Dvě třetiny (64 procent) menších a středních firem v tuzemsku chystají změny v zabezpečení svých dat kvůli evropskému nařízení o nakládání s osobními údaji (GDPR), které vejde v platnost 28. května 2018 a obsahuje možnost až likvidačních pokut.
Evropa spustí nový systém ochrany osobních údajů. Za porušení pravidel budou vysoké pokuty
Čtvrtina podniků již analýzu svých systémů a procesů provedla. Vyplývá to z průzkumu, který pro Asociaci malých a středních podniků (AMSP ČR) uskutečnila agentura Ipsos.
Nový zákon přináší dosud největší změny v ochraně osobních údajů pro celou EU.
GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí, uvádí se na poradenském portálu k problematice Obecného nařízení o ochraně osobních údajů neboli General Data Protection Regulation.
- Maximální výše pokuty je 20 milionů eur nebo 4 procenta z celkového ročního obratu společnosti (vyšší z obou možností).
- Bude záviset na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.
- Zdroj: Poradenský portál k problematice GDPR
Své postupy budou do konce května 2018 muset přehodnotit statisíce subjektů v ČR.
Z průzkumu na vzorku 450 malých a středních firem vyplynulo, že 93 % podnikatelů pracuje s daty svých zaměstnanců a plných 67 % s údaji o svých obchodních partnerech. Při správě zákaznických dat převládá činnost spojená s obchodními nabídkami, následuje vyhodnocování spolupráce se zákazníky a marketingová činnost spojená s vylepšováním nabízených produktů.
Menší a střední firmy jsou konzervativnější a stále spíše sází na interní správu dat. Devět z deseti podniků řeší ukládání dat interně, externí řešení volí 15 % podnikatelů a tzv. cloudová řešení využívá 13 % firem. Zatímco 18 % firem data po určité době systematicky maže, čtvrtina podnikatelů si veškerá data trvale ponechává. Polovina firem si ponechává jen důležitá data.
- Šetření ukazuje, že nové nařízení změní chování firem a dotkne se více podnikových útvarů.
- 74 % firem se chystá na GDPR proškolit své zaměstnance.
- 70 % se připravuje na aktualizaci dokumentů a směrnic
- 62 % malých a středních podniků se chystá zabezpečit ochranu osobních údajů v součinnosti s externími dodavateli, například IT firmami.
- Zdroj: Průzkum pro AMSP ČR zpracovaný agenturou Ipsos
Součástí průzkumu bylo rovněž zjistit zkušenost podniků s kybernetickým útokem. Tu potvrdily čtyři firmy z deseti. To, že se jedná o navýsost aktuální hrozbu, dosvědčuje fakt, že třetina z oslovených podnikatelů se s ním setkala v posledním roce.
Potvrzuje se, že kybernetické útoky se stávají běžnou praxí, nejčastěji se jedná o podvodné maily, žádosti o podvodné platby, ale překvapivé je i to, že téměř třetina z postižených firem má zkušenosti přímo s hackerským útokem. Firmy neberou kybernetické hrozby na lehkou váhu, podle průzkumu osm z deseti dotazovaných má nastaveny základní procesy pro eliminaci rizika. Nejlepší reputaci má z hlediska kybernetické bezpečnosti Komerční banka.
- U podnikatelů s ročním obratem do 5 milionů korun se chystá provést analýzu stavu správy dat necelá polovina z nich.
- U firem s obratem mezi 500 miliony až 1 miliardou korun připravuje analýzu 84 % podniků.
- Potvrzuje to fakt, že malé firmy obecně přistupují k novým opatřením spíše intuitivněji, zatímco střední a větší podniky pracují více systémově a pro svá rozhodnutí využívají analýzy.
- Zdroj: Průzkum pro AMSP ČR zpracovaný agenturou Ipsos
Asociace malých a středních podniků a živnostníků ČR ve spolupráci s Českou asociací ochrany osobních údajů připravily pro menší a střední firmy bezplatný portál, kde ukazují, jak se GDPR dotkne malých podniků, které firmy opatření nemine, co musí podnikatelé učinit a jaké postihy reálně mohou očekávat. Součástí portálu je i odborná poradna.
- GDPR se vztahuje na všechny fyzické nebo právnické osoby, orgány veřejné moci, agentury nebo jiné subjekty, které shromažďují nebo zpracovávají osobní údaje. Velikost subjektu zde nehraje žádnou roli.
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná, uvádí zmíněný poradenský portál.
Podle něj dochází s GDPR také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.
„Největším strašákem se pro mnohé stane oznamovací povinnost v případě narušení bezpečnosti údajů,“ tvrdí se na poradenském portálu. Už by se tedy podle něj nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako se stalo například v kauze společnosti Yahoo. Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.
Obavy z postupu kontrolorů
Předseda AMSP ČR Karel Havlíček uvedl, že nařízení EU má být preventivním opatřením, kdy kontrolor se musí dívat na účinnost, přiměřenost, ale současně i schopnost odradit od nekalého chování. „Upřímně řečeno, když znám naše kontrolory, tak se mi zdá ta definice natolik volná, že nevím, jak to budou stanovovat. Z toho máme poměrně velkou obavu,“ dodal.
Nelíbí se mu také, že se všechny subjekty v tomto evropském nařízení (nikoliv tedy doporučení) házejí do stejného pytle. Stejně se tak musejí chovat nadnárodní korporace jako malý živnostník, který má jednoho zaměstnance nebo třeba deset zákazníků, řekl Havlíček.
„Vycházíme-li z toho, že je u nás 450 tisíc aktivních právnických subjektů a další milion osob samostatně výdělečně činných, potom je zřejmé, že se nové evropské nařízení bude týkat několikanásobně více subjektů než například EET,“ dodal šéf Asociace malých a středních podniků.