Hlavní strana -> Zprávy
Aktuality -> Analýzy - 14. 3. 2017

Ochrana osobních údajů přitvrdí, EU hrozí vysokými sankcemi

gdpr, osobní údajeV květnu 2018 začne platit nařízení na ochranu osobních údajů (GDPR) z dílny Evropské unie. To zavádí za porušení pravidel vedoucí k úniku dat velmi vysoké finanční sankce, a navíc ukládá organizacím povinnost všechny takové incidenty hlásit. Je to ale opravdu v praxi reálné? A jak je to se zodpovědností za bezpečnost dat?



Kdo zodpovídá za data?

Většina lidí, včetně IT profesionálů se domnívá, že za vážnější porušení ochrany dat by měl zodpovídat výkonný ředitel společnosti. To je ale velmi diskutabilní, protože vrcholové vedení se často o porušení ochrany dat vůbec nedozví, navíc velká část narušení nebo pokusů o ně není vůbec zjištěna. V nedávném průzkumu společnosti Accenture více než polovina oslovených odborníků na bezpečnost (51 %) přiznává, že trvá měsíce, než se sofistikovaná narušení podaří odhalit, a bezpečnostní týmy vůbec neodhalí celou třetinu úspěšných narušení bezpečnosti.

Dagmar Mikulová, zdroj: Gopas Dagmar Mikulová, Gopas

„Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody,“ uvádí Dagmar Mikulová z Počítačové školy Gopas. „Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické.“

Jakým způsobem firmy přicházejí o data?

Převládají tři hlavní cesty možného úniku dat. První je špatné zabezpečení proti neoprávněnému přístupu útočníka z internetu. „Zde je možné se chránit technickými prostředky - používat firewally, antimalware, aktualizovat software a hardware, správně vše nastavit,“ říká Dagmar Mikulová.

Druhým je tzv. inside job, tedy krádež dat oprávněným uživatelem zevnitř firmy. „Proti krádeži dat zaměstnancem, který má oprávnění k práci s daty, protože s nimi musí pracovat, se účinně chránit nedá,“ konstatuje Dagmar Mikulová a dodává „Jediná smysluplná ochrana je rozdělit pracovní náplň zaměstnanců a neumožnit každému přístup ke všem datům.“

Třetím je opět inside job, nicméně někým jiným, než přímo oprávněným pracovníkem, pokud ten dělá nějaké chyby, nebo nedodržuje správné postupy. „Proti chybám zaměstnanců je možné se bránit pouze jejich vzděláváním, udržováním bezpečnostního povědomí a pravidelnými bezpečnostními školeními, jak technologií, tak metodologie,“ uzavírá Dagmar Mikulová.


 
  

- PR -

Revoluce ve správě dokumentů:

elektronické spisové služby musí mít atest


Digitalizace české veřejné správy zažívá v roce 2025 jeden z nejvýznamnějších milníků poslední dekády. Zavedení povinnosti používat atestovaný systém elektronické spisové služby (eSSL) proměňuje nejen trh s řešeními pro správu dokumentů, ale především každodenní praxi tisíců organizací, které se bez tzv. spisovky neobejdou. Ačkoliv se v odborných diskusích často zdůrazňuje především splnění zákonných požadavků, realita je komplexnější.