Jednou vetou
Profesionáli aj autority sa zhodujú, že povedomie o ochrane osobných údajov je výborné, opatrenie často diskutabilné.
Slabou stránkou v ochrane osobných údajov je prílišný formálny prístup prevádzkovateľov aj sprostredkovateľov. Plnenie povinností stále vnímajú ako „nevyhnutné zlo“, hovorí odborníčka a lektorka Marcela Macová. Firmy a inštitúcie sa mylne domnievajú, že im stačí niečo ako bezpečnostný projekt, ktorý už dávno nie je aktuálny, a majú „pokoj“. Pritom dodržiavať ochranu osobných údajov je vec každodenná.
Treba ešte strašiť?
Viceprezident slovenskej pobočky ISACA Tomáš Hettych urobil viac ako 50 auditov ochrany osobných údajov a 20 implementácií. „V prvých rokoch to bolo viac o presvedčovaní vedenia, že prečo to potrebujú. S mediálnou kampaňou a po strašení pokutami sa situácia výrazne zlepšila.“
Tomáš Hettych tu poukazuje na obrovské rozdiely. Najlepšie pripravené sú nadnárodné korporácie a bankový sektor. „Majú dostatok zdrojov na prípravu dokumentácie, nastavenie procesov aj na právnikov ako osoby zodpovedné za ochranu osobných údajov.“
Málo pripravené sú výrobné podniky, stredné firmy, verejná správa a zdravotníctvo. Chýbajú im prostriedky aj motivácia niečo riešiť. Ako kriticky hovorí audítor, „niekedy radšej míňajú peniaze na právnu kanceláriu ako na samotnú ochranu“.
Keď (ne)ide štát príkladom
Aj podľa názoru Marcely Macovej verejný sektor ešte stále pristupuje k ochrane osobných údajov benevolentnejšie. „Súkromné spoločnosti sa viac obávajú sankcií a najmä poškodenia mena.“ Preto viacej dbajú na nastavenie procesov, aktualizovanú dokumentáciu, vzdelávanie zamestnancov a vyberajú si dodávateľov, ktorí dbajú na GDPR.
Profesionálov však už roky trápia „šmejdi“ na trhu. Zneužívajú neznalosť alebo finančnú tieseň obcí a miest a predávajú im nefunkčnú dokumentáciu spolu s vystrašením pred pokutami a súdmi.
Čo hovoria občania
Povedomie rastie z roka na rok aj u občanov. Dotknuté osoby sa viacej chránia a Úrad na ochranu osobných údajov hlási rastúci počet podnetov a návrhov na začatie konania.
Takže čo sa týka pokút, minulý rok ich uložil úrad najviac za porušenie zásad spracúvania osobných údajov pri kamerových informačných systémoch. V tejto oblasti bolo aj najviac kontrol. Nasledovali pokuty pre tých, ktorí nevedeli preukázať právny základ za zverejnenie osobných údajov dotknutých osôb na webových stránkach alebo ich sprístupnenie. Pokuty si vyslúžili aj zverejnenia videozáznamov a dokumentov, ktoré obsahovali osobné údaje dotknutých osôb, a nesprávna anonymizácia.
Previnilcami boli mestá, obce, štátne inštitúcie a prevádzkovatelia – veľké aj malé spoločnosti.
Naše ukradnuté údaje
V minulom roku na Slovensku viditeľne pribudol počet hlásení o únikoch osobných údajov. „Evidujeme stoosemdesiatpäť prípadov a obávame sa, že to bude rásť,“ potvrdzuje Martin Oczvirk, riaditeľ odboru informačnej bezpečnosti a certifikácie ÚOOU. A zároveň upozorňuje aj na markantný rast kybernetických incidentov.
Incidenty sú spôsobené rôznymi hackerskými útokmi, pričom najčastejšie ide o ransomvér. A príčina? Obvyklá. „Vo všeobecnosti útočníci nájdu v systéme zraniteľnosť alebo využívajú metódy sociálneho inžinierstva.“
Už sa to nedá zastaviť
Či chceme, alebo nechceme, ochrana osobných údajov a kyberbezpečnosť úzko súvisia a prelínajú sa. Interní aj externí odborníci v oboch oblastiach musia spojiť sily a spolupracovať.
Expanzívna digitalizácia a apetít kybernetickej kriminality pridávajú kyberbezpečnosti v ochrane osobných údajov čoraz viacej úloh. Musí zabezpečiť, že údaje zostanú dôverné, integrálne a dostupné iba oprávneným osobám, chráni ich pred hrozbami. Či už ide o osobné údaje, ktoré sú v aplikáciách, v zdravotníckych zariadeniach, online obchodoch, na sociálnych sieťach alebo v štátnych systémoch.
Ideme ďalej
Dlhodobou profesionálnou agendou Jakuba Berthotyho z advokátskej kancelárie Dagital Legal je nariadenie GDPR v praxi. Slovensko vidí ako európskeho lídra v nízkom výkone nariadenia GDPR.
V porovnaní s inými členskými štátmi sa podľa neho u nás ukladajú neprimerane nízke pokuty a často aj za bezvýznamné a pre prax nezaujímavé porušenia. Uvádza, že francúzsky úrad na ochranu osobných údajov si jednou pokutou vyberie celý ročný rozpočet slovenského úradu. A pripomienky pokračujú.
„Naša štátna autorita sa zaoberá susedskými spormi a nespokojnými zamestnancami, ale nerieši Google, Facebook, TikTok, maloletých, sociálne siete, big data algoritmy a cielenie reklamy. Pritom sú to témy, kvôli ktorým GDPR vzniklo.“
A ďalšia výzva
„Úrad nemá kompetenciu riešiť tému cookies a nevyžiadanej marketingovej komunikácie podľa ePrivacy. A rovnaký problém nás čaká s ďalšími novými predpismi EÚ,“ varuje Jakub Berthoty. Pôsobnosť úradu by sa mala preto posilniť a pridať mu podstatnú časť regulácie, ktorá sa týka dát, súkromia a ľudí.
Po vzore European Data Protection Supervisor by mala byť na úrovni vlády hlavná zodpovedná osoba za ochranu údajov. Metodicky aj pokynmi by usmerňovala zodpovedné osoby v sektoroch alebo nižšie.
Súčasťou by boli aj kódexy správania v tejto oblasti, ako majú banky, poisťovne a advokáti. Prečo ich nemajú nemocnice, mestá, obce, ministerstvá, súdy a školy? Jednotný výklad a úroveň súladu by mali rešpektovať odlišnosti sektorov. A v prvom rade chrániť občanov.