pseudonymizujte, minimalizujte data. Implementujte erasure a export API. Breach notification do 72 hodin.