Trend Micro a VMware dnes společně oznámily výsledky výzkumu mezi českými a slovenskými manažery zodpovědnými za ochranu osobních údajů, který zjišťoval, jak jsou připraveni na nové nařízení o ochraně osobních údajů (GDPR). Většina firem v České republice a na Slovensku nad 100 zaměstnanců je již s novým nařízením GDPR obeznámena. Výzkum provedený ve spolupráci s agenturou Ipsos však ukázal, že téměř osm firem z deseti o nařízení ví, přičemž jeho znalost je o něco vyšší na Slovensku (89 %) než v České republice (69 %).
A naopak, hrozné je, že o tomto nařízení neví v České republice na 31 % zodpovědných manažerů, na Slovensku jen 11 %. Horší situace je v oblasti pokut za porušení předpisu. Zde jen jedna z deseti (!) obeznámených firem správně rozumí potenciální výši pokut za porušení předpisu. Taková pokuta může dosáhnout až 4 % z celkového ročního obratu společnosti, o čemž však ví pouze 8 % českých a slovenských společností.
Zástupci obou společností pak na tiskové konferenci přiblížili modelový případ: pokud by nějaká nadnárodní firma vygenerovala obrat jedené miliardy korun, při předpokládaném patnáctiprocentním zisku jí vychází čistý zisk kolem 150 milionů korun. Ten společnosti typicky využívají na svůj další rozvoj. Pokud by však za nesplnění požadavků nařízení GDPR (proti kterému není odvolání, je to nařízení EU) dostala maximální možnou pokutu ve výši zmíněných čtyř procent z obratu, vychází to na 40 milionů korun. A to je přibližně jedna třetina z vygenerovaného (modelového) případu, což pro mnoho firem může mít likvidační následky. A to především v případě, že by nedosáhly v modelu předpokládaného patnáctiprocentního zisku, což je ve většině případů v praxi více pravděpodobné…
Dne 25. května 2018 začne platit nařízení GDPR týkající se ochrany osobních údajů a firmy budou muset projít náročným procesem přezkoušení vnitřních kyberbezpečnostních procedur. Novou úpravu budou muset aplikovat všechny subjekty, které zpracovávají či sbírají osobní údaje osob žijících na území EU. Změnou projdou zásady registrování, uchovávání, zpracovávání a zpřístupňování údajů všech fyzických osob.
„Nařízení GDPR je formulováno odlišně v porovnání s aktuálně platnými předpisy. Dosavadní přístup spočívá v dodržování určitých procedur při zpracovávání osobních údajů s cílem informovat obyvatele o samotné skutečnosti shromažďování takových dat. Nové nařízení se soustředí na otázku otevřenosti problematiky ochrany údajů – každý případ narušení bezpečnosti, únik dat či neoprávněná manipulace s nimi musí být oznámen klientům firmy a informaci o takové skutečnosti musí obdržet i příslušný regulátor. To má ukončit dosavadní praxi, kdy se narušení bezpečnosti před veřejností utajovalo, což vedlo k všeobecnému ignorování tohoto problém jako údajně málo důležitého a nevyžadujícího jakékoliv investice. I z tohoto důvodu je jednou z novinek nařízení povinnost zavést odpovídající bezpečnostní technologie. Neřeší se při tom konkrétní technologie, ale jsou stanoveny požadavky na úroveň takového zabezpečení. Svědčí to o strategickém přístupu EU, který má firmy přimět, aby o bezpečnosti přemýšlely velmi komplexně,“ říká Robin Bay, Sales Engineer ze společnosti Trend Micro.
Jako největší hrozbu pro bezpečnost dat uvádějí firmy na prvním místě náhodnou ztrátu údajů zaměstnanci (29 %), následuje možnost kyberzločinu (24 %) a úmyslné odcizení údajů zaměstnanci (23 %).
„Obecné nařízení o ochraně osobních údajů, známější jako GDPR, vnímám jako obrovskou šanci pro všechny firmy a instituce k tomu, aby si udělaly pořádek ve svých datech. A nejenom v osobních údajích, ale obecně ve všech souborech a informačních systémech. Datový audit, který je pro sladění s GDPR nutný, je velkou příležitostí udělat si ve svém IT přehled,“ říká Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti (ČIMIB).
Kvůli sladění s GDPR plánují obeznámené firmy především zintenzivnit školení zaměstnanců o ochraně dat (69 %), navýšit investice do bezpečnosti IT (50 %), nebo zvyšovat pojištění pro případ narušení bezpečnosti (23 %).
Nařízení GDPR také přiznává fyzickým osobám právo „být zapomenut“, tedy okamžitého vymazání osobních údajů. To znamená, že organizace musí na základě oprávněné žádosti vymazat všechna příslušná osobní údaje tak, aby je třetí strana nemohla již ani vystopovat. Pro firmy je tedy důležité, aby implementovaly odpovídající procedury, resp. nasadily příslušné technologie. Podle průzkumu není celých 41 % dotázaných firem schopno toto právo být zapomenut uplatnit.
Nový předpis umožní regulačním orgánům efektivně konat. Nedodržování zásad již nebude možné a společnosti, které by braly nové povinnosti na lehkou váhu, postihne tvrdý trest. Aby tomuto firmy předešly, musí v následujících měsících zpracovat a zavést do praxe odpovídající strategie kybernetické bezpečnosti.
Průzkum uskutečnila na přelomu února a března 2017 výzkumná agentura Ipsos mezi 151 respondenty z České republiky a Slovenska (v poměru 6:4). Dotazovány byly osoby, které mají na starosti osobní údaje a jejich bezpečnost ve firmách s více než 100 zaměstnanci.