Průzkum agentury Ipsos z února a března letošního roku odhalil, že čeští a slovenští manažeři jsou informováni o GDPR, avšak většina z nich nemá znalosti o důsledcích případného nedodržení nového nařízení a často netuší, jaký je termín nabytí jeho účinnosti.
Telefonické (CATI) dotazování mezi 151 zástupci českých (60 %) a slovenských (40 %) firem nad 100 zaměstnanců zadaly společnosti Trend Micro a VMware. Do průzkumu se zapojili manažeři, kteří mají na starost osobní údaje a jejich bezpečnosti (IT, právní, HR oddělení a management).
Výzkum ukázal, že téměř osm firem z deseti firem o nařízení ví, přičemž jeho znalost je o něco vyšší na Slovensku (89 %) než v České republice (69 %). Jenže sotva jedna z deseti obeznámených firem správně rozumí potenciální výši pokut za porušení předpisu. Přitom 57 % obeznámených firem tvrdí, že požadavky nařízení vidělo.
Souběžně zveřejněný průzkum agentury Arlington Research pro Kaspersky Lab z dubna 2017 mezi více než 2 300 IT specialisty z evropských firem o více než 50 zaměstnancích ukázal, že jedna pětina z nich má stále nízké nebo žádné povědomí o tom, co GDPR obnáší.
O tom, že pokuta může dosáhnout až 4 % z celkového celosvětového ročního obratu společnosti, ví pouze 8 % dotázaných českých a slovenských společností. Téměř 30 % firem neumí odhadnout, kolik času na přijetí potřebných opatření mají.
Kolik času má společnost na přijetí opatření v souladu s GDPR?
Zdroj: Ipsos pro Trend Micro a VMware
GDPR nabyde účinnosti 25. 5. 2018. Do té doby by měly organizace zpracovávající osobní údaje lidí v Evropském hospodářství provézt nezbytná technická, organizační a procesní opatření k jejich dostatečnému zabezpečení. Změnou prošly zásady registrování, uchovávání, zpracovávání a zpřístupňování údajů všech fyzických osob.
Zúčastněte se našeho globálního bezpečnostního průzkumu 2018 Global State of Information Security Survey. Svůj názor nám můžete sdělit zde.
Zaměstnanci jsou největší hrozba
Jako největší hrozbu pro bezpečnost dat uvádějí dotázané firmy na prvním místě náhodnou ztrátu údajů zaměstnanci (29 %), následuje možnost kyberzločinu (24 %) a úmyslné odcizení údajů zaměstnanci (23 %).
Co je největší hrozba pro osobní údaje?
Zdroj: Ipsos pro Trend Micro a VMware
„Obecné nařízení o ochraně osobních údajů, známější jako GDPR, vnímám jako obrovskou šanci pro všechny firmy a instituce k tomu, aby si udělaly pořádek ve svých datech. A nejenom v osobních údajích, ale obecně ve všech souborech a informačních systémech. Datový audit, který je pro sladění s GDPR nutný, je velkou příležitostí udělat si ve svém IT přehled,“ říká Aleš Špidla, prezident Českého institutu manažerů informační bezpečnosti (ČIMIB).
Mezi největší výzvy dotázaných firem v souvislosti se sladěním s požadavky GDPR patří nedostatek aktuálních formálních procesů, které by upozornily na porušení zabezpečení údajů. Problémem je stejně tak nejasné rozdělení zodpovědnosti v případě problému.
Jaké jsou největší výzvy v souvislosti se sladění s GDPR?
Zdroj: Ipsos pro Trend Micro a VMware
Dvě třetiny dotázaných organizací nemá žádný formální proces pro informování Úřadu na ochranu osobních údajů do 72 hodin v případě porušení bezpečnosti, což je další z požadavků GDPR.
Trochu úsměvně pak působí statistika, podle které si 20 % dotázaných organizací si myslí (jsou si tím jisté), že mají nejvyšší míru ochrany proti narušení zabezpečení údajů. Dalších 60 % je o tom „téměř přesvědčeno“.
Jak budou firmy reagovat?
Z průzkumu vyplývá, že pro naplnění požadavků GDPR plánují obeznámené firmy především zintenzivnit školení zaměstnanců o ochraně dat (69 %), navýšit investice do bezpečnosti IT (50 %), nebo zvyšovat pojištění pro případ narušení bezpečnosti (23 %). Otázkou je, zda je někdo na takové riziko po 25. 5. 2018 pojistí.
Jaká nařízení musí firmy přijmout, aby se sladily s GDPR?
Zdroj: Ipsos pro Trend Micro a VMware
Nařízení GDPR také přiznává fyzickým osobám právo „být zapomenut“, tedy nárok na prokazatelné vymazání osobních údajů na vyzvání subjektu. Přitom podle průzkumu není 41 % dotázaných firem schopno toto právo uplatnit.
Robin Bay, sales engineer společnosti Trend Micro na tiskové konferenci při příležitosti představení výsledků průzkumu uvedl, že v USA byla loni každá druhá až třetí nemocnice zasažena ransomwarem. Dodal, že u nás sice obdobná statistika neexistuje, ale z pohledu GDPR to podtrhuje závažnost problému a výši rizika obrovských pokut.
Kde zjistit více?
Kompletní zprávu z průzkumu můžete získat vyplněním svých údajů na webech Trend Micro nebo VMware. V souvislosti s GDPR je však trochu zarážející, že první jmenovaná firma zde neuvádí, k čemu tyto informace použije, a druhá jmenovaná neumožňuje nesouhlasit se zpracováním dat k marketingovým účelům a ve výchozím stavu vybízí k odběru e-mailové komunikace.
Výše zmiňovaná společnost Kaspersky Lab pak připravila webové stránky, které mají firmám údajně pomoci „ dosáhnout nových standardů ochrany osobních údajů GDPR“.
Redakce zkusila dotazováním projít a vyplnit odpovědi na osmnáct otázek, které doprovází tipy a upozornění na požadavky nařízení. V závěru by vám web měl v procentech zobrazit připravenost na GDPR, což lze z obecného dotazování určit jen velmi povšechně. Nám se však místo výsledků zobrazila jen prázdná šablona stránky.
Zdroj: Ipsos (Trend Micro, VMware), Kaspersky Lab, ChannelWorld