Evropské nařízení o ochraně osobních údajů neboli GDPR přineslo zásadní obrat v přístupu k ochraně těchto dat. Až do začátku jeho účinnosti loni v květnu musely společnosti a instituce, které s těmito údaji pracují, zaslat před zahájením jejich zpracování až na výjimky oznámení Úřadu pro ochranu osobních údajů. Podle evropského nařízení už ale hlášení předem není třeba.
Jde o takzvaný přístup založený na riziku. Jinými slovy, každý správce je podle GDPR sám zodpovědný za vyhodnocení rizik plynoucích z práce s osobními údaji. Tento přístup prostupuje celým nařízením.
Jednou z oblastí, kde je potřeba řešit tato rizika, je jejich zabezpečení. A to s přihlédnutím k různě pravděpodobným a různě závažným ohrožením práv a svobod lidí. Neexistuje tedy přesně stanovené pravidlo, jak mají podniky a instituce jednotlivé údaje zabezpečit, aby předešly incidentům.
Ale ani definici rizika v nařízení nenajdete. Existují pouze interpretační vodítka, co může být považováno za rizikové zpracování. Obecně se tímto pojmem rozumí situace, ve které může člověk, o jehož údaje jde, utrpět škodu. Jde tedy o velmi subjektivní pojem. To, co pro jednoho správce může znamenat vysoké riziko, pro jiného může být zanedbatelné.
Obecná pravidla, která mohou podniky a instituce využít jako základní vodítko pro hodnocení rizik, nicméně existují. Nejprve je potřeba identifikovat rozsah zpracovávaných údajů a zařadit je do specifických kategorií, například podle účelu zpracování. Následně je potřeba identifikovat, jaké hrozby jsou spojené se zpracováním, jaká potenciální újma z dané hrozby vyplývá, jak je pravděpodobná a závažná. Hrozbou může být například ztráta dostupnosti, kdy firma nebo instituce nedokáže klienty informovat o tom, jaké údaje o nich zpracovává, porušení zabezpečení dat či ztráta důvěrnosti.
Podle tohoto vyhodnocení následně správce může operovat s tím, jak důsledně osobní údaje zabezpečit, od pouhého zamykání dokumentů a poučení zaměstnanců, kteří se dostávají do kontaktu s osobními údaji, až po šifrování dat. Důležité je poznamenat, že nulové riziko neexistuje. Avšak každý správce musí všechna rizika minimalizovat na co nejmenší možnou míru. Zároveň toto posuzování a snaha o snížení hrozeb nemají být činností jednorázovou, ale pravidelnou, neboť rizika se mohou v průběhu zpracování měnit. Jenže málokterý podnik nebo instituce se zaměří na vyhodnocení rizik, která ze zpracování plynou a která mohou způsobit bezpečnostní incidenty.
To může vést k nedostatečnému výběru zabezpečení údajů nebo špatnému poučení zaměstnanců. Může se pak stát, že ti pak například ukládají údaje o zákaznících na pracovní ploše počítače bez jakékoliv ochrany nebo přepošlou celou databázi zákazníků přes nechráněné veřejné úložiště dat. Bezpečnostní incident je na světě. Pokud by si podnik rizika předem vyhodnotil, mohl by například znepřístupnit webové stránky veřejných úložišť na pracovních počítačích či personál proškolit v oblasti bezpečnosti.
Vzhledem k pokutám za chyby v ochraně osobních údajů, které mohou podle evropského nařízení dosáhnout až 20 milionů eur nebo čtyř procent z celosvětového obratu podniku, může mít takové opomenutí fatální následky. Opomenutí může také poškodit zákazníky a partnery, jejichž osobní údaje byly případným incidentem dotčeny. To může mít devastující následky pro image podniku.
Zdroj: www.ihned.cz
