Stačí špatně zabezpečená excelová tabulka s kontakty na zákazníky a podnik může dostat pokutu až 550 milionů korun. Takové obavy mají především malé společnosti před nástupem nového nařízení o ochraně osobních údajů (GDPR), které EU zavede od května příštího roku.
Jen málokteré opatření děsí malé a střední firmy tak, jako plánované zavedení nového nařízení o ochraně osobních údajů (GDPR). To začne platit od května příštího roku a přinese drastické pokuty pro všechny podniky, které zajistí nedostatečnou ochranu osobních údajů svých zákazníků, ale i zaměstnanců.
A nebude to rozhodně žádná legrace. Za porušení této nové povinnosti hrozí podnikům pokuta až 20 milionů euro, tedy zhruba 550 milionů korun. Obavy vzbuzuje plánovaná norma zatím jen u těch podniků, které o ní vědí.
Velká část malých firem totiž zatím netuší, co se na ně valí. Respektive jak vysoké pokuty jim hrozí. Ukázal to průzkum společnosti Trend Micro provedený ve spolupráci s agenturou Ipsos. Podle něj většina firem nad 100 zaměstnanců v České republice a na Slovensku je již s novým nařízením GDPR obeznámena a téměř 8 firem z 10 o nařízení ví. Nicméně jen přibližně jedna z 10 obeznámených firem správně rozumí potenciální výši pokut za porušení předpisu.
„Nařízení GDPR je formulováno odlišně v porovnání s aktuálně platnými předpisy. Dosavadní přístup spočívá v dodržování určitých procedur při zpracovávání osobních údajů s cílem informovat uživatele o samotné skutečnosti shromažďování takových dat. Nové nařízení se soustředí na otázku otevřenosti problematiky ochrany údajů – každý případ narušení bezpečnosti, únik dat či neoprávněná manipulace s nimi musí být oznámen klientům firmy a informaci o takové skutečnosti musí obdržet i příslušný regulátor,“ říká Robin Bay ze společnosti Trend Micro.
Zabezpečení musí mít úroveň
„Jednou z novinek nařízení je povinnost zavést odpovídající bezpečnostní technologie. Neřeší se při tom konkrétní technologie, ale jsou stanoveny požadavky na úroveň takového zabezpečení. Svědčí to o strategickém přístupu EU, který má firmy přimět, aby o bezpečnosti přemýšlely velmi komplexně,“ dodává Robin Bay.
Na opatření se musí připravit všechny firmy, které s osobními daty zákazníků či zaměstnanců pracují, nebo je uchovávají. Velmi výrazně dopadne například na e-shopy, jejichž fungování je na práci s daty klientů založeno.
V případě porušení či nezavedení nového nařízení pak hrozí pokuty, a to až ve výši 20 000 000 euro nebo ve výši 4 % celkového ročního obratu. „Sankce se budou týkat všech bez výjimky, tedy i těch nejmenších e-shopů. Kromě toho mohou být majitelé e-shopů navíc vystaveni žalobám od zákazníků s nárokem na odškodnění v případě hmotné či nehmotné újmy. Je proto potřeba být na příchod nového opatření opravdu dobře připraven,“ upozorňuje Miroslav Uďan, šéf společnosti Shoptet.
Obecné nařízení o ochraně osobních údajů bylo schváleno 27. dubna 2016 a bude platit jak pro všechny evropské firmy, instituce či online služby, tak i pro ty mimoevropské, které ale působí na evropském trhu. Jeho hlavním cílem je dát občanům větší kontrolu nad tím, jak se zachází s jejich citlivými osobními údaji a zároveň jim poskytnout větší ochranu. GDPR začne v celé EU platit jednotně od 25. května 2018 a v České republice nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů.
„Jméno, adresa, datum narození, rodné číslo či informace o platební kartě, to jsou data, jejichž zneužití může mít pro člověka fatální následky. Proto dochází k zavádění nových, přísnějších opatření, kterým se nevyhnou ani e-shopy, neboť právě ty s osobními daty svých zákazníků pracují každý den. S novou legislativou dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo takzvaná cookie v zařízení uživatele. Úplně novou kategorií jsou pak genetické a biometrické údaje,“ dodává Miroslav Uďan, .
Lidé budou mít přístup k datům, která o nich společnosti shromažďují. Zároveň budou mít právo na to požádat o smazání či takzvané zapomenutí osobních údajů, pokud nebude existovat další právní důvod pro jejich zpracování.
Kdo za to může?
Spolu se zavedením GDPR souvisí i takzvaný princip zodpovědnosti. Podle něj budou mít správci a zpracovatelé osobních údajů povinnost zavést technická, organizační a procesní opatření, která povedou ke zvýšení ochrany dat a ke snížení rizika jejich zneužití. Zároveň budou muset dokumentovat, že zpracovávají opravdu pouze takové údaje, které jsou ke konkrétnímu účelu nezbytně nutné. Všechny záznamy pak budou muset na žádost zpřístupnit dozorovým orgánům, jež budou veškeré povinné operace monitorovat.
