Takmer štyri z desiatich firiem sa ešte nezačali pripravovať na splnenie požiadaviek európskeho nariadenia GDPR – General Data Protection Regulation. Prísnejšia ochrana osobných údajov pritom začne platiť už o menej ako štyri mesiace a príprava je veľmi náročná. Časť firiem to teda nemusí stihnúť. Vyplýva to z prieskumu TÜV SÜD Slovakia* medzi desiatkami slovenských firiem. Drvivá väčšina z nich zároveň očakáva, že zavedenie GDPR ich bude niečo stáť.
Ilustračné foto: Pixabay.com
Prieskum TÜV SÜD Slovakia* medzi slovenskými firmami ukázal alarmujúce fakty – 36 % firiem sa ešte nezačalo pripravovať na prísnejšiu ochranu osobných údajov. Vyše štvrtina (28 %) sa dokonca s novou reguláciou ani neoboznámila. Nariadenie začne platiť 25. mája tohto roka v celej Európe.
„Väčšina spoločností na Slovensku neriadi informačnú bezpečnosť dostatočne a môže byť pre ne veľmi náročné splniť všetky nové pravidlá. Zavedenie GDPR môže v závislosti od veľkosti a zamerania firmy, a takisto aj v závislosti od doterajšieho nastavenia informačnej bezpečnosti vo firme trvať 3 až 12 mesiacov. Je teda možné, že časť z nich to nestihne a vystavia sa riziku vysokých pokút,“ upozorňuje audítorka TÜV SÜD Slovakia Katarína Heiserová. Pokuty sa môžu vyšplhať až do 4 % celosvetového obratu firmy alebo do výšky 20 miliónov eur. Lepšiu východiskovú pozíciu majú tie firmy, ktoré majú zavedené medzinárodné normy v oblasti riadenia procesov (ISO 9001) a v oblasti informačnej bezpečnosti (ISO 27001). „Firmy, ktoré majú zavedené ISO 27001, majú prípravu na GDPR významne uľahčenú a zároveň systematicky zabezpečia kontinuitu súladného spracúvania osobných údajov aj po ukončení implementácie požiadaviek nariadenia. Využitím frameworku ISO 27001 tak spoločnosti lepšie ošetria možné riziká nesúladného spracúvania osobných údajov v dôsledku organizačných a iných zmien, napr. personálnych,“ potvrdzuje K. Heiserová.
General Data Protection Regulation sa podľa odhadov slovenských úradov dotkne vyše pol milióna firiem na Slovensku a vyžiada si zmeny v procesoch a systémoch za vyše 40 miliónov eur. A firmy si to uvedomujú. Podľa prieskumu TÜV SÜD Slovakia takmer osem z desiatich firiem očakáva dodatočné finančné náklady spojené so zavedením GDPR.
Odborníci upozorňujú, že nejde len o hrozbu vysokých pokút, ale aj o reálne škody, ktoré môže slabá ochrana dát firme spôsobiť. „Každý zamestnanec, ktorý prichádza do styku s osobnými údajmi by mal vedieť, aké sú jeho povinnosti podľa nariadenia GDPR. Neznalosť a nekonanie môže mať pre firmu až likvidačné následky. Najčastejšie bezpečnostné incidenty vznikajú práve z nedostatočného povedomia o legislatíve a pravidlách. Keďže GDPR prináša menšiu revolúciu v oblasti ochrany dát, vzdelanie v tejto oblasti považujem za absolútne kľúčové,“ upozorňuje K. Heiserová.
TÜV SÜD Slovakia pomáha firmám s prípravou. Organizuje rozsiahle vzdelávanie vo viacerých formách:
- E-learningový kurz pre manažérov alebo administratívnych pracovníkov spracúvajúcich osobné údaje.
- Praktické školenie, ako krok po kroku zvládnuť implementáciu GDPR.
- Vzdelávanie zodpovedných osôb, tzv. DPO (Data Protection Officer-ov).
Cieľom regulácie je zvýšiť ochranu osobných údajov. Kladie vyššie nároky na prevádzkovateľov a posilňuje niektoré nároky spotrebiteľov. „Všeobecne práva spotrebiteľov, alebo rečou GDPR práva ´dotknutých osôb´, nie sú novinkou v oblasti ochrany osobných údajov. Existovali aj v minulosti, ale GDPR ich významne rozširuje,“ myslí si expertka TÜV SÜD Slovakia Katarína Matejčíková. Podľa GDPR budú mať napríklad spotrebitelia jednoduchší prístup k vlastným osobným údajom, právo na ich prenos k inému prevádzkovateľovi či právo na ich vymazanie. Zároveň sa dozvedia, ak firmy či úrady o ich údaje prídu a mohlo by ich to ohroziť. Stop marketingovým ponukám bude jednoznačnejší. Prevádzkovatelia, teda najmä firmy, budú musieť tieto práva zabezpečiť a takisto splniť prísnejšie podmienky bezpečného spracovania údajov napríklad formou šifrovania.
Zdroj: TÜV SÜD