Možno si ešte spomeniete na všetky tie žiadosti o súhlas so zasielaním emailov, ktoré ste dostali vlani na jar, skôr ako 25. mája 2018 nadobudlo účinnosť Všeobecné nariadenie o ochrane osobných údajov (GDPR). Od tej doby akoby táto téma upadla do zabudnutia. Stále síce pretrváva určitá neistota ohľadom právnych dopadov nariadenia GDPR, nič menej spoločnosti už tejto problematike nevenujú veľa pozornosti a skôr predpokladajú, že na nich nebude mať dopad.
Tento laxný prístup sa však nevypláca, pretože počas prvého roka účinnosti GDPR boli uložené pokuty v celkovej výške 56 miliónov € a vykonaných bolo viac ako 200 tisíc šetrení, z ktorých 64 tisíc preukázalo porušenie tohto nariadenia[1]. Zďaleka najvyššiu pokutu a to rovných 50 miliónov €, uložila francúzska Národná komisia pre ochranu údajov (CNIL) spoločnosti Google.
Prístup k nariadeniu GDPR a reakcie naň sa v jednotlivých európskych štátoch veľmi líšia. Napríklad na Slovensku a vo Švédsku doposiaľ v súvislosti s GDPR nebola uložená jediná pokuta, kým v Poľsku, Portugalsku a v Španielsku už spoločnostiam boli uložené pokuty vo výške niekoľkých stoviek tisíc eur[2]. 42 uložených pokút a 58 upozornení v súvislosti s GDPR hlási Nemecko, kde priemerná výška finančného postihu činila 16 100 €. Naproti tomu v Holandsku bolo vydaných cez 1 000 upozornení, ale uložená len jediná pokuta, ktorá sa však svojou výškou 600 000 € radí medzi najvyššie[3]. To, či za výšku uložených pokút stojí nesprávne dodržiavanie GDPR v niektorých štátoch alebo laxnejší prístup orgánov na ochranu osobných údajov v iných štátoch, nie je jasné.
Kde teda spoločnosti robia chybu, keď ide o dodržiavanie GDPR?
Slabým článkom sú podnikové siete
Firemná sieť je nielen hlavnou dátovou diaľnicou, ale tiež hlavným cieľom kybernetických útokov. Ani protokoly a postupy pre manipuláciu s osobnými údajmi v súlade s nariadením GDPR nemusia byť nič platné, pokiaľ dôjde k narušeniu zabezpečenia siete. Bez ohľadu na ich veľkosť musí byť pre všetky spoločnosti, ktoré chcú predchádzať porušeniu GDPR a možným vysokým pokutám, prioritou posilniť v záujme ochrany dát svoju sieť.
Za porušenie GDPR spoločnostiam hrozí pokuta až 20 miliónov € alebo 4 % ich ročného celosvetového obratu podľa toho, ktorá hodnota je vyššia. Dodržiavať požiadavky nariadenia GDPR je však naďalej výzvou. Je evidentné, že robenie emailovej marketingovej kampane a aktualizovanie interných dokumentov je omnoho jednoduchšie, ako zavedenie konkrétnych opatrení na ochranu siete a citlivých informácií.
Kybernetická kriminalita predstavuje rastúcu hrozbu, ktorá môže spôsobiť katastrofálne škody. Pretože kybernetickí zločinci prichádzajú so stále dômyselnejšími útokmi na IT infraštruktúru, pre spoločnosti nie je jednoduché chrániť svoje siete a dáta. Bohužiaľ krutou pravdou je to, že žiadnu sieť nie je možné 100 % ochrániť. Nariadenie GDPR našťastie ani nič takého nevyžaduje a iba spoločnostiam ukladá povinnosť vykonávať pre ochranu údajov všetko, čo je v ich silách. To znamená, že spoločnosti potrebujú robustné a spoľahlivé riešenie, ktoré preukazuje ich odhodlanie riadiť prístup do siete a chrániť svoje digitálne aktíva. Viac menej sa zdá, že väčšina spoločností by dnes mala problém preukázať, že ich sieť je tak bezpečná, ako len môže byť.
