Možné pokuty GDPR zná jen jedna z deseti firem
Většina firem je s novou regulací GDPR obeznámena, finanční dopady si však neuvědomují.
Za rok, přesně 25. května 2018, vstoupí v platnost ve všech státech Evropské unie, včetně České republiky nové nařízení na ochranu osobních údajů, známým pod názvem GDPR neboli General Data Protection Regulation. Připravit na něj by se měly všechny subjekty, které jakýmkoliv způsobem zpracovávají osobní údaje fyzických osob. Týká se to tedy nejen zadavatelů, kteří shromaždují kontakty na zákazníky, ale i vydavatelů, kteří pracují se svou předplatitelskou bází. Aktuální výzkum společností Trend Micro a WMware, který vznikl ve spolupráci s výzkumnou agenturou Ipsos, však ukazuje, že české firmy jsou sice s GDPR většinou již obeznámeny, zatím si ale příliš neuvědomují možné dopady, které je za narušení bezpečnosti osobních údajů mohou potkat.
Podcení-li firmy totiž svou přípravu, může je za narušení bezpečnosti osobních údajů postihnout pokuta až ve výši 20 milionů eur nebo 4 % z celkového obratu za uplynulý finanční rok. Výše pokuty se přitom bude odvíjet nejen od míry škody, ale také od kroků, které firmy pro ochranu osobních údajů učinily. Téměř 8 z 10 firem o GDPR ví, přičemž jeho znalost je o něco vyšší na Slovensku (89 %) než v České republice (69 %). Potenciální výši pokut si však uvědomuje jen jedna z 10 obeznámených firem. O možnosti pokuty ve výši 4 % z obratu ví pouze 8 % ze 151 dotázaných českých a slovenských firem. Respondenty přitom byly osoby, které mají na starosti osobní údaje a jejich bezpečnost ve firmách s více než 100 zaměstnanci.
„Nové nařízení se soustředí na otázku otevřenosti problematiky ochrany údajů – každý případ narušení bezpečnosti, únik dat či neoprávněná manipulace s nimi musí být obeznámen klientům firmy a informaci o takové skutečnosti musí obdržet příslušný regulátor. To má ukončit dosavadní praxi, kdy se narušení bezpečnosti před veřejností utajovalo, což vedlo k všeobecnému ignorování tohoto problému jako údajně málo důležitého a nevyžadujícího jakékoliv investice. I z tohoto důvodu je jednou z novinek nařízení povinnost zavést odpovídající bezpečností technologie,“ popisuje Robin Say ze společnosti Trend Micro.
Většina českých firem (82 %) se domnívá, že má nejvyšší možnou míru ochrany proti narušení bezpečnosti údajů už nyní. Více než pětina z nich (22 %) si je tím jista, 60 % je o tom téměř přesvědčena. Zároveň však jako největší hrozbu pro bezpečnost dat uvádějí firmy na prvním místě náhodnou ztrátu údajů zaměstnanci (29 %), možnost kyberzločinu (28 %) a úmyslné odcizení údajů zaměstnanci (23 %).
Z tohoto důvodů je kromě bezpečnostní technologie potřeba investovat i do školení zaměstnanců. „Firma musí investovat do technologií, ale ta bohužel nezamezí tomu, aby si zaměstnanec pošle údaje z pracovního počítače na soukromý e-mail s tím, že s nimi bude pracovat doma,“ dodává Marek Bražina z firmy VMware. Zintenzivnit školení zaměstnanců o ochraně dat plánuje kvůli GDPR 69 % firem. Polovina firem (50 %) hodlá také navýšit své investice do bezpečnosti IT nebo zvyšovat pojištění pro případ narušení bezpečnosti (23 %).
Nařízení GDPR také přiznává fyzickým osobám právo „být zapomenut“, tedy okamžitého vymazání osobních údajů. Veřejnosti je z minulosti znám například případ Maria Gonzáleza, jehož stížnosti na Google v roce 2014 vyhověl Soudní dvůr EU. Vyhledávač po soudním rozhodnutí musel vymazat irelevantní a zastaralá“ soukromá data týkajícího se Gonzálezova dluhu. Podle průzkumu však celých 41 % firem není schopno toto právo být zapomenut uplatnit.
Více o GDPR si můžete přečíst také zde. |
-stk-