oPeniazoch.sk, Trend Micro Foto: thinkstock
Už čoskoro sa zmenia zásady registrovania, uchovávania, spracovávania a sprístupňovania údajov všetkých fyzických osôb.
25. mája 2018 začne platiť nariadenie GDPR, týkajúce sa ochrany osobných údajov a firmy budú musieť absolvovať náročný proces preskúšania vnútorných kyber-bezpečnostných procedúr. Novú úpravu budú musieť aplikovať všetky subjekty, ktoré spracúvajú či zbierajú osobné údaje osôb, žijúcich na území EÚ.
Prieskum medzi slovenskými a českými manažérmi, zodpovednými za ochranu osobných údajov, ukázal, ako sú pripravení na nové nariadenie o ochrane osobných údajov (GDPR). Prieskum uskutočnila na prelome februára a marca 2017 výskumná agentúra Ipsos medzi 151 respondentmi zo Slovenska a Českej republiky (v pomere 4:6).
– Takmer 8 z 10 firiem o nariadení vie, pričom jeho znalosť je o niečo vyššia na Slovensku (89 %) ako v Českej republike (69 %).
– Ako najväčšiu hrozbu pre bezpečnosť údajov uvádzajú firmy na prvom mieste náhodnú stratu údajov zamestnancov (29 %), nasleduje možnosť kyberzločinu (24 %) a úmyselné odcudzenie údajov zamestnancov (23 %).
– Kvôli zladeniu s GDPR plánujú oboznámené firmy predovšetkým zintenzívniť školenia zamestnancov o ochrane údajov (69 %), navýšiť investície do bezpečnosti IT (50 %), alebo zvyšovať poistenie pre prípad narušenia bezpečnosti (23 %).
– Iba približne jedna z 10 oboznámených firiem správne rozumie potenciálnej výške pokút za porušenie predpisu. Takáto pokuta môže dosiahnuť až 4 % z celkového ročného obratu spoločnosti, o čom však vie iba 8 % českých a slovenských spoločností.
„Nariadenie GDPR je formulované odlišne v porovnaní s aktuálne platnými predpismi. Doterajší prístup spočíva v dodržiavaní určitých procedúr pri spracovávaní osobných údajov s cieľom informovať obyvateľa o samotnej skutočnosti zhromažďovania takýchto údajov. Nové nariadenie sa sústreďuje na otázku otvorenosti problematiky ochrany údajov – každý prípad narušenia bezpečnosti, únik dát či neoprávnená manipulácia s nimi musí byť oznámený klientom firmy a informáciu o takejto skutočnosti musí obdržať aj príslušný regulátor. To má ukončiť doterajšiu prax, kedy sa narušenie bezpečnosti pred verejnosťou utajovalo, čo viedlo k všeobecnému ignorovaniu tohto problém ako údajne málo dôležitého a nevyžadujúceho akékoľvek investície. Aj z tohoto dôvodu je jednou z noviniek nariadenia povinnosť zaviesť zodpovedajúce bezpečnostné technológie. Neriešia sa pri tom konkrétne technológie, ale sú stanovené požiadavky na úroveň takéhoto zabezpečenia. Svedčí to o strategickom prístupe EÚ, ktorý má firmy presvedčiť, aby o bezpečnosti premýšľali veľmi komplexne,“ hovorí Robin Bay, Sales Engineer zo spoločnosti Trend Micro.
Nariadenie GDPR tiež priznáva fyzickým osobám právo „byť zabudnutý“, teda právo na okamžité vymazanie osobných údajov. To znamená, že organizácii musí na základe oprávnenej žiadosti vymazať všetky príslušné osobní údaje tak, aby ich tretia strana už nemohla ani vystopovať. Pre firmy je teda dôležité, aby implementovali zodpovedajúce procedúry, resp. nasadili príslušné technológie. Podľa prieskumu nie je celých 41 % opýtaných firiem schopných uplatniť toto právo byť zabudnutý.
Nový predpis umožní regulačným orgánom efektívne konať. Nedodržiavanie zásad už nebude možné a spoločnosti, ktoré by brali nové povinnosti na ľahkú váhu, postihne tvrdý trest. Aby tomuto firmy predišli, musia v nasledujúcich mesiacoch spracovať a zaviesť do praxe zodpovedajúce stratégie kybernetickej bezpečnosti.
