Jak chránit a bezpečně uchovávat svou práci v PDF

Každý den tisíce dokumentů cestují e-mailem, putují do cloudu a postupují dál bez jakékoli ochrany. Smlouvy, daňová přiznání pro Finanční správu, zdravotní dokumentace, finanční zprávy, skeny občanských průkazů a výpisy z ARES: každý z nich může způsobit reálnou škodu, pokud se dostane do nesprávných rukou. Dobrá zpráva je, že důkladné zabezpečení PDF trvá doslova několik sekund a nic nestojí. V tomto průvodci vám ukážeme, jak zaručit důvěrnost dokumentů, jak udělat citlivé údaje neobnovitelnými, jak dosáhnout souladu s EU GDPR a Zákonem č. 110/2019 Sb. o zpracování osobních údajů a jak vypadají profesionální nejlepší postupy, když musí dokument opustit organizaci.

Proč má bezpečnost PDF větší význam, než si myslíte

Incidenty úniku údajů spojené s nezabezpečenými PDF soubory patří mezi nejčastější a nejméně medializované. E-mail doručený nesprávnému adresátovi, PDF nahrané na sdílený disk bez hesla, soubor postoupený partnerovi, který ho zase posílá konzultantovi — to jsou každodenní scénáře vedoucí k incidentům, pokutám od Úřadu pro ochranu osobních údajů (ÚOOÚ) a reputačním ztrátám. Správný postup je vepsat ochranu do samotného formátu, nikoli spoléhat na přenosový kanál.

• E-maily doručené nesprávnému adresátovi: stává se to častěji, než se zdá. Bez hesla je PDF čitelné pro kohokoli.
• E-maily postupované dál kolegům, partnerům, klientům bez vašeho souhlasu: heslo omezuje přístup výhradně na oprávněné osoby.
• Ukradené nebo ztracené počítače a zařízení: zabezpečené PDF zůstává nepřístupné pro osobu, která zařízení našla.
• Náhodná sdílení v cloudu: odkazy, které dál kolují. Heslo zůstává bariérou.
• Soulad s EU GDPR a Zákonem č. 110/2019 Sb.: pro dokumenty obsahující osobní údaje je šifrování jedním z „přiměřených technických opatření“ vyžadovaných předpisy.

Šifrování heslem: první linie obrany

Nástroj [Chránit PDF](/cs/chranit-pdf) v PDFtoAll aplikuje na dokument šifrování AES (Advanced Encryption Standard), mezinárodní standard používaný vládami, bankami a vojenskými organizacemi. K dispozici jsou dvě úrovně:

• AES 128-bit: postačující ve velké většině každodenních profesionálních scénářů. Kompatibilní se všemi čtečkami PDF, i staršími.
• AES 256-bit: standard maximální bezpečnosti, doporučený pro obzvlášť důvěrné dokumenty (právní dossier, zdravotní údaje, obchodní tajemství, finanční údaje s vysokou váhou). Vyžaduje moderní čtečky PDF — všechny čtečky z posledních 10 let ho podporují.

Heslo pro otevření vs. heslo oprávnění

Nástroj umožňuje nastavit dva druhy hesla:

• Heslo pro otevření (User Password): bez něj se PDF neotevře. Je to základní ochrana potřebná v 90 % případů.
• Heslo oprávnění (Owner Password): kontroluje pokročilá omezení i pro uživatele, kteří už soubor otevřeli: tisk (povoleno / zakázáno / pouze v nízkém rozlišení), kopírování textu, úpravy, vyplňování formulářů, extrakce obrázků.

Jak zvolit silné heslo

AES-256 šifrování spojené se slabým heslem je prakticky zbytečné. Zlatá pravidla:

• Alespoň 12–16 znaků: délka má větší význam než složitost.
• Směs velkých a malých písmen, číslic a symbolů.
• Bez slov ze slovníku a zjevných osobních údajů (datum narození, jméno partnera, město — Praha, Brno).
• Použijte zapamatovatelnou přístupovou frázi: čtyři náhodná slova (`MaratonNebe$Zelezo7Tucnak`) jsou silná a snadno zapamatovatelná.
• Generujte hesla ve správci hesel (1Password, Bitwarden, KeePass) a ukládejte je: pokud heslo zapomenete, soubor je navždy ztracený — PDFtoAll žádná hesla neukládá.

