21
máj
Téma GDPR, ako nového nariadenia, ktoré má slúžiť k zlepšeniu ochrany pri zbere osobných údajov fyzických osôb naberá na obrátkach predovšetkým v spojení s online podnikaním. Nové nariadenie EÚ, ktoré vstupuje do platnosti 25. 05. 2018 (máj tohto roka) je pre mnohých online podnikateľov strašiakom. Nové zmluvné podmienky, konfigurácia a optimalizovanie webov, nutnosť zálohovania či úprava súhlasov so spracovaním osobných údajov a všetko naokolo spôsobuje stres a občas aj rozhorčenie.
Názor odborníka na tému GDPR
Expert v oblasti informačnej bezpečnosti Michal Danilák na podujatí Asseco v izraelskom Tel Avive hovoril práve o nariadení GDPR a bodoch, ktoré nové nariadenie stanovuje a či vôbec dokáže prispieť k zvýšeniu bezpečnosti pri práci s osobnými údajmi.
V zásade potvrdil, že samotné body a regulácie sú nástrojom, ktorý má inštitúcie ale aj veľké firmy (Google, Microsoft, Apple…) prinútiť, aby s údajmi bolo nakladané privátne a zdopvoedne. Vyzdvihoval predovšetkým úlohou GDPR pri ochrane spotrebiteľa a jeho informovanosti. Fyzickej osobe vzniká množstvo práv, ako napríklad právo vedieť, kto s osobnými údajmi nakladá, aké údaje vlastní, prípadne právo byť vymazaný. Podľa Michala Danilák tak nariadenie GDPR rozhodne môže prispieť minimálne k zvýšeniu kontroly pri zbere osobných údajov.
Pochybnosti o účinnosti GDPR
Ešte v roku 2017 v Bratislave prebehla konferencia o IT bezpečnosti Judgment day 12, kde sa rozoberala práve účinnosť GDPR. Nové nariadenie so sebou prináša množstvo „upgradov“. Oproti pôvodnému zákonu č. 122/2013 Z.z Zákon o ochrane osobných údajov presne vymedzuje rôzne pojmy a opatrenia, ktoré je nutné zavádzať.
Definuje pojem osobný údaj, nariaďuje určiť zodpovednú osobu za spravovanie a ochranu osobných údajov, stanovuje riadny a zrozumiteľný súhlas klienta a rovnako tak zavádza opatrenia priamo do IT systému (programu), ktorý bude osobné údaje spracúvať. Všetky tieto body majú zabezpečiť zvýšenie ochrany osobných údajov dotknutých osôb.
Kybernetická bezpečnosť, o ktorej na konferencii v roku 2017 hovoril aj uznávaný odborník na informačnú bezpečnosť David Clarke, je však opatrný. Clarke avizuje, že ani splnenie všetkých bodov v súlade s GDPR neznamená, že vaše dáta sú 100 % v bezpečí. Clarke dával do pozornosti hlavne zálohovanie a šifrovanie údajov, hoci ide o zložitejší proces môže proti zneužitiu dát značne pomôcť. V rámci nariadenia GDPR a kybernetickej bezpečnosti poznamenal, že zosúladenie s GDPR môže do značnej miery prispieť k zabráneniu úniku osobných údajov. Dodal by však bod, kedy by šifrovanie údajov bolo povinnosťou.
Účinnosť GDPR spochybnili viacerí odborníci. Mnohí tvrdia, že formulovanie nových pravidiel a regulácií trvajúce niekoľko rokov spôsobilo, že technológie a informačné prvky sa posunuli vpred a GDPR je tak v niektorých prípadoch o krok pozadu.
IT bezpečnosť a GDPR
Nemožno predpokladať, že vývoj informačných technológií pôjde ruka v ruke s kybernetickou bezpečnosťou. Či chceme alebo nie, bezpečnosť je v oblasti trhu (podnikania) vždy druhotným faktorom, respektíve je naozaj o krok pozadu. Tak či tak to však neznamená, že prvky kybernetickej bezpečnosti a teda aj samotné GDPR nie je nutné zavádzať. Pochopiteľne, táto povinnosť zaviesť pravidlá GDRP vzniká všetkým podnikateľom a osobám (sprostredkovateľom), ktorí akýmkoľvek spôsobom pracujú s osobnými údajmi.
GDPR pri nedodržaní hrozí vysokými sankciami, ktoré pre mnohé podniky môžu byť až likvidačné. Pokuta do výšky 20 000 000 eur alebo 4 % svetového ročného obratu firmy za minulé účtovné obdobie pôsobí naozaj hrozivo. Vysoké sankcie však majú slúžiť ako prirodzená kontrola dodržiavania nových nariadení.