Zdroj foto: Shutterstock

Ťažkosti s prípravou na účinnosť GDPR odhaľujú medzinárodné prieskumy. Veľa času už pritom spoločnostiam neostáva, nariadenie GDPR bude účinné od 25. mája. 

Napriek tomu, že sa dátum účinnosti blíži, množstvo firiem na Slovensku sa ešte nezačalo na nové pravidlá pripravovať. Ukázal to prieskum spoločnosti TÜV SÜD Slovakia. „Takmer štyri z desiatich firiem sa ešte nezačali pripravovať na splnenie požiadaviek európskeho nariadenia GDPR... Časť firiem to teda nemusí stihnúť,“ varuje spoločnosť. Niektoré firmy skutočne môžu na prípravu potrebovať viac času ako je k dispozícii. „Zavedenie GDPR môže v závislosti od veľkosti a zamerania firmy, a takisto aj v závislosti od doterajšieho nastavenia informačnej bezpečnosti vo firme, trvať tri až dvanásť mesiacov. Je teda možné, že časť z nich to nestihne a vystavia sa riziku vysokých pokút,“ upozorňuje audítorka TÜV SÜD Slovakia, Katarína Heiserová. 

Zároveň si však firmy uvedomujú, že zosúladenie s pravidlami GDPR im prinesie náklady. Tie by sa mali na Slovensku celkovo vyšplhať do miliónových súm. „GDPR sa podľa odhadov slovenských úradov dotkne vyše pol milióna firiem na Slovensku a vyžiada si zmeny v procesoch a systémoch za vyše 40 miliónov eur. A firmy si to uvedomujú. Podľa prieskumu TÜV SÜD Slovakia takmer osem z desiatich firiem očakáva dodatočné finančné náklady spojené so zavedením GDPR,“ upozorňuje spoločnosť.

GDPR vyvoláva obavy

GDPR je prísne regulačné opatrenie a vyvoláva obavy medzi firmami po celom svete. „Primárny problém, ktorý znepokojuje vedúcich predstaviteľov podnikateľského sektora, sú silnejúce regulačné tlaky, pričom 78 % respondentov vyjadrilo rastúce obavy v súvislosti s dodržiavaním požiadaviek v oblasti ochrany osobných údajov a ich súkromia,“ uvádza spoločnosť EY, pričom sa odvoláva na výsledky svojho prieskumu, ktorého sa zúčastnilo 745 výkonných predstaviteľov firiem v 19 krajinách. 

„Je najvyšší čas, aby spoločnosti začali s implementáciou požiadaviek vyplývajúcich z GDPR. Hlavne pre menšie či stredne veľké podniky a orgány verejnej moci, ktoré s aplikovaním organizačných, procesných, bezpečnostných a technických opatrení vyžadovaných nariadením doposiaľ nezačali, to bude veľká výzva,“ hovorí Peter Borák, partner pre poradenstvo v oblasti kybernetickej bezpečnosti spoločnosti EY na Slovensku. 

Z prieskumu vyplýva, že menej než štyri mesiace pred tým, ako vstúpi do platnosti GDPR, len 33 % oslovených spoločností uviedlo, že má zavedený plán na zabezpečenie súladu s právnymi predpismi EÚ. Napriek skutočnosti, že odpoveď respondentov v Európe bola v priemere pozitívnejšia a 60 % naznačilo existenciu plánu súladu v ich podniku, veľa práce naďalej zostáva na ostatných trhoch vrátane Afriky a Blízkeho východu (27 %), Severnej, Strednej a Južnej Ameriky (13 %) a Ázie-Tichomoria (12 %), kde svoju pripravenosť na súlad s GDPR naznačilo výrazne menej spoločností. 

„S tempom regulačných zmien, ktoré sa sústavne zvyšuje, predstavuje zavádzanie zákonov v oblasti ochrany osobných údajov a ich súkromia, ako GDPR, pre nadnárodné spoločnosti hlavnú výzvu v oblasti súladu. No podniky, ktoré zavádzajú technológie forenznej dátovej analýzy, môžu dosiahnuť značné výhody vyplývajúce z účinnejšieho riadenia rizík a zvýšenej podnikovej transparentnosti v rámci celej svojej činnosti,“ hovorí Andrew Gordon, vedúci globálneho poradenstva EY v oblasti vyšetrovania podvodov a riešenia sporov. 

Z výsledkov prieskumu spoločnosti Varonis zároveň vyplýva, že 60 % z oslovených IT odborníkov v EÚ čelí vážnym výzvam v súvislosti s prípravou na GDPR. V USA sa podobne vyjadrilo 50 % odborníkov. Prieskumu sa v septembri a októbri 2017 zúčastnilo 500 respondentov z USA, Nemecka, Francúzska a Veľkej Británie. 

Aj tento prieskum potvrdzuje, že pripravených na GDPR sa v rámci EÚ cíti len o čosi viac ako polovica oslovených subjektov. V Nemecku je to len 35 %, vo Veľkej Británii 36 % a vo Francúzsku 42 %. 

Tento prieskum ukazuje, že povedomie o nariadení GDPR má 88 % respondentov v EÚ a napríklad v USA je to iba 65 % subjektov. Najlepšie z prieskumu vyšli respondenti z Veľkej Británie, povedomie v tejto krajine je na úrovni 90 %. V tesnom závese je Francúzsko na úrovni 88 %. 

Až dvaja z piatich respondentov majú pocit, že ich organizácia ešte doteraz nedokončila hodnotenia procesov spojených s osobnými údajmi. Za najväčšiu hrozbu v rámci GDPR považujú IT experti Článok 17, ktorý hovorí o práve byť vymazaný a zabudnutý. V závese nasleduje Článok 25, ktorý sa zaoberá špecificky navrhnutou a štandardnou ochranou, teda protection by design a protection by default. Obavy vyvolávajú najmä veľké pokuty, ktoré za porušenie pravidiel hrozia. 

Do účinnosti GDPR zostáva niekoľko mesiacov, no ani potom nebude ochrana osobných údajov uzavretou záležitosťou. Firmy a ďalšie subjekty by však nemali prikladať 25. máju tohto roka až príliš veľkú váhu, pracovať bude potrebné aj po tomto termíne. „Pôjde o kontinuálne zlepšovanie sa aj po tomto termíne. Tón, aký GDPR udá, bude jasný po nadobudnutí účinnosti,“ povedal v roku 2017 Peter Gooch, partner spoločnosti Deloitte pre kybernetické riziká. 

Práve kyberpriestor budú musieť spoločnosti a ďalšie organizácie starostlivo strážiť. „Hoci GDPR je výrazne viac ako len kybernetická oblasť, práve úniky v kyberpriestore budú v rámci GDPR priťahovať najväčšiu pozornosť regulačných úradov,“ dopĺňa.

Poisťovne sa snažia pripraviť

Kybernetickú bezpečnosť však podľa zistení spoločnosti KPMG na Slovensku nepodceňujú poisťovne. Práve kybernetické hrozby považovali riaditelia poisťovní na Slovensku za najväčšiu hrozbu už v roku 2016. Za najvýznamnejšie riziko tieto hrozby koncom roka 2017 označilo 26 % generálnych riaditeľov poisťovní, čo je o 16 % menej ako v predchádzajúcom roku.

„Podľa našich skúseností sa poisťovne na Slovensku téme GDPR systematicky venujú minimálne od začiatku tohto roka. Zviditeľňujú tak v očiach vrcholového manažmentu problematiku bezpečnosti osobných údajov, ale aj bezpečnosti informácií ako takých,“ skonštatoval Pavol Adamec, výkonný riaditeľ na oddelení rizík, KPMG na Slovensku.

Napriek tomu predstavitelia poisťovní majú obavy z toho, čo GDPR prinesie, ukázala to štúdia írskej pobočky spoločnosti PwC z roku 2017. Za najvýraznejšie narušenie podmienok na trhu to označilo 70 % z oslovených generálnych riaditeľov poisťovní. 

„Najmä pre menšie či stredne veľké podniky a orgány verejnej moci, ktoré s aplikovaním organizačných, procesných, bezpečnostných a technických opatrení vyžadovaných nariadením doposiaľ nezačali, to bude veľká výzva,“ hovorí Peter Borák, partner pre poradenstvo v oblasti kybernetickej bezpečnosti spoločnosti EY na Slovensku.