Obecné nařízení pro ochranu osobních údajů je známé spíše pro zkratkou GDPR, v platnost vstoupilo přesně před rokem 25. května 2018 (schváleno bylo ale mnohem dříve v roce 2016).
GDPR vzniklo především proto, aby sjednotilo pravidla napříč Evropou.
Okolo nového nařízení se v mediálním prostoru strhla diskuze, mluvilo se především o obrovských pokutách, které lze na základě nařízení uložit. Místy se šířila téměř panika. Paradoxně pro české firmy nepřinášelo nařízení tolik změn, protože původní český zákon 101/2000 Sb. chránil osobní údaje také velmi přísně.
GDPR vzniklo především proto, aby sjednotilo pravidla napříč Evropou. Navíc nařizuje stejné podmínky všem firmám, které nabízejí své služby či produkty Evropanům. Svá pravidla musely změnit i giganty jako Facebook či Google. Nově mají veškerou odpovědnost firmy, které osobní data používají, musejí dokonce ručit i za systémy či služby třetích stran, které plánují využívat.
Lidé si začínají více uvědomovat hodnotu svých dat
Veřejná debata o GDPR pomohla zlepšit povědomí lidí o hodnotě jejich vlastních údajů. Podle výročních zpráv dostal český Úřad pro ochranu osobních údajů dvojnásob dotazů s podnětů k prošetření.
- 3 616 podnětů a stížností
- 260 vážných úniků, které ohrozily práva fyzických osob
- Pokuty v celkové výši přes 7 milionů Kč
Nejčastější porušení jsou především právního charakteru: nejčastěji se jednalo o zákonnost zpracování (4 případy), nesplnění informační povinnosti (3 případy) v dalších 3 případech pak úřad zjistil nedostatky v zabezpečení zpracování dat. V několika případech pak firmy neměly v pořádku administrativní povinnosti – tedy různé smlouvy či záznamy.
Neznalost je stále největší riziko
Podle našich zkušeností pomohlo nařízení výrazně modernizovat technologické zázemí firem. Nejde jen o modernější servery ale také o sofistikovanější metody ochrany dat. Firmy se více zajímají o šifrování disků nebo více faktorovou autentizaci pro přístup k citlivým datům.
Největším rizikem tak zůstává lidská chyba. Bohužel nejčastějším vektorem šíření malware jsou stále e-mailové schránky. Stačí tak obyčejná neznalost zaměstnance, aby mohlo dojít k závažnému incidentu. V tomto stále vidíme prostor pro zlepšení do dalších let.
Firmy by se měly krom klasického školení bezpečnosti práce zaměřit i na vzdělávání svých zaměstnanců v oblasti kybernetické bezpečnosti. Technologie nás ostatně budou obklopovat čím dál více a je dobré být si vědom možných rizik. Základy bezpečné práce v kyberprostoru by měl ovládat úplně každý.