Nastal čas na lepšiu ochranu
Legislatíva, a to vrátane GDPR, je silná iba do takej miery, ako dôsledné je jej presadzovanie. V tejto súvislosti poradenská spoločnosť Ernst and Young očakáva, že úrady postupne zaujmú striktnejší prístup. „Podľa nášho názoru európski regulátori splnia svoje tohtoročné varovania a začnú ukladať vyššie pokuty,“ hovorí Peter Katko, partner spoločnosti EY.[4] Spoločnosti na tento vývoj a zvýšenú aktivitu úradov pre ochranu údajov musia reagovať v priebehu niekoľko málo mesiacov.
Pokým veľké korporácie si môžu dovoliť na zavedenie a správu bezpečnostných opatrení najať poskytovateľov riadených služieb, tie menšie na to často nemajú finančné prostriedky, ani nedisponujú potrebnými znalosťami. Netreba dodávať, že práve pre malé a stredne veľké spoločnosti môžu byť pokuty za nezavedenie robustnejších opatrení proti kybernetickej kriminalite likvidačné.
Úrady pre ochranu údajov majú právo nie len ukladať pokuty, ale taktiež dočasne alebo trvalo zakázať spracovanie údajov. Zmyslom tohto zákazu, ktorý by mohol ohroziť samotnú existenciu organizácie, najmä pokiaľ zvážime s ním spojené poškodenie povesti, je zabrániť narušeniu dát počas vyšetrovania.
Za účelom zníženia rizík a zaistenia súladu podnikovej siete s požiadavkami nariadenia GDPR môžu malé organizácie prijať niekoľko praktických opatrení. Predovšetkým je celkom zásadné, aby svoje siete budovali podľa najnovších štandardov kybernetickej bezpečnosti a pomocou najmodernejšej sieťovej infraštruktúry, a nespoliehali sa na štandardný domáci router s bežným antivírusovým softvérom. Nastal čas posunúť sa ďalej a ťažiť z výhod nových nástrojov. Napríklad špecializovaná technológia Advanced Threat Protection (ATP) pre pokročilú ochranu pred hrozbami začína byť dostupná stále širšiemu okruhu organizácií, ktoré vďaka nej môžu v reálnom čase monitorovať svoju sieť a chrániť ju pred kybernetickými hrozbami. A práve také riešenie je nutné vzhľadom ku stále rastúcemu počtu a dômyselnosti útokov.
Spoločnosti si už nemôžu dovoliť ďalšie čakanie. Nielenže musia držať krok s požiadavkami úradov pre ochranu údajov, ale taktiež je pre nich nevyhnutné priebežne kontrolovať svoju súčasnú sieťovú infraštruktúru, aby dokázali obmedziť riziko kybernetických útokov. Ďalšou prioritou spoločností musí byť zvyšovanie povedomia ich vlastných zamestnancov o kybernetickej bezpečnosti, aby každý v organizácii poznal spôsoby bezpečného zachádzania s údajmi a dokázal identifikovať bezpečnostné hrozby.
Ešte je čas konať a vyhnúť sa tak pokutám a poškodeniu povesti, ktoré idú ruka v ruke s porušením zabezpečenia údajov. Pokiaľ organizácie nechcú v druhom roku účinnosti GDPR čeliť dokonalej búrke, musia toto nariadenie opäť začať vnímať ako svoju kľúčovú tému.
[1] https://9to5mac.com/2019/05/28/gdpr-fines/
[2] https://www.lexology.com/library/detail.aspx?g=c04317e4-4fc9-43b4-ab6d-bb19210c812d
[3] https://www.it-business.de/42-bussgelder-wegen-dsgvo-verhaengt-a-832733/?cmp=nl-356&uuid=22DB738C-BED8-4648-208145A85C37064B
[4] https://www.it-business.de/42-bussgelder-wegen-dsgvo-verhaengt-a-832733/?cmp=nl-356&uuid=22DB738C-BED8-4648-208145A85C37064B