Firmám hrozí likvidační pokuty, podnikatelé o nich mnohdy ani netuší | E15.cz

Firmám hrozí likvidační pokuty, podnikatelé o nich mnohdy ani netuší

720p480p360p240p

Jiří Liebreich

České společnosti mají už jen 12 měsíců na to, aby se připravily na důkladnější ochranu osobních údajů, s nimiž pracují. Pokud se nové evropské legislativě včas nepřizpůsobí, hrozí jim vysoké sankce. Ty mohou být pro řadu společností likvidační, shodli se experti u kulatého diskuzního stolu Mikroskop, který uspořádal deník E15.

Obecné nařízení o ochraně osobních údajů (GDPR − General Data Protection Regulation) začne platit za rok − 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů a související zákon o ochraně osobních údajů. Připravuje se i adaptační zákon ke GDPR, vláda by ho měla projednat koncem léta.

Nová legislativa se týká všech firem a institucí, ale i jednotlivců a on-line služeb, které zpracovávají data uživatelů. Tisíce záznamů s osobními daty klientů obsahují databáze e-shopů, telekomunikačních firem, nemocnic, státních úřadů nebo bank. Veškeré subjekty budou muset svůj stávající systém nakládání s daty upravit tak, aby odpovídal novým, výrazně přísnějším standardům.

Padouši se do našich sítí dokážou dostat, říká expert na kybernetickou bezpečnost z Darktrace

V případě porušení legislativy hrozí firmám značné pokuty. Jejich maximální výše je buď dvacet milionů eur, nebo čtyři procenta z celkového ročního obratu skupiny − podle toho, která hodnota je vyšší.

„Čtyři procenta z celosvětového obratu není vůbec malé číslo. Čistý zisk firmy může být na hranici právě této hodnoty nebo i nižší. Sankce je to značná,“ potvrdil v diskuzi Vladimír Střálka ze společnosti VMware, která patří mezi přední poskytovatele cloudové infrastruktury.

„Sankce jsou nastaveny na dvě úrovně. U té nižší je maximální pokuta deset milionů eur, u vyšší dvacet milionů. Záleží na typu porušení,“ vysvětlila advokátka Deloitte Legal Jaroslava Kračúnová.

Nemocnice hledají miliardy na kybernetickou bezpečnost

V Česku bude dozorovým orgánem Úřad pro ochranu osobních údajů. Při posuzování porušení legislativy bude brát v potaz, na jakém území se tak stalo a kolika občanů se týkalo. „Z diskuzí s úřadem vyplývá, že nejspíš nebude sahat po hraničních sankcích,“ dodala Kračúnová.

Úřadu přibudou pravomoci odrážející závažnost celé reformy a zároveň bude své aktiviti koordinovat s Evropským sborem pro ochranu osobních údajů. Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy bude existovat možnost obrátit se s odvoláním na evropský sbor.

Většina firem dnes sice má povědomí o tom, že GDPR vejde za rok v platnost, podnikatelé už ale netuší, jaké mají čekat dopady na interní firemní procesy a informační technologie.

Velké množství firem navíc neví o sankcích, které jim v případě porušení nově nastavených pravidel hrozí. Vyplývá to z průzkumu společností VMware a Trend Micro, kterého se zúčastnilo 150 českých a slovenských firem (60 procent z nich bylo tuzemských).

„Většina firem má již dnes zavedené procesy, které umějí prokazovat shodu s touto legislativou. Asi sedmdesát procent firem je připraveno na investice do školení zaměstnanců, kolem padesáti procent má představu o dopadech na IT,“ podotkl Střálka a dodal, že zhruba třetina firem neví, kolik času jim tyto implementace zaberou.

Samoučicí britský systém Darktrace hledá kyberútoky i v Česku

Jednou ze zásadních a povinných implementací bude určení takzvaného pověřence pro ochranu osobních údajů (DPO − Data Protection Officer). Tato osoba či společnost bude kontrolovat, jestli je zpracování osobních údajů v souladu s novým evropským nařízením, školit pracovníky a celkově řídit agendu interní ochrany dat.

Touto činností může být pověřen i stávající zaměstnanec, Robin Bay ze společnosti Trend Micro specializované na bezpečnostní řešení ale upřednostňuje delegovat agendu na externí, na společnosti nezávislý subjekt. „Pokud to bude firmička o deseti lidech a pověřenec DPO bude z téže firmy, asi tušíte, jak to bude fungovat. Doporučuji nezávislou osobu, která řekne, co všechno je špatně,“ domnívá se Bay.

Určení pověřence DPO patří k základním krokům, které musí subjekt podléhající GDPR učinit. Jaké další postupy má ale podnik zvolit, aby byl na evropskou novinku adekvátně připraven? „GDPR říká: ,Vyhodnoťte si rizika podle objemu dat, jejich typu, citlivosti a rizikovosti prostředí,‘“ odpovídá Ivan Svoboda z Anectu, jenž zajišťuje integraci IT systémů, které musejí splňovat požadavky GDPR.

„Podnikatelé by si nejdříve měli zjistit povinnosti, které se jich týkají, a rozhodovat se podle toho, jak dlouho by implementace daného ustanovení trvala. Stanovit si harmonogram, určit priority,“ radí advokátka Kračúnová.

Mařík: Pozor lidstvo, abys s inteligentními roboty nezašlo příliš daleko

Pokud by firmě přes veškerá bezpečnostní opatření unikla data, bude povinna informovat úřad nejpozději do 72 hodin od momentu, kdy se o ztrátě dat dozvěděla. Svoboda odkázal na statistický výpočet, dle kterého ovšem trvá v průměru dvě stě dní, než si firma narušení svého informačního systému všimne.

„Jde-li o malý incident ztráty dat, stačí ho jen zaevidovat. Pokud je větší, musí se hlásit úřadu. Pakliže hrozí fyzickým osobám vysoké riziko, musejí být informovány – například když firmě uteče databáze s hesly které lze zneužít pro přístup i k jiným službám, například k emailu nebo k elektronickému bankovnictví,“ vysvětlil Svoboda.

Zhruba třetina firem zatím netuší, kolik času jim příprava na novou evropskou ochranu dat zabere.

Co všchno jsou osobní údaje?

Veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě. Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam. Vzhledem k tomu, že se GDPR vztahuje i na podnikající fyzické osoby, řadíme mezi osobní údaje i tzv. organizační údaje, kterými jsou například e-mailová adresa, telefonní číslo či různé identifikační údaje vydané státem.

Zdroj: gdpr.cz

 
Newsletter
Využijte služby
zasílání zpráv do vaší
e-mailové schránky!