Trvalé začernění: skutečné odstranění citlivých údajů

Zásadní rozdíl, který si málokdo uvědomuje: černý zvýrazňovač není redakce. Mnoho dokumentů sdílených jako „začerněné“ je ve skutečnosti neúplně chráněno — často jde jednoduše o černý obdélník navrstvený na textu, přičemž původní text zůstává v PDF souboru a lze ho obnovit zkopírováním nebo nahlédnutím do struktury souboru. Tento problém způsobil medializované skandály na institucionální úrovni.

Nástroj [Cenzurovat PDF](/cs/cenzurovat-pdf) v PDFtoAll provádí profesionální začernění: údaje pod vrstvou jsou fyzicky odstraněny ze souboru a nahrazeny trvalým černým obdélníkem. Ani technicky pokročilí uživatelé je nedokážou obnovit.

Kdy použít začernění

• Publikace smluv nebo dohod při zachování anonymity smluvních stran.
• Sdílení soudních dokumentů s odstraněním údajů osob, které nesouvisejí s případem.
• Odesílání ticketů na podporu se screenshoty při skrytí vašich osobních údajů.
• Publikování výňatků z institucionálních dokumentů pro tisk.
• Soulad s EU GDPR a Zákonem č. 110/2019 Sb.: před předáním dokumentu s osobními údaji neoprávněnému příjemci.
• Zdravotnický sektor: anonymizace zdravotní dokumentace pro statistické studie nebo vědecké publikace.

Vodoznaky: identifikace stavu a vlastnictví

Vodoznak je vrstva ochrany doplňující šifrování: odrazuje od neoprávněného kopírování, identifikuje stav dokumentu a dává branding firemním materiálům. Nástroj [Vodoznak PDF](/cs/vodoznak-pdf) nanese text nebo obrázek na každou stránku, s kontrolou polohy (mřížka 9 pozic), průhlednosti (10–100 %), otočení (např. 45° diagonálně pro stavový text) a barvy.

Strategické případy použití

• „KONCEPT“: pro pracovní verze, aby byly zřetelně odlišitelné od finální.
• „DŮVĚRNÉ“: označuje dokumenty, které nesmí opustit perimetr firmy.
• Firemní logo: brandinguje obchodní nabídky, reporty a interní materiály.
• „Kopie pro [jméno klienta]“: jednoznačně identifikuje příjemce dokumentu — užitečné pro sledování interních úniků.
• „NEROZŠIŘUJTE“: odrazuje od dalšího postupování.

Elektronický podpis a kvalifikovaný elektronický podpis: integrita a právní síla

Elektronický podpis není jen autentizace: je to také záruka integrity. PDF digitálně podepsané kvalifikovaným certifikátem zaznamenává také přesný okamžik podpisu a znemožňuje pozdější změny bez zneplatnění podpisu. Nástroj [Podepsat PDF](/cs/podepsat-pdf) umožňuje vytvořit jednoduchý elektronický podpis (SES) — platný ve smyslu nařízení eIDAS pro většinu obchodních smluv — kreslením prstem, zadáním jména kaligrafickým písmem nebo nahráním skenovaného obrazu.

Pro dokumenty vyžadující zaručený elektronický podpis nebo kvalifikovaný elektronický podpis (QES) — podání přes Datovou schránku a Portál občana, ověření přes NIA, MojeID, BankID nebo Identitu občana, podání na Finanční správu, notářské úkony, úřední akty, smlouvy o převodu nemovitostí, podání na katastr, úkony na Czech POINT nebo služby eGovernment — je potřeba kvalifikovaný certifikát od akreditovaného poskytovatele důvěryhodných služeb (První certifikační autorita, eIdentity, Česká pošta – PostSignum) a čtečka občanského průkazu s čipem. PDFtoAll však můžete využít na přípravu dokumentu (spojování, číslování, začernění) před přiložením certifikovaného podpisu přes aplikaci typu Adobe Reader nebo signer poskytovatele.

