Brusel od budúceho roka mení reguláciu v oblasti ochrany osobných údajov. Popri úprave procesov a IT nástrojoch by firmy nemali zabúdať ani na poistenie pred rizikami vyplývajúcimi z novej regulácie. Pokuty môžu byť astronomické.
Aké zmeny GDPR prináša pre firmy
Po novom majú byť pod ochranou akékoľvek informácie a údaje, ktoré vedú k identifikovaniu osobných údajov jednotlivcov (napríklad aj v oblasti genetiky, duševného zdravia, kultúrnej, ekonomickej a sociálnej situácie). Novou reguláciou sa tak rozširuje skupina informácií, ktoré sa považujú za osobné údaje. Pre firmy sa sprísňujú pravidlá preukazovania platného súhlasu s použitím osobných údajov. Tiež budú mať podľa novej európskej legislatívy predpísané zriadiť pozíciu inšpektora pre ochranu osobných údajov. Tam kde je riziko narušenia súkromia vysoké, musia firmy a organizácie po novom posudzovať riziká a dopady narušenia súkromia klientov.
„Každá firma či organizácia i mimo EÚ, ktorá pracuje s dátami občanov EU, musí adaptovať a dodržiavať zásady a požiadavky GDPR regulácie. Prakticky má globálnu pôsobnosť. Je to v podstate prvýkrát, kedy európska legislatíva presadzuje princípy ochrany osobných údajov svojich občanov pre zvyšok sveta,“ hovorí Martin Michal, riaditeľ RENOMIA na Slovensku a člen prezídia Slovenskej asociácie sprostredkovateľov v poisťovníctve.
Pravidlá, ktoré tak budú musieť budúci rok prijať aj firmy a organizácie na Slovensku, sú naozaj široké. Okrem iného sa tiež zavádza povinnosť hlásiť úradom narušenie ochrany či únik osobných údajov, a to najneskôr do 72 hodín od udalosti. Platiť má aj princíp minimalizácie údajov, t.j. organizácie a firmy nesmú držať údaje dlhšie, než je nutné. Musia si zabezpečiť dôkladné skartovanie už nepotrebných dát.
Martin Michal upozorňuje, že v dnešnej dobe je príležitostí na únik osobných dát neskutočne veľa. Okrem straty či odcudzeniu dôležitých informácií a dát alebo samotného hardwaru sú to tak časté kybernetické útoky, pokusy hackerov alebo aj terorizmus. Na poškodené firmy a organizácie môžu mať tieto udalosti nedozerné následky v podobe straty dôvery, reputácie, poškodenia dobrého mena, no tiež spôsobujú vážne finančné škody.
„Každopádne odporúčame poistiť sa pre prípady zabezpečenia ochrany a bezpečnosti osobných dát. Na dnešnom trhu existujú rôzne verzie poistenia kybernetických rizík, všetko sa dá nastaviť podľa potrieb a požiadaviek klienta,“ povedal Martin Michal.
Aké kybernetické riziká je možné poistiť
Medzi najčastejšie druhy poistenia kybernetických rizík tak patrí strata či krádež osobných citlivých údajov alebo firemných dát či hackerské útoky. Z poistky sú potom obvykle hradené:
- škody a náklady na právne zastúpenie v súvislosti so zodpovednosťou voči tretím stranám,
- forenzný IT audit, ktorý identifikuje rozsah úniku dát a informácií,
- náklady na PR a oficiálne oznámenie úniku verejnosti a dozorným orgánom,
- náklady na jednanie pred dozornými orgánmi a nimi udelené pokuty,
- výpadky siete, prerušenie prevádzky.
Pravdepodobnosť a závažnosť rizík
Aké škody spôsobili kybernetické útoky
Existuje viacero príkladov, kedy došlo k skutočne vážnym škodám v dôsledku kybernetických útokov. Pre ilustráciu uvádzame tri príklady.
Hackerský útok a následné zverejnenie tisícov osobných údajov pacientov zo zdravotných kariet:
- náklady na IT expertov s účelom zistenia príčiny útoku a presného počtu zverejnených údajov,
- náklady na oznámenia (informačný list všetkým pacientom a zriadenie call centra),
- náklady na PR (zlepšenie reputácie a dobrej povesti nemocnice),
- pokuta udelená dozorným orgánom za zverejnenie citlivých informácií,
- celková škoda cca 100 000 EUR.
Únik osobných údajov pacienta:
- osobnostná ujma pacienta, znemožnenie výkonu povolania z dôvodu zverejnenia zdravotného stavu,
- žaloba o finančnú kompenzáciu zo strany pacienta,
- pokuta udelená dozorným orgánom za zverejnenie citlivých informácií o pacientovi – celková škoda 200 000 EUR.
Útok hackerov na PC sieť obchodného reťazca:
- nasleduje - odcudzenie údajov o účtoch a platobných kartách,
- finančná ujma držiteľov platobných kariet – viac ako 12 500 000 EUR,
- náklady na IT expertov, oznámenia a PR – cca 1 800 000 EUR.