Aktivity AMSP ČR v souvislosti s GDPR Právo a podnikání v digitálním věku Aktivity AMSP ČR v souvislosti s GDPR Příprava podnikatelů na GDPR Průzkum AMSP ČR www.GDPRbezobav.cz bezplatný portál s informacemi a poradnou pro MSP
Jak jsou podnikatelé připraveni na GDPR? Průzkum, jak malé a střední firmy přistupují ke změně v ochraně osobních dat a jak se vyrovnávají s kybernetickými útoky. Srpen 2017
Aktualizace interních směrnic 42 % Hlavní zjištění ANALÝZU FIRMY PLÁNUJÍ S NOVÝM NAŘÍZENÍM 24 % Provedlo Školení zaměstnanců Aktualizace interních směrnic 42 % FIRMY ZPRACOVÁVAJÍ DATA Plánuje provést Zaměstnanců 93 % Klientů/zákazníků Obchodních partnerů 67 % 61 % KYBERNETICKÉ ÚTOKY 41 % Má zkušenost 88 % využívá interní datové sklady, 15 % externí řešení 82 % Má nastavené procesy minimalizující rizika 13 % využívá cloudy
S JAKÝMI DATY FIRMY PRACUJÍ? NEJVÍCE FIRMY POCHOPITELNĚ PRACUJÍ S DATY SVÝCH ZAMĚSTNANCŮ. DVĚ TŘETINY ALE ZPRACOVÁVAJÍ I DATA KLIENTŮ A OBCHODNÍCH PARTNERŮ. S JAKÝMI DATY FIRMY PRACUJÍ? n=450 Q1. S jakými osobními údaji ve firmě pracujete? Komentář AMSP ČR: To, že prakticky 2/3 malých a středních firem pracuje s cizími daty, je klíčové sdělení, ze kterého vyplývá, že ochrana dat se bude týkat mimořádného množství podnikatelů. Zaměstnanců Klientů/ zákazníků Obchodních partnerů Uživatelů webových stránek Jiné Nevím Ipsos pro AMSP_Ochrana osobních dat
TO, JAKÁ DATA FIRMY ZPRACOVÁVAJÍ, SOUVISÍ VELMI ÚZCE I S ÚČELEM JEJICH ZPRACOVÁVÁNÍ. ZA JAKÝM ÚČELEM JSOU DATA ZPRACOVÁVÁNA? n=450 Q2. Za jakým účelem osobní údaje zpracováváte? Komentář AMSP ČR: Je zřejmé, že práce se zákaznickými nebo partnerskými daty je pro malé a střední firmy dnes běžným marketingovým nástrojem. Povinnosti zaměstnavatele vůči zaměstnancům Obchodní nabídky Vyhodnocení spolupráce s obchodními partnery Zlepšování nabídky produktů/služeb na webových stránkách Jiné Nevím Povinnosti vůči úřadům a jiným institucím Ipsos pro AMSP_Ochrana osobních dat
(VLASTNÍ DATOVÉ SKLADY) (ÚLOŽIŠTĚ PROFESIONÁLNÍCH FIREM) 9 Z 10 FIREM ŘEŠÍ UKLÁDÁNÍ DAT INTERNĚ. EXTERNÍ ŘEŠENÍ VOLÍ 15 %, CLOUDY VYUŽÍVÁ 13 %. FIRMY ČASTO ROZLIŠUJÍ DATA PRO DLOUHODOBÉ UCHOVÁNÍ A TA, KTERÁ PO ČASE MAŽOU. 1/4 DATA NEMAŽE. KDE MAJÍ FIRMY DATA ULOŽENA? n=450 Q3. Kde máte vaše firemní data uložená? Q4. Po jakou dobu osobní údaje uchováváte? Na dobu určitou, poté je mažeme 18 % 4 % Nevím 88 % 15 % 13 % 5 % INTERNÍ ŘEŠENÍ (VLASTNÍ DATOVÉ SKLADY) EXTERNÍ ŘEŠENÍ (ÚLOŽIŠTĚ PROFESIONÁLNÍCH FIREM) CLOUDOVÁ ÚLOŽIŠTĚ NEVÍM Část po nějaké době mažeme a část uchováváme dlouhodobě Neomezeně, data nemažeme 26 % 52 % Komentář AMSP ČR: Menší a střední firmy jsou konzervativnější a stále spíše sází na interní správu dat. Částečně z historických důvodů, částečně z obavy ze zneužití dat, částečně proto, že nemají čas na změnu překlopení dat na externí platformu. Ipsos pro AMSP_Ochrana osobních dat
FIRMY S PŘÍCHODEM NOVÉHO NAŘÍZENÍ ŘEŠÍ PŘEDEVŠÍM ŠKOLENÍ ZAMĚSTNANCŮ A AKTUALIZACE INTERNÍCH SMĚRNIC A DOKUMENTACE. CO FIRMY PLÁNUJÍ MĚNIT S OHLEDEM NA NOVÉ NAŘÍZENÍ? n=450, v % Q9. Nové nařízení o ochraně osobních údajů má definovanou působnost. Je třeba podle vás danou oblast ve vaší společnosti v souvislosti s nařízením řešit: Firmy s obratem nad 500 mil. Kč častěji řeší všechny uvedené body. Ipsos pro AMSP_Ochrana osobních dat
V JAKÉM STÁDIU IMPLEMETACE FIRMY JSOU? ANALÝZU OHLEDNĚ NOVÉ LEGISLATIVY JIŽ PROVEDLO 24 % FIREM. VŮBEC JI NEPLÁNUJE 27 %. V JAKÉM STÁDIU IMPLEMETACE FIRMY JSOU? n=450, v % Q10. V jakém jste nyní stádiu implementace nové legislativy v oblasti ochrany osobních dat? Komentář AMSP ČR: Názor odpovídá tomu, že malé firmy obecně přistupují k novým opatřením spíše intuitivněji, zatímco střední a větší firmy pro svá rozhodnutí využívají analýzy.
