S nařízením z EU přichází nová přísnější pravidla pro ochranu osobních dat. Pojištění může pokrýt část rizik

Firmy v České republice by měly zpozornět. Z Bruselu přichází nová a zásadním pravidla, jejichž cílem je zvýšit ochranu osobních dat. Pravidla začnou platit v květnu 2018 pro všechny členské státy EU.

Na účinnost nové legislativy General Data Protection Regulation (GDPR) by se firmy měly začít připravovat již dnes. Krom nastavení IT procesů, aby byly v souladu s evropskou legislativou, se firmy mohou před ztrátou citlivých zákaznických dat i pojistit.

Po květnu 2018 mají být chráněné jakékoliv informace a data, které vedou k identifikování osobních údajů jednotlivců (například i v oblasti genetiky, duševního zdraví, kulturní, ekonomické a sociální situace). Novou regulací se tak rozšiřuje skupina informací, které se považují za osobní data. Pro firmy a organizace se zpřísňují pravidla získání platného souhlasu s užitím osobních údajů. Firmy také musí dle nové legislativy zřídit pozici inspektora pro ochranu osobních údajů. A to se netýká jen státních orgánů, ale i organizací působících v privátní sféře. Tam, kde je riziko narušení soukromí vysoké, musí firmy a organizace nově posuzovat rizika.

„Každá firma či organizace se sídlem i mimo EU, která pracuje s daty občanů Evropské unie, musí adaptovat a dodržovat zásady a požadavky GDPR regulace. Prakticky tak má globální působnost. Je to v podstatě poprvé, kdy evropská legislativa prosazuje principy ochrany osobních údajů svých občanů pro zbytek světa,“ říká Michal Pilecký, specialista pojištění kybernetických rizik společnosti RENOMIA. 

Pravidla, která budou muset příští rok firmy a organizace v České republice přijmou, jsou vskutku široké. Kromě jiného se také zavazují hlásit úřadům narušení ochrany či únik dat, a to nejpozději do 72 hodin od události. Platit má i princip minimalizace údajů, tj. že organizace a firmy by neměly údaje držet déle, než je nezbytně nutné. Musí si proto zabezpečit i důkladné skartování již nepotřebných dat.

Michal Pilecký upozorňuje, že příležitostí pro únik osobních dat je v dnešní době mnoho. Kromě ztráty či odcizení důležitých informací, dat či samotného hardwaru sem řadíme i časté kybernetické útoky, pokusy hackerů či terorismus. Na poškozené firmy a organizace mohou mít tyto události nedozírné následky v podobě ztráty důvěry, reputace, poškození dobrého jména, což může způsobit závažné finanční škody.

„Vhodným doplněním řízení kybernetických rizik a bezpečnostní osobních dat je pojištění. Na trhu existuje řada produktů zabývajících se kybernetickými riziky, vše se dá nastavit dle potřeb a požadavků klientů,“ dodává Pilecký.

Mezi nejčastější druhy pojištění kybernetických rizik patří ztráta či krádež osobních citlivých údajů, anebo firemních dat či hackerské útoky. Z pojistky jsou potom obvykle hrazeny:

  • škody a náklady na právní zastoupení v souvislosti s odpovědností vůči třetím stranám
  • forenzní IT audit, který identifikuje rozsah úniku dat a informací
  • náklady na PR a oznámení úniků veřejnosti a dozorovým orgánům (např. ÚOOÚ)
  • náklady na jednání před dozorovými orgány a jimi udělenými pokutamivýpadky sítě, přerušení provozu