Evropa spustí nový systém ochrany osobních údajů. Za porušení pravidel budou vysoké pokuty

Dvě třetiny (64 procent) menších a středních firem v tuzemsku chystají změny v zabezpečení svých dat kvůli evropskému nařízení o nakládání s osobními údaji (GDPR), které vejde v platnost 28. května 2018 a obsahuje možnost až likvidačních pokut. 

Video Události
video

Události: Ochrana dat a nároky na firmy

Čtvrtina podniků již analýzu svých systémů a procesů provedla. Vyplývá to z průzkumu, který pro Asociaci malých a středních podniků (AMSP ČR) uskutečnila agentura Ipsos.

Průzkum pro AMSP mezi českými firmami o připravenosti na GDPR 1,014.80 KB

Nový zákon přináší dosud největší změny v ochraně osobních údajů pro celou EU. 

GDPR po vzoru předpisů na ochranu hospodářské soutěže zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí, uvádí se na poradenském portálu k problematice Obecného nařízení o ochraně osobních údajů neboli General Data Protection Regulation.

Své postupy budou do konce května 2018 muset přehodnotit statisíce subjektů v ČR.

Z průzkumu na vzorku 450 malých a středních firem vyplynulo, že 93 % podnikatelů pracuje s daty svých zaměstnanců a plných 67 % s údaji o svých obchodních partnerech. Při správě zákaznických dat převládá činnost spojená s obchodními nabídkami, následuje vyhodnocování spolupráce se zákazníky a marketingová činnost spojená s vylepšováním nabízených produktů.

Menší a střední firmy jsou konzervativnější a stále spíše sází na interní správu dat. Devět z deseti podniků řeší ukládání dat interně, externí řešení volí 15 % podnikatelů a tzv. cloudová řešení využívá 13 % firem. Zatímco 18 % firem data po určité době systematicky maže, čtvrtina podnikatelů si veškerá data trvale ponechává. Polovina firem si ponechává jen důležitá data.

Součástí průzkumu bylo rovněž zjistit zkušenost podniků s kybernetickým útokem. Tu potvrdily čtyři firmy z deseti. To, že se jedná o navýsost aktuální hrozbu, dosvědčuje fakt, že třetina z oslovených podnikatelů se s ním setkala v posledním roce.

Potvrzuje se, že kybernetické útoky se stávají běžnou praxí, nejčastěji se jedná o podvodné maily, žádosti o podvodné platby, ale překvapivé je i to, že téměř třetina z postižených firem má zkušenosti přímo s hackerským útokem. Firmy neberou kybernetické hrozby na lehkou váhu, podle průzkumu osm z deseti dotazovaných má nastaveny základní procesy pro eliminaci rizika. Nejlepší reputaci má z hlediska kybernetické bezpečnosti Komerční banka.

Asociace malých a středních podniků a živnostníků ČR ve spolupráci s Českou asociací ochrany osobních údajů připravily pro menší a střední firmy bezplatný portál, kde ukazují, jak se GDPR dotkne malých podniků, které firmy opatření nemine, co musí podnikatelé učinit a jaké postihy reálně mohou očekávat. Součástí portálu je i odborná poradna.

GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná, uvádí zmíněný poradenský portál. 

Podle něj dochází s GDPR také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.

„Největším strašákem se pro mnohé stane oznamovací povinnost v případě narušení bezpečnosti údajů,“ tvrdí se na poradenském portálu. Už by se tedy podle něj nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako se stalo například v kauze společnosti Yahoo. Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.

Obavy z postupu kontrolorů

Předseda AMSP ČR Karel Havlíček uvedl, že nařízení EU má být preventivním opatřením, kdy kontrolor se musí dívat na účinnost, přiměřenost, ale současně i schopnost odradit od nekalého chování. „Upřímně řečeno, když znám naše kontrolory, tak se mi zdá ta definice natolik volná, že nevím, jak to budou stanovovat. Z toho máme poměrně velkou obavu,“ dodal.

Video Studio ČT24
video

K. Havlíček o nařízení GDPR

Nelíbí se mu také, že se všechny subjekty v tomto evropském nařízení (nikoliv tedy doporučení) házejí do stejného pytle. Stejně se tak musejí chovat nadnárodní korporace jako malý živnostník, který má jednoho zaměstnance nebo třeba deset zákazníků, řekl Havlíček. 

„Vycházíme-li z toho, že je u nás 450 tisíc aktivních právnických subjektů a další milion osob samostatně výdělečně činných, potom je zřejmé, že se nové evropské nařízení bude týkat několikanásobně více subjektů než například EET,“ dodal šéf Asociace malých a středních podniků.