V říjnu jsme si připoměli nejen Evropský měsíc kybernetické bezpečnosti, ale také to, že zbývá již jen půl roku, než nabude účinnosti evropské Obecné nařízení o ochraně osobních údajů (GDPR).
Dobrá zpráva je, že naplnění povinností vyplývajících z GDPR výrazně zvýší úroveň bezpečnosti a přístupy, které stanoví pro osobní údaje, mohou zásadním způsobem přispět i k ochraně jiných podnikových dat.
Nařízení sjednocuje ochranu osobních údajů v zemích unie a nahrazuje veškerou platnou legislativu, která tuto problematiku upravuje. Vztahuje se na osobní údaje občanů členských států EU bez ohledu na to, kde jsou data zpracovávána - tedy i na zahraniční firmy působící v Evropě. Vzhledem k tomu, že předpis je na jednu stranu komplikovaný a klade na firmy značné nároky a na druhou stranu zavádí velmi citelný finanční postih za porušení povinností - pokutu až 20 milionů eur nebo 4 % globálního ročního obratu firmy -, je na přípravy příslovečných za pět minut dvanáct.
Jako první krok uvádění podnikové praxe zpracování osobních údajů do souladu s GDPR je posouzení míry potenciálních rizik pro osobní údaje, tedy podrobný přehled o tom, kdo má k údajům přístup, z jakých aplikací a jak s nimi nakládá. Podnik musí také ustanovit zvláštního pověřence pro ochranu osobních údajů, který je odpovědný přímo nejvyššímu vedení. Podniky musí podle GDPR být rovněž schopné kdykoli a ihned na požádání prokázat soulad.
Aniž by to jakkoli blíže specifikoval, nařizuje nový předpis zavést taková opatření technického a organizačního rázu, která zajistí náležité zabezpečení osobních údajů, včetně ochrany před neoprávněným či protiprávním přístupem a náhodnou ztrátou, zničením nebo poškozením. Součástí technických opatření je i umožnění sledování každodenního nakládání s regulovanými osobními údaji a záznam veškeré aktivity týkající se zpracovávaných údajů.
Pojištění jako součást řízení rizik
Podniky v případě kybernetických útoků a jiných bezpečnostních událostí čelí celé řadě potenciálních negativních důsledků - ztrátě cenných dat, zisku, důvěry a dobrého jména. Součástí opatření k řešení důsledků kybernetických útoků, ale i škod způsobených nedbalým nebo nedovoleným jednáním zaměstnanců se stále častěji stává pojištění kybernetických rizik, tzv. cyber liability nebo cyber insurance. Jedná se de facto o analogii běžných typů pojištění - majetkového, rizika přerušení provozu a odpovědnosti.
Nabídka pojišťoven se postupně rozrůstá a pokrývá celé spektrum pojištění kybernetických rizik, včetně pojištění proti napadení dat počítačovým virem, stále aktuálnějšímu vydírání počítačové sítě s požadavkem na výkupné, proti ztrátě zisku způsobené narušením sítě nebo systémů a dalších rizik.
V souvislosti s Obecným nařízením na ochranu osobních údajů jsou klíčové především dva druhy pojištění. Jedná se o pojištění odpovědnosti za data třetí osoby, tedy mimo jiné zpracovávané osobní údaje a důvěrné informace, v případě neoprávněného zpřístupnění či zveřejnění dat nebo odcizení zařízení, které obsahuje data. Pojištění může krýt nejen náhradu škody, ale i náklady právního zastoupení a náklady na oznámení ztráty nebo úniku dat poškozeným osobám a regulatorním orgánům. Druhým typem je pojištění povinnosti vůči dozorovým orgánům, to znamená pojištění právních nákladů, finančních postihů a jiných sankcí v případě nedodržení zákonných povinností.
Článek byl publikován v ICT revue 11/2017.
Přidejte si Hospodářské noviny mezi své oblíbené tituly na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist