Firmy ani štát si nevyčlenili peniaze na implementovanie nariadenia o ochrane osobných údajov. Zadarmo sa to však spraviť nedá. Viacerí radšej zaplatia za lacné riešenia. Ak príde Úrad na ochranu osobných údajov na kontrolu, nemusia im takéto riešenia stačiť. Pokuty sa pritom šplhajú až do výšky 20 miliónov eur alebo štyri percentá z ročného obratu.

Ani rok po zavedení GDPR nie sú v mnohých prípadoch osobné údaje lepšie chránené. „Situácia je veľmi podobná stavu pred GDPR,“ konštatuje Igor Straka, audítor spoločnosti TÜV SÜD Slovakia. Pritom kybernetické hrozby podľa neho narastajú geometrickým radom. „Prichádzajú cloudové služby, nová internetová technológia G5, internet vecí, Industry4. Toto všetko zvyšuje aktivitu v kybernetickom priestore nielen užívateľov ale aj hackerov,“ vysvetľuje Igor Straka. Bez dôsledného zabezpečenia je preto takmer nemožné ochrániť osobné údaje ľudí.

Príkladov zavedenia účinného riadenia ochrany osobných údajov v súkromnom aj verejnom sektore je však podľa Pavla Nechalu, advokáta spolupracujúceho s TÜV SÜD Slovakia veľmi málo. „Tradične sú lepšie pripravené sektory, ktoré majú skúsenosti so zložitou zákonnou reguláciou. Môžeme tam zaradiť bankový sektor, poisťovníctvo, utility. Naopak, zavedenie GDPR je výzvou pre výrobné podniky, ale aj marketingové agentúry,“ hovorí Pavel Nechala, advokát spolupracujúci s TÜV SÜD Slovakia.

Rozpočty s GDPR nerátajú

Audítor Igor Straka vcelku pozitívne hodnotí dopad GDPR na počet nevyžiadanej pošty, SMS a predajných telefonátov, ktoré klesli približne na polovicu. Na druhej strane vníma istý stupeň rezignácie v procese implementácie GDPR  zo strany komerčných spoločností ako aj štátu. „Ľudia sa akosi prestali báť dopadov z neplnenia GDPR. Stav zabezpečenia opäť ostal v rovine predpísanej dokumentácie, ale to nestačí. Databázy zostávajú nešifrované, údaje nezabezpečené, dohľadateľnosť nulová a odhaľovanie incidentov je veľká neznáma,“ dodáva Igor Straka.

Databázy zostávajú nešifrované, údaje nezabezpečené, dohľadateľnosť nulová a odhaľovanie incidentov je veľká neznáma.

Toto sa však rovnako dotýka aj súkromných firiem. „Zásadný problém vidím v tom, že analytická časť GDPR sa dá vykonať zaškolenými zamestnancami, ale na špecifické činnosti z odboru informačnej bezpečnosti už treba profesionálov,“ hovorí Igor Straka. Firmy tak nevedia analyzovať riziká ani posúdiť efektívnosť opatrení.

„Na strane verejného sektora vnímame významnú prekážku aj v investičnom deficite do technického vybavenia. To prirodzene ovplyvňuje aj ochranu spracúvania osobných údajov,“ konštatuje Pavel Nechala.

Napriek tomu si ani v roku 2019 nevyčlenili mnohé firmy ale tiež štát financie na to, aby dokázali dodržať náročnejšie požiadavky na ochranu osobných údajov. „Zadarmo sa to žiaľ spraviť nedá. Niečo je možné zmeniť organizačne, zvýšiť povedomie ľudí, ale veľa vecí treba zaplatiť,“ vysvetľuje Igor Straka.

Organizácie preto často siahajú po „lacných“ riešeniach, pričom si nekladú ani základné otázky – ako sa skutočne zlepší moja ochrana osobných údajov, je riešenie vhodné pre moju činnosť a akú zodpovednosť má dodávateľ riešenia za ponúkaný produkt?

Priestor na sankcie je stále veľký

Audítor vidí problém aj v tom, že doteraz padlo len veľmi málo pokút. Spoločnosť Google síce dostala až 50 miliónovú pokutu a portugalská nemocnica 400-tisíc eur, v celej Európskej únii však bolo udelených len minimum pokút. „Sankcie, ktoré môžeme sledovať v okolitých štátoch prichádzajú v prvom rade zjavne za nedodržania informačných povinností. V Poľsku bola za takéto porušenie uložená pokuta vo výške 220 000 eur,“ konštatuje Pavel Nechala.

Slovenský Úrad na ochranu osobných údajov zatiaľ (stav k 17.4.2019) uložil len tri tisíceurové pokuty. Rozhodnutie o nich nie je zatiaľ právoplatné. V jednom prípade išlo o zverejnenie osobných údajov v registri zmlúv na webovej stránke mesta. O ďalšie dve tisíceurové pokuty za zaslúžili konkrétne osoby, ktoré sa sťažovali na porušenie svojich práv.

„Faktom však je, že slovenský Úrad na ochranu osobných patrí k najmenším, čo sa týka počtu zamestnancov ako aj rozpočtu,“ vysvetľuje Pavel Nechala. Očakáva ale nástup uplatňovania práv dotknutých osôb. „Niektoré práva dotknutých osôb nebudú firmy a inštitúcie jednoducho schopné zabezpečiť bez dôkladnej implementácie a riadenia ochrany osobných údajov,“ mieni Pavel Nechala.

Čo treba spraviť na naozajstné zabezpečenie osobných údajov

Stačí použiť overený štandard ISO 27001. Tento štandard na riadenie informačnej bezpečnosti odporúčajú niektoré krajiny EÚ, napríklad Česko ako návod pre technické opatrenia ochrany osobných údajov. Pre spoločnosti, ktoré sa chcú uistiť o dosiahnutí súladu s GDPR, odporúča Igor Straka vykonanie auditu. Na Slovensku spoločnosť TÜV SÜD Slovakia ako jediná vykonáva neakreditovaný audit GDPR. V súčasnosti čaká na definovanie akreditačných podmienok Úradom na ochranu osobných údajov za účelom poskytovania akreditovanej certifikácie súladu s GDPR.

red, 20. 5. 2019