Kromě vlastního zabezpečení dat budou muset firmy vyřešit, kdo v podniku ponese za tuto oblast odpovědnost. Většina lidí, včetně IT profesionálů se domnívá, že za vážnější porušení ochrany dat by měl zodpovídat výkonný ředitel společnosti. To je ale velmi diskutabilní, protože vrcholové vedení se často o porušení ochrany dat vůbec nedozví, navíc velká část narušení nebo pokusů o ně není vůbec zjištěna. V nedávném průzkumu společnosti Accenture více než polovina oslovených odborníků na bezpečnost (51 %) přiznává, že trvá měsíce, než se sofistikovaná narušení podaří odhalit, a bezpečnostní týmy vůbec neodhalí celou třetinu úspěšných narušení bezpečnosti.
„Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody,“ uvádí Dagmar Mikulová, finanční ředitelka Počítačové školy Gopas. „Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické,“ dodává Dagmar Mikulová.
Úniky dat, včetně citlivých osobních údajů, hrozí podle odborníků hlavně třemi cestami. První je špatné zabezpečení proti neoprávněnému přístupu útočníka z internetu. „Zde je možné se chránit technickými prostředky - používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit,“ říká Dagmar Mikulová.
Druhým je takzvaný inside job, tedy krádež dat oprávněným uživatelem zevnitř firmy. „Proti krádeži dat zaměstnancem, který má oprávnění k práci s daty, protože s nimi musí pracovat, se účinně chránit nedá,“ konstatuje Dagmar Mikulová. „Marketingová tvrzení firem vyrábějících takzvané DLP systémy (data leakage prevention) je třeba brát s rezervou. Jediná smysluplná ochrana je rozdělit pracovní náplň zaměstnanců a neumožnit každému přístup ke všem datům,“ dodává Dagmar Mikulová.
Třetí cesta se týká opět zaměstnanců, ale nikoliv již záměrné krádeže, ale nedbalosti či neúmyslné ztráty dat.
Velká starost pro všechny, byznys pro vyvolené
Zatímco velké společnosti, které mají specializovaná IT oddělení s desítkami zaměstnanců, si s nástupem nové směrnice poradí, pro střední a malé firmy to bude obrovský problém. Jediný, kdo se na příchod změny těší, jsou tak specializované IT, poradenské a právní společnosti, které si od nich slibují nové zakázky.
„Obecné nařízení o ochraně osobních údajů, známější jako GDPR, vnímám jako obrovskou šanci pro všechny firmy a instituce k tomu, aby si udělaly pořádek ve svých datech. A nejenom v osobních údajích, ale obecně ve všech souborech a informačních systémech. Datový audit, který je pro sladění s GDPR nutný, je velkou příležitostí udělat si ve svém IT přehled,“ říká Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti (ČIMIB).
Firmám začínají nabízet řešení šitá na míru právě budoucí legislativě. „Reagujeme na žádosti zákazníků, kteří už nyní hledají řešení v souladu s novým nařízením EU. Díky spolupráci se specialisty na IT právo a ochranu osobních údajů nabízíme komplexní posouzení ze všech úhlů pohledu. Audit zahrnuje nejen analýzu firemních technologií a procesů z hlediska bezpečnosti, ale také právních náležitostí smluv, směrnic a jiných dokumentů,“ řekl Pavel Štěpán, obchodní ředitel Konica Minolta Business Solutions Czech.
„Sankce za případné porušení nařízení mohou být přitom pro většinu firem likvidační. Doporučujeme proto svým zákazníkům připravit se na nové nařízení co nejdříve,“ doplňuje Pavel Štěpán.
Pojistky nenahradí fungující zabezpečení
Šanci na nový typ produktu vidí v nástupu nové legislativy také pojišťovny. Ty však již nyní zdůrazňují, že pojištění nemá a nebude nahrazovat systém IT bezpečnosti. Má podle nich fungovat pouze pro nahodilé situace, kdy přes veškerá odpovídající opatření na straně pojištěného přesto dojde ke kybernetickému incidentu.
Pro nadcházející legislativu tak budou muset vyškolit nové odborníky. „Nezbytný bude dostatek kvalifikovaných odborníků upisovatelů, kteří u velkých společností již nebudou posuzovat tradiční rizika a jejich zábranné systémy, ale zaměří se na posouzení zabezpečení IT architektury, IT systémů, a tím i podmínek jejich pojistitelnosti,“ říká Petr Jedlička, vedoucí oddělení pojistné matematiky a analýz České asociace pojišťoven.
Policie České republiky v roce 2016 šetřila 5344 kybernetických zločinů, což je o 321, tedy o 6,4 procenta více než v předchozím roce. Z propočtů České asociace pojišťoven vychází, že v ČR může ročně dojít k až 1,7 miliardy kybernetických útoků s potenciálními celkovými ztrátami v případě úspěchu útoku ve výši až 5,4 miliard korun.
Dopad kybernetického rizika pro firmu představuje paradoxně zásah z obou stran. Společnost je jak přímou obětí kybernetického útoku, tak současně viníkem, který nese odpovědnost za následné škody vůči svým klientům.