Nařízení na ochranu soukromí GDPR je za dveřmi (2)

10. 5. 2018

Sdílet

 Autor: Fotolia - pe3check
Direktiva GDPR (General Data Protection Regulation) je nařízení Evropské unie a jejím předmětem je ochrana osobních údajů. Týká se všech komerčních i institucionálních subjektůa vejde v platnost již 25. května 2018.

Ohrožená konkurenceschopnost Evropy

GDPR je revolucí v ochraně osobních údajů občanů Evropské unie a výrazně ovlivní chod všech firem i státních či neziskových organizací, které evidují své zaměstnance, členy, zákazníky nebo příznivce. GDPR se tak bude týkat prakticky všech subjektů. Ochrana soukromí ale nebude zadarmo. Nové nařízení si vyžádá nemalé finanční náklady na zavedení potřebných opatření i investice na průběžné dodržování nově stanovených pravidel. Přísné dodržování GDPR tak může snížit konkurenceschopnost evropských firem ve světě. Náklady na softwarové řešení a lidskou práci, spojené s dodržováním nového nařízení, budou v mnohých případech navyšovat ceny výrobků a služeb, varují analytici agentury BDO. „I když je úmysl evropských orgánů dobrý, evropským firmám vzniknou nové náklady... Dá se předpokládat, že nařízení z hlediska světového obchodu ztíží postavení evropských firem, zejména vůči již dnes velmi levné produkci z Asie, které je velmi těžké konkurovat,“ upřesňuje Stanislav Klika z BDO.

 

Ryba smrdí od hlavy

Podle nedávného mezinárodního průzkumu společnosti Trend Micro není ani nejvyšší management firem stále dostatečně připravený na GDPR. Odpovědnost za GDPR odmítá 57 procent vedoucích pracovníků a 47 procent firem neví, že jejich e-mailové marketingové databáze obsahují osobní údaje. Případné následky porušení závazných pravidel netrápí 22 procent dotázaných. Výsledkem takového stavu je pak neoprávněná víra v soulad s novým nařízením.

 

Alarmující situaci předpokládá analytická firma Gartner. Podle její předpovědi nedosáhne do konce roku 2018 plného souladu s GDPR více než 50 procent společností, tedy ještě půl roku od zahájení platnosti bude každý druhý podnik s implementací nových pravidel pozadu.


Určitou výhodou je i to, že dosavadní zákon o ochraně osobních údajů byl relativně přísný, takže kdo dosud postupoval v souladu s ním, může mít řadu problémů již vyřešených. Problém je, že ani to není v praxi splněno. Průzkum ukázal, že spousta firem vůbec tápe v tom, co to jsou osobní údaje a jak mají být chráněny. Dvě třetiny dotázaných nevěděly, že mezi osobní údaje patří i datum narození zákazníka. Obdobně 42 procent netušilo, že to platí i pro marketingové databáze s e‑mailovými adresami. Fyzickou adresu jako osobní údaj nevnímá 32 procent respondentů a e‑mailovou adresu 21 procent dotázaných. Firmy tedy nejsou připravené nebo zabezpečené tak dobře, jak se jejich management domnívá.

 

Přestože jde pravděpodobně o mediálně nejčastěji zmiňovaný fakt, dvě třetiny respondentů si neuvědomují výši sankcí, kterým mohou firmy čelit v případě nesplnění nových bezpečnostních povinností. Za nejhorší problém spojený s případným únikem dat považují dvě třetiny organizací poškození pověsti a dobrého jména, přičemž 46 procent účastníků průzkumu uvedlo, že největší dopad by to mělo na současné zákazníky. Jen málo dotazovaných je si tak vědomo, že důsledkem porušení povinností souvisejících s GDPR by mohl být i krach jejich firmy.

 

Situace v Česku

Podniky v současné době většinou na GDPR ještě připraveny nejsou. „Ty, které se zajištění souladu s GDPR začaly věnovat mezi prvními, už mají za sebou většinou analytickou i návrhovou část a nyní začínají implementaci identifikovaných opatření, ostatní podniky buď ještě žádné kroky nezačaly, nebo jsou teprve jen ve stadiu analýz, případně výběru kvalifikovaného partnera pro kybernetickou bezpečnost dat a zajištění souladu s obecným nařízením o ochraně osobních údajů,“ vysvětluje Petr Aksamit, cyber security client adviser ze společnosti ICZ.

 

ICTS24

Podle Aksamita by měly organizace prvo­řadou pozornost věnovat zmapování zpracování, scénářům zpracování osobních údajů s podobností potřebnou pro určení účelu a titulu zpracování. Bez tohoto kroku jsou další aktivity v podstatě „hádáním na slepo“.


„Organizace teprve začínají mapovat, kde všude osobní údaje uchovávají. Často při analýze tzv. šedých dat zjišťují, že na sdílených discích či na lokálních úložištích se nacházejí desítky tisíc souborů, které obsahují citlivé osobní údaje,“ uvádí praktické zkušenosti Miroslav Nečas ze společnosti Tovek.