Privacy by design: model PDFtoAll

Všechny bezpečnostní nástroje, které jsme probrali, spojuje jedna vlastnost: fungují celé v prohlížeči. Když zabezpečíte PDF heslem, když začerňujete, když přidáváte vodoznak, když podepisujete dokument — zpracování probíhá lokálně, na vašem zařízení díky WebAssembly. Soubory se nikdy neodesílají na naše servery.

Tento model — nazývaný privacy by design — má tři důležité praktické důsledky:

• Ani my, ani náš hosting, ani žádný síťový prostředník nemá přístup k obsahu dokumentů.
• Žádná trvalá kopie nevzniká v našich systémech: soubory existují výhradně v paměti prohlížeče po dobu trvání relace.
• Hesla, která nastavujete, se nikdy neukládají, neevidují, nesynchronizují ani neodesílají jinam.

EU GDPR a Zákon č. 110/2019 Sb.: praktické aspekty

Nařízení (EU) 2016/679 (GDPR) spolu se Zákonem č. 110/2019 Sb. o zpracování osobních údajů ukládá správcům a zpracovatelům povinnost implementovat přiměřená technická a organizační opatření k ochraně osobních údajů (čl. 32 GDPR). V praxi to pro PDF dokumenty znamená:

• Šifrování souborů obsahujících osobní údaje, když opouštějí perimetr firmy.
• Pseudonymizaci nebo anonymizaci trvalým začerněním, když údaje už nejsou potřebné pro splnění účelu.
• Sledování verzí pomocí vodoznaků a elektronických podpisů.
• Minimalizace: extrahujte pouze stránky, které příjemce skutečně potřebuje, neposílejte celé dossier (přes Extrahovat stránky PDF).
• Ohlášení porušení Úřadu pro ochranu osobních údajů (ÚOOÚ) do 72 hodin v případě incidentu: přiměřené šifrování může snížit riziko, a tím i povinnost informovat dotčené osoby.

Nejlepší postupy sdílení chráněných dokumentů

Odeslání PDF a hesla stejným kanálem ničí většinu ochrany: kdo zachytí zprávu, má zároveň soubor i klíč. Profesionální nejlepší postupy:

• Oddělené kanály: pošlete PDF e-mailem a heslo SMS, telefonicky, šifrovaným pracovním messengerem nebo osobně.
• Sdílený správce hesel (1Password Teams, Bitwarden, LastPass) pro týmy, které spolupracují trvale.
• Služby bezpečného přenosu s omezenou životností (Privnote, Onetime Secret) pro jednorázové předání hesla.
• Nikdy nezapisujte heslo do těla e-mailu ani do názvu souboru (`smlouva_heslo_PIPPO123.pdf` je očividná chyba).

Bezpečnostní kontrolní seznam pro každé odchozí PDF

Než pošlete důvěrný dokument, projděte si tento seznam:

1. Začerněte citlivé údaje nepodstatné pro příjemce (přes Cenzurovat PDF).
2. Přidejte vodoznak identifikující stav nebo příjemce (přes Vodoznak PDF).
3. Digitálně podepište, pokud musíte potvrdit autorství a integritu (přes Podepsat PDF).
4. Zkomprimujte soubor, abyste omezili expozici (přes Komprimovat PDF).
5. Zašifrujte silným AES-256 heslem (přes Chránit PDF).
6. Pošlete heslo odděleným kanálem od souboru.
7. Uložte heslo ve správci hesel — pokud ho zapomenete, nelze ho obnovit.

Závěr

Zabezpečení PDF je dnes činnost trvající několik sekund, ale právě ona rozhoduje o tom, zda dokument za sebou zanechává snadno vystopovatelné mezery, nebo zůstává v bezpečí bez ohledu na přenosový kanál. Spojením čtyř klíčových nástrojů — Chránit, Cenzurovat, Vodoznak, Podepsat — vybudujete úroveň ochrany přiměřenou prakticky každému profesionálnímu scénáři, v souladu s EU GDPR a Zákonem č. 110/2019 Sb. a mezinárodními nejlepšími postupy. A protože PDFtoAll funguje celé v prohlížeči, vaše soubory zůstávají v bezpečí i v samotném okamžiku zabezpečování.