Při přípravě na GDPR se nezapomeňte pojistit

V říjnu jsme si připoměli nejen Evropský měsíc kybernetické bezpečnosti, ale také to, že zbývá již jen půl roku, než nabude účinnosti evropské Obecné nařízení o ochraně osobních údajů (GDPR).

Dobrá zpráva je, že naplnění povinností vyplývajících z GDPR výrazně zvýší úroveň bezpečnosti a přístupy, které stanoví pro osobní údaje, mohou zásadním způsobem přispět i k ochraně jiných podnikových dat.

Nařízení sjednocuje ochranu osobních údajů v zemích unie a nahrazuje veškerou platnou legislativu, která tuto problematiku upravuje. Vztahuje se na osobní údaje občanů členských států EU bez ohledu na to, kde jsou data zpracovávána - tedy i na zahraniční firmy působící v Evropě. Vzhledem k tomu, že předpis je na jednu stranu komplikovaný a klade na firmy značné nároky a na druhou stranu zavádí velmi citelný finanční postih za porušení povinností - pokutu až 20 milionů eur nebo 4 % globálního ročního obratu firmy -, je na přípravy příslovečných za pět minut dvanáct.

Jako první krok uvádění podnikové praxe zpracování osobních údajů do souladu s GDPR je posouzení míry potenciálních rizik pro osobní údaje, tedy podrobný přehled o tom, kdo má k údajům přístup, z jakých aplikací a jak s nimi nakládá. Podnik musí také ustanovit zvláštního pověřence pro ochranu osobních údajů, který je odpovědný přímo nejvyššímu vedení. Podniky musí podle GDPR být rovněž schopné kdykoli a ihned na požádání prokázat soulad.

Aniž by to jakkoli blíže specifikoval, nařizuje nový předpis zavést taková opatření technického a organizačního rázu, která zajistí náležité zabezpečení osobních údajů, včetně ochrany před neoprávněným či protiprávním přístupem a náhodnou ztrátou, zničením nebo poškozením. Součástí technických opatření je i umožnění sledování každodenního nakládání s regulovanými osobními údaji a záznam veškeré aktivity týkající se zpracovávaných údajů.

Pojištění jako součást řízení rizik

Podniky v případě kybernetických útoků a jiných bezpečnostních událostí čelí celé řadě potenciálních negativních důsledků - ztrátě cenných dat, zisku, důvěry a dobrého jména. Součástí opatření k řešení důsledků kybernetických útoků, ale i škod způsobených nedbalým nebo nedovoleným jednáním zaměstnanců se stále častěji stává pojištění kybernetických rizik, tzv. cyber liability nebo cyber insurance. Jedná se de facto o analogii běžných typů pojištění - majetkového, rizika přerušení provozu a odpovědnosti.

Nabídka pojišťoven se postupně rozrůstá a pokrývá celé spektrum pojištění kybernetických rizik, včetně pojištění proti napadení dat počítačovým virem, stále aktuálnějšímu vydírání počítačové sítě s požadavkem na výkupné, proti ztrátě zisku způsobené narušením sítě nebo systémů a dalších rizik.

V souvislosti s Obecným nařízením na ochranu osobních údajů jsou klíčové především dva druhy pojištění. Jedná se o pojištění odpovědnosti za data třetí osoby, tedy mimo jiné zpracovávané osobní údaje a důvěrné informace, v případě neoprávněného zpřístupnění či zveřejnění dat nebo odcizení zařízení, které obsahuje data. Pojištění může krýt nejen náhradu škody, ale i náklady právního zastoupení a náklady na oznámení ztráty nebo úniku dat poškozeným osobám a regulatorním orgánům. Druhým typem je pojištění povinnosti vůči dozorovým orgánům, to znamená pojištění právních nákladů, finančních postihů a jiných sankcí v případě nedodržení zákonných povinností.

Článek byl publikován v ICT revue 11/2017.