Pre väčšinu slovenských firiem začal od 25. mája platiť nový zákon o ochrane osobných údajov, ktorý vychádza z nariadenia Európskej únie General Data Protection Regulation (GDPR). Nariadenie i zákon sa týkajú firiem, ktoré akýmkoľvek spôsobom spracovávajú osobné údaje občanov EÚ. A ak má vaša firma zákazníkov alebo zamestnancov, osobné údaje určite spracováva.
Nariadenie i nový zákon obsahujú pritom niekoľko finančných a nefinančných pokút, ktoré môže firme udeliť slovenský Úrad na ochranu osobných údajov. Napríklad ak z vašej firmy unikne databáza jej zákazníkov. Nemusí ísť pritom o databázu, ktorá obsahuje aj adresy alebo telefónne čísla. Stačí, ak obsahuje akýkoľvek osobný údaj, ktorým je aj meno a priezvisko. Bude taktiež jedno, či databáza unikla omylom chybou zamestnanca, alebo na systém vašej firmy zaútočil hacker a databázu ukradol. Výsledkom totiž v oboch prípadoch je, že osobné údaje unikli.
Po takomto incidente môže vaša firma dostať dve pokuty, prípadne povinnosti. Prvou je pokuta finančná, do výšky 10 miliónov eur alebo dvoch percent celosvetového ročného obratu. Zároveň vašej firme môže úrad nariadiť informovať o tomto incidente každého jedného zákazníka, ktorého meno bolo v uniknutej databáze. Ide o logické a praktické rozhodnutie. Napríklad ak bežný človek dostane informáciu, že z e-shopu unikli v dôsledku kybernetického útoku všetky jeho údaje. Hoci by mali byť obzvlášť prístupové údaje ukladané na server v zašifrovanej podobe, môže sa pre istotu rozhodnúť zmeniť si heslo.
Povinnosť informovať dotknuté osoby o úniku ich osobných údajov však predstavuje pre firmu reputačné riziko. Zákazník si totiž môže povedať, že radšej prejde ku konkurencii.
Toto sa však netýka zašifrovaných údajov.
Ak vo vašej firme dôjde k porušeniu osobných údajov, napríklad ich úniku, musíte tento incident podľa GDPR i podľa zákona oznámiť Úradu na ochranu osobných údajov. Musíte tak spraviť do 72 hodín nie od momentu, kedy k porušeniu došlo, ale od momentu, kedy ste sa o porušení dozvedeli.
Porušením osobných údajov pritom nemusí byť len únik celej databázy. Ide napríklad aj o poškodenie osobných údajov alebo o drobné pochybenie. Napríklad ak omylom jednému zákazníkovi zašlete v obálke údaje iného zákazníka.
Ak ste však stratili USB kľúčik alebo omylom odoslali niekomu tabuľku so zoznamom zákazníkov, ale bola zašifrovaná, nemusíte očakávať, že by vám nariadili o tom informovať aj zákazníkov. Bez dešifrovacieho kľúča sa uniknuté zašifrované údaje nedajú prečítať. Zašifrovaných osobných údajov sa povinnosť oznamovať incident dotknutým osobám teda netýka.
Ako ale dokážete, že uniknuté údaje boli naozaj zašifrované? Je bežné, že šifrovacie riešenia obsahujú záznamy o tom, že obsah nejakého zariadenia bol zašifrovaný. Máte teda pre úrad v rukách technický dôkaz, že ukradnuté alebo stratené zariadenie alebo dokument síce obsahoval osobné údaje, tie boli však zašifrované.
Pripomíname, že ak by došlo k úniku údajov a vy to úradu ani len nenahlásite, hrozí vašej firme iná pokuta. Napríklad, ak by ste nevedeli ani len zdokladovať, že máte súhlas na uchovávanie osobných údajov, pokuta by mohla dosiahnuť sumu 20 miliónov eur alebo štyri percentá z celosvetových tržieb.
Viac článkov k téme:
Riešite GDPR a strácate sa v šifrovaní? Pozrite si zoznam bodov, ktoré hľadať v správnom riešení
Šifrovanie vo firme: Začíname s ESET Endpoint Encryption (VIDEO)
GDPR a dvojfaktorová autentifikácia. A aké heslá používajú vaši zamestnanci?