V sérii článků týkajících se GDPR se věnuji tomu jak se na platnost nařízení připravit, co jsou vlastně osobní údaje, jak data o klientech správně sbírat a jak osobní údaje chránit. Co když přes všechna přijatá bezpečnostní opatření dojde k tomu, že data uniknou? Vzhledem k tomu, že GDPR vstoupí v platnost za 2 týdny, je dnešní téma určitě užitečné.
Nejdříve si musíme položit otázku, zda skutečně byla přijata dostatečná opatření na zabezpečení dat!? Nechce se mi věřit, že čtenáři tohoto blogu jsou všichni v zájmu hledáčku “nepřátelských” hackerů, kteří by toužili po datech klientů, která mají ve svých počítačích. To se týká spíše velkých nadnárodních nebo státních firem. Podívejme se ale na to, co hrozí malým a středním firmám nebo živnostníkům v běžném pracovním životě.
Problém hledejte uvnitř
Říká se, že největším bezpečnostním rizikem co se ochrany dat týče, jsou zaměstnanci a obecně lidé z blízkého okolí firmy/podnikatele. Pokud podnikáte v realitách, finančním či ekonomickém poradenství a dalších řekněme volných nebo neregulovaných profesích, možná mi potvrdíte, že “data často létají vzduchem” na každém kroku.
Je celkem běžné, že spolupracující osoby nemají mezi sebou uzavřené obchodní dohody nebo NDA (dohoda o mlčenlivosti), běžně si předávají kontakty na klienty, sdělují si celkem detailní informace o finanční a rodinné situaci klientů atd. V zájmu klienta (a je to většinou tak), se kvůli rychlosti posílají dokumenty do bank po kolegovi z firmy, emailem, přes Whatsapp a další chatovací služby, data se sdílí v Cloudu aby byla rychle přístupná všem pro případ potřeby atd.
Právě správné interní procesy a nastavení ochrany osobních údajů ve firmě jsou rozhodujícími faktory, kterými můžete zabránit odcizení / úniku osobních údajů klientů. Nebo alespoň riziko můžete minimalizovat. Vždyť přeci kontakty na klienty, informace o tom co vlastní, co kdy prodali nebo jaké pojištění si uzavřeli, to je to, co živí nás podnikatele. Proč si tato data nechat ukrást zhrzenými “zaměstnanci” (myslím tím např. realitní makléře, pojišťovací poradce, obchodníky v jakékoliv firmě, IT specialisty apod.), kterým se nedaří a myslí si, že na volné noze se jim bude dařit lépe! Nebo co hůře, budou se snažit zpeněžit tyto osobní i obchodní údaje na černém trhu “koláče bez práce”…
Únik dat se musí hlásit
Pokud se mají osobní údaje lidí chránit efektivně, musí zákon také stanovit trest za to, že někdo data chrání nedostatečně. Jinak víme jak se chováme k pravidlům, které bychom měli dodržovat, ale za jejichž nedodržování nic nehrozí (viz. pokuta za rychlost na silnicích atd.).
V rámci GDPR se uvádí povinnost informovat kontrolní orgán do 72 hodin od zjištění porušení zabezpečení osobních údajů. V České republice je tímto orgánem Úřad na ochranu osobních údajů. Nemusí se tedy přímo jednat o únik nebo odcizení dat.
Napadá mě kauza z uplynulých dnů, kdy jedna sociální síť informovala o tom, že byl nalezen v rámci firmy počítač, na kterém byly nezabezpečené osobní údaje jejich uživatelů. Také ale připojila informaci, že k počítači nikdo neměl přístup a k úniku citlivých dat tak pravděpodobně nedošlo. Přesto byla uživatelům doporučena změna hesla.
Hlášení na ÚOOÚ (Úřad pro ochranu osobních údajů) by mělo obecně obsahovat:
- jak a proč došlo k porušení ochrany osobních údajů a kolika uživatelů se může týkat
- o jaká data se jedná - tedy emaily, hesla, telefony, citlivé údaje apod.
- kontakt na odpovědnou kontaktní osobu ve firmě nebo na pověřenou osobu (DPO)
- jaké mohou být následky tohoto porušení ochrany - zneužití hesel, platebních karet, nebo v případě kontaktů zasílání nevyžádaných nabídek apod.
- popis opatření, které správce přijal pro zamezení dalšího úniku a pro případnou minimalizaci škod
Samozřejmě hlášení by mělo proběhnout co nejdříve od zjištění dané skutečnosti a musí se následně pravidelně komunikovat s dozorovým orgánem a doplňovat případné další zjištění a fakta.
Pokud by bylo ohrožení velké, budete možná povinni informovat o tomto ohrožení osobních údajů vaše klienty / uživatele. Nemělo by se ovšem jednat o předčasné nebo poplašené zprávy, či o zahlcování klientů různými průběžnými zprávami apod. Správný postup bych doporučoval komunikovat s pověřencem (DPO), právníky nebo přímo s dozorovým orgánem.
Co hlásit a nehlásit
Domnívám se, že největší problém bude rozlišit kdy nastal ten skutečně bezpečností problém, o kterém bych měl úřad informovat. Znáte to… Udáte se, přivoláte na sebe hromy blesky a přitom možná o nic nešlo. Co když je to ale naopak?
Jak se zachováte v těchto případech? Posouzení nechám na každém z vás...
- Přijde k vám do kanceláře klient, vy si odskočíte ke kopírce a necháte jej sedět v kanceláři u kartotéky plné osobních údajů nebo nad složkami klientů….
- Sedíte v kavárně, odskočíte si na toaletu a požádáte servírku, aby vám dohlédla na věci. Když se vrátíte všimnete si, že jste nezavřeli víko počítače nebo zkrátka heslo nepoužíváte a počítač ležel 10 minut přístupný “celému světu”...
- Na flashce předáte naskenované fotografie grafikovi, znalci nebo někomu kdo dělá virtuální prohlídky a když se vám vrátí zjistíte, že jste na disku měli vyexportovaný seznam svých klientů s emaily, který jste potřebovali minulý týden...
Závěr
Určitě neplatí, že pokud dojde k porušení zabezpečení, musí vždy následovat pokuta. Ta hrozí spíše pokud se ukáže, že ke ztrátě dat došlo a nikdo problém nenahlásil. Úřad bude určitě brát v potaz míru rizika, množství dat, velikost společnosti, pravděpodobnost úniku atd.
Takže teď přestaňte myslet na pokuty a spíše myslete na to, jak si ty roky sbíraná obchodní data a osobní údaje ochránit, aby se vašemu podnikání dařilo i po zavedení GDPR!
Předchozí díl je zde: GDPR a pracovněprávní vztahy – 6. část