Nariadenie Európskej únie o ochrane osobných údajov, takzvané General Data Protection Regulation (GDPR), síce začne platiť až od 25. mája budúceho roku, ale obchodníci by nemali podceňovať prípravu. Za porušenie nariadenia, ktoré ochranu osobných údajov výrazne sprísňuje, hrozia pokuty až dvadsať miliónov eur, prípadne štyri percentá z celého ročného obratu.
Hlavným cieľom opatrenia je dať občanom z jednotlivých krajín Európskej únie väčšiu kontrolu nad tým, ako sa zaobchádza s ich osobnými údajmi, a zároveň im poskytnúť lepšiu ochranu. Ľudia budú mať prístup k dátam, ktoré o nich spoločnosti zhromažďujú. Zároveň získajú právo požiadať o zmazanie či takzvané zabudnutie osobných údajov, ak už nebude ďalší právny dôvod ich uchovávať.
So zavedením GDPR súvisí i takzvaný princíp zodpovednosti. To znamená, že správci či spracovatelia osobných údajov budú mať povinnosť zaviesť také opatrenia, ktoré povedú k zvýšeniu ochrany dát a k zníženiu rizika ich zneužitia. Zároveň budú musieť zdokumentovať, že spracovávajú len také údaje, ktoré sú nutné. Všetky záznamy tiež budú musieť na požiadanie sprístupniť dozorovým orgánom.
Zaistiť súlad s GDPR je časovo náročné, a je preto vhodné začať s tým v dostatočnom predstihu. Správci osobných údajov musia požiadať ľudí, aby im dali súhlas ku spracovaniu osobných dát v rozsahu, ktorý určuje nová regulácia. Z prieskumu medzi slovenskými a českými manažérmi, ktorý uskutočnili spoločnosti Trend Micro a VMware, vyplynulo, že osem z desiatich firiem o európskom nariadení vie. Iba jedna z desiatich oboznámených firiem však správne chápe výšku pokút za porušenie predpisu. O pokute, ktorá môže dosiahnuť až štyri percentá z celkového ročného obratu spoločnosti, však vie len osem percent slovenských a českých firiem.
Namiesto zhromažďovania dát ich ochrana
„Doterajší prístup spočíva v dodržiavaní určitých procedúr pri spracovávaní osobných údajov s cieľom informovať obyvateľa o samotnej skutočnosti zhromažďovania takýchto údajov. Nové nariadenie sa sústreďuje na ochranu údajov – každý prípad narušenia bezpečnosti, únik dát či neoprávnená manipulácia s nimi musia byť oznámené klientom firmy a informáciu o takejto skutočnosti musí obdržať aj príslušný regulátor. To má ukončiť doterajšiu prax, kedy sa narušenie bezpečnosti pred verejnosťou utajovalo, čo viedlo k všeobecnému ignorovaniu tohto problému ako údajne málo dôležitého a nevyžadujúceho akékoľvek investície. Aj z tohto dôvodu je jednou z noviniek nariadenia povinnosť zaviesť zodpovedajúce bezpečnostné technológie,“ uviedol k novej úprave Robin Bay, Sales Engineer zo spoločnosti Trend Micro. Ako najväčšiu hrozbu pre bezpečnosť údajov uvádzajú firmy na prvom mieste náhodnú stratu údajov zamestnancov (29 %), nasleduje možnosť kyberzločinu (24 %) a úmyselné odcudzenie údajov zamestnancov (23 %).
„Všeobecné nariadenie o ochrane osobných údajov vnímam ako obrovskú šancu pre všetky firmy a inštitúcie, aby si urobili poriadok vo svojich dátach. A nielen v osobných údajoch, ale všeobecne vo všetkých súboroch a informačných systémoch. Dátový audit, ktorý je pre zladenie s GDPR potrebný, je veľkou príležitosťou urobiť si prehľad vo svojom IT,“ konštatoval Aleš Špidla, prezident Českého inštitútu manažérov informačnej bezpečnosti.
Osobnými údajmi budú aj e-mail či IP adresa počítača
Nariadenie sa týka aj internetových obchodov. Meno, adresa, dátum narodenia, rodné číslo či informácie o platobnej karte, to sú dáta, ktorých zneužitie môže mať veľké následky. Práve e-shopy s osobnými údajmi zákazníkov pracujú každý deň. S novou legislatívou dochádza tiež k rozšíreniu definície osobných údajov. Po novom sem patria i technické parametre, ako sú e-mail, IP adresa či súbory cookie v zariadení užívateľa. Úplne novou kategóriou sú genetické a biometrické údaje.