GDPR neboli General Data Protection Regulation je Obecné nařízení na ochranu osobních údajů, které se týká všech subjektů, jež zpracovávají nebo shromažďují osobní údaje. GDPR se bude týkat všech občanů Evropské unie a vstoupí v platnost 25. května roku 2018. Jak ukázaly průzkumy v České republice a na Slovensku, většina firem a subjektů o něm ví, většinou ale neví, jak obrovské postihy hrozí při porušení a co se skrývá v detailech.
Reforma v ochraně osobních dat je pro firmy výzva i příležitost vylepšit vlastní systémy
Osobní údaje jsou stále důležitější komoditou napříč moderními firmami, stačí se podívat na Google nebo Facebook, jejichž největší příjem tvoří peníze z reklamy, která je cílená na konkrétní uživatele dle jejich vlastností. Současný zákon je tak potřeba přizpůsobit nejen pro nové technologie a platformy které vznikly, ale také na tyto obří globální sociální sítě a podobně. Riziko krádeže osobních dat je totiž zcela jinde, než tomu bylo dříve.
Dnes už jde pomocí kybernetického útoku nebo v rámci jednoho nebezpečného zaměstnance přijít o osobní údaje milionů uživatelů a aby to nebylo tak snadné, je potřeba investovat do moderního zabezpečení a zavést nové ochranné firemní procesy.
Firmy nevědí o výši pokut
Společnosti Trend Micro a VMware společně udělali průzkum v rámci 151 firem v Česku (60 %) a na Slovensku (40 %) se 100 a více zaměstnanci, který měl za cíl zjistit, jak moc toho firmy vědí o GDPR.
Z výzkumu vyplynulo, že většina kontaktovaných firem (8 z 10) o GDPR sice ví, ale to už tolik neplatí o detailech. Pouze 1 firma z 10 (celkem 8 % z dotázaných firem) totiž ví, že pokuty při porušení ochrany osobních údajů mohou činit až neuvěřitelných 4 % ročního obratu společnosti. To může být pro mnoho společností opravdu velký problém související s bankrotem, obzvlášť pokud pracuje s nízkou marží.
Ke GDPR je tak potřeba přistupovat mnohem vážněji a je potřeba vědět o detailech, které souvisí se zavedením bezpečnostních opatření ve firmě nebo chování při nějakém incidentu.
Ztrátu i útok musíte povinně hlásit
Už jsme byli několikrát svědky toho, že firmy utajovaly hackerské útoky a úniky osobních dat. Tomu se ale GDPR snaží vyvarovat, protože jsou pro toto jednání rovněž připravené značně vysoké pokuty.
Základem je, že firma musí mít nasazená řádná bezpečnostní opatření proti úniku dat, jinak bude pokuta 2 % z globálního ročního obratu nebo až 10 milionů Eur. Stejně velké pokuty se týkají i zmíněného incidentu, který byste si nechali pro sebe a nenahlásili ho do 72 hodin.
Pokud bude firma porušovat základní pravidla GDPR (například informování a získávání souhlasu uživatele o ukládání osobních dat), může dosáhnout pokuta až zmíněných 4 % z celosvětového obratu nebo 20 milionů Eur, dle toho, co bude ve výsledku více. Kvůli tomu musí mít firmy i pověřeného zástupce pro ochranu osobních údajů.
Hlavní změny
Osobní údaje už budou zahrnovat řadu informací o uživateli – jméno, pohlaví, věk, adresa, datum narození, e-mail, telefonní číslo, IP adresu a dokonce i cookie (některé technologie to používají pro sledování uživatele na internetu). Samozřejmě nebude chybět ani nutnost zvýšeného zabezpečení biometrických údajů, které jsou součástí osobních údajů.
Uživatelé získají s GDPR právo na úpravu či kompletní vymazání osobních údajů o sobě. S tím souvisí i právo být zapomenut nebo omezení přenositelnosti a zpracování těchto údajů.
Bez přípravy a investic to nepůjde
Firmy tak mají už jen rok na to, aby se na GDPR připravily. Dle průzkumu většina z nich vnímá, že musí začít jak se školením zaměstnanců, tak i s investicemi do bezpečnostních opatření.
Ty se týkají nejen softwaru a toho, jak se s osobními údaji procesně nakládá, ale v některých případech i hardwaru, který chrání osobní data uložená na serverech a dalších místech proti kybernetickému útoku.
Při výzkumu také vyšlo najevo, čeho se firmy v oblasti ztráty osobních údajů nejvíce bojí. Největší hrozbu vidí v rámci náhodné ztráty dat zaměstnanci – ztracený notebook, flashka a podobně, s čímž souvisí nutnost šifrování všude. Na druhém místě je hackerský útok a na třetím pak úmyslné odcizení údajů zaměstnancem firmy.
Foto: Blue Coat Photos, CC BY-SA 2.0