V 64 % FIREM DOJDE KE ZMĚNÁM V 64 % FIREM DOJDE KE ZMĚNÁM. ZAMĚŘOVAT SE BUDOU NEJČASTĚJI NA VYŠŠÍ KVALITU ZABEZPEČENÍ DAT. PLÁNUJÍ FIRMY ZMĚNY S NOVOU LEGISLATIVOU? JAKÉ? Q11. Plánujete změny ve fungování Vaší společnosti s účinností nové legislativy? Q11b. O jaké změny se konkrétně jedná? Plánované změny: 47 % 28 % 17 % 8 % 19 % Nevím, v tuto chvíli nedokáži říci VYŠŠÍ KVALITA ZABEZPEČENÍ DAT 12 % EVIDENCE A DOPLŇOVÁNÍ OSOBNÍCH ÚDAJŮ Ano, na změnách již pracujeme Ano, ke změnám dojde 9 % OCHRANA DAT 9 % NOVÉ SMĚRNICE Ne n=57 (ti, co zavádí nebo plánují změny s novou legislativou) „Už teď se řídíme příslušnou legislativou.“ Komentář AMSP ČR: Pokud se naplní výsledky průzkumu a GDPR se skutečně dotkne téměř dvou třetin podniků, pak se bude jednat o jedno z nejnáročnějších nařízení, které alespoň částečně ovlivní skoro milion podnikatelských subjektů. n=76 (ti, co provedli analýzu a nová legislativa jejich společnost zasáhne) Ipsos pro AMSP_Ochrana osobních dat
KYBERNETICKÁ BEZPEČNOST
4 Z 10 FIREM ZAŽILY KYBERNETICKÝ ÚTOK 4 Z 10 FIREM ZAŽILY KYBERNETICKÝ ÚTOK. ČÍM VYŠŠÍ OBRAT, TÍM SPÍŠE SE FIRMA S ÚTOKEM SETKÁ. NEJČASTĚJŠÍ JSOU PODVODNÉ E-MAILY A ŽÁDOSTI O PODVODNÉ PLATBY. MAJÍ FIRMY ZKUŠENOST S KYBERNETICKÝMI ÚTOKY? Q15. Ochrana osobních údajů a dat úzce souvisí s kybernetickými útoky. Setkali jste se ve své firmě s některým typem kybernetického útoku? Ano, v posledním roce V posledním roce mají častěji zkušenost s kybernetickými útoky společnosti s vyšším obratem. Firmy s obratem 1 mld. Kč a více mají tuto čerstvou zkušenost v 56 % případů. Zkušenost firem s: 58 % 9 % 32 % 1 % 84 % Komentář AMSP ČR: Potvrzuje se, že kybernetické obtěžování se stává běžnou praxí, překvapivé je i to, že nemalá část firem má zkušenosti přímo s hackerským útokem. Podvodné e-maily (zavirované přílohy e-mailu, vylákání informací o platební kartě) Nevím 62 % Ne Žádost o podvodnou platbu (mailové oslovení k provedení naléhavé a velmi důvěrné platby) 29 % Podvržená přihlašovací stránka do internetového bankovnictví (pokus o vylákání přihlašovacích údajů) Ano, je to déle než rok 27 % Napadení vašeho e-mailu hackerem n=450 n=185 (ti, co mají zkušenost s kybernetickým útokem) Ipsos pro AMSP_Ochrana osobních dat
8 Z 10 FIREM MÁ NASTAVENÉ PROCESY MINIMALIZUJÍCÍ RIZIKA 8 Z 10 FIREM MÁ NASTAVENÉ PROCESY MINIMALIZUJÍCÍ RIZIKA. JEDNÁ SE PŘEDEVŠÍM O NASTAVENOU POLITIKU HESEL A DEFINOVANÉ PROCESY PRO REALIZACI PLATEB. JAK FIRMY RIZIKŮM PŘEDCHÁZEJÍ? Q16. Máte ve firmě nastavené procesy minimalizující možná rizika? Q16a. Jaké konkrétní procesy pro minimalizaci rizik využíváte? 90 % ANO 82 % Využíváme osvědčené postupy – politika hesel NE 15 % 82 % 86 % Účet dodavatele kontrolujeme a případné změny čísla účtu ověřujeme přímo s dodavatelem Máme definované jasné procesy pro realizaci plateb – oddělené role pro zadávání a schvalování plateb 60 % Využíváme kontrolu 4 očí N=369 Komentář AMSP ČR: Je patrné, že firmy si uvědomují kybernetická rizika a nejčastější hrozby již dokáží eliminovat stávajícími podnikovými mechanismy. N=450, Nevím – 