Jednou za čas se v tisku objeví informace o tom, že došlo k úniku či zneužití informací, které by měly být chráněny – zpravidla se tak stává v důsledku selhání lidského faktoru. Ochrana osobních údajů je v naší republice upravena právní normou, nicméně bez technických a organizačních pravidel je prakticky nemožné liteře zákona vyhovět.
Právně je v České republice problematika ochrany informací (pomiňme protentokrát občasné zaměňování pojmů údaj, informace a data) řešena Zákonem 101/2000 Sb. o ochraně osobních údajů. Výkon záměru tohoto zákona včetně dozoru nad jeho dodržováním má od poloviny roku 2000 na starosti Úřad pro ochranu osobních údajů.
Uvedený zákon obsahuje celou řadu pravidel, která je nutné v rámci ochrany osobních údajů dodržovat – od registrace subjektů zpracovávajících osobní údaje až například po likvidaci údajů. Zpracování údajů je přitom definováno jako jakákoli operace či soustava operací systematicky prováděných správcem či zpracovatelem s osobními údaji, bez ohledu na to, zda se jedná o automatizované či ruční zpracování.
Poměrně široce je vymezen samotný pojem zpracování, pod kterým se rozumí nejen samotné zpracování (jak je tomu například v nejčastěji používaných definicích informačních systémů), ale také shromažďování, ukládání a uchovávání, šíření a předávání či výměna údajů. Zjednodušeně řečeno tak pojem zpracování zahrnuje prakticky všechny možné operace s údaji, které je možné si představit. Z hlediska databázových technologií je přitom zajímavá především ochrana v rámci ukládání, uchovávání a zpřístupňování údajů.
Pravidla pro ochranu osobních údajů jsou tedy v rámci našeho právního řádu poměrně přesně vymezena. Je ovšem nutné uvědomit si, že se opravdu jedná jen o pravidla. Technické řešení v případě využití informačních technologií již zůstává na samotném systému, respektive jeho tvůrcích a uživatelích.
Z předchozího odstavce vyplývá jedna mnohdy velmi opomíjená skutečnost. Problematiku zabezpečení dat (dále nás již nebudou zajímat jen osobní údaje definované zákonem, ale všechna zpracovávaná data) je nutno rozdělit minimálně na dvě základní skupiny – organizační a technickou. Dokonce bez ohledu na to, zda je tato problematika řešena v domácí, podnikové či státní sféře.
Jen pro úplnost dodejme, že v souvislosti s ochranou osobních údajů je citlivý údaj zákonem definován jako osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, o politických postojích, o členství v politických stranách, o náboženství, o sexuálním životě apod. V širší souvislosti lze za citlivá data v souvislosti se zabezpečením považovat jakákoli data, která jsou natolik důležitá, že stojí za ochranu. Obdobně by měly být zabezpečeny také například zálohy a archívy, vstupní data či výstupy v elektronické i klasické papírové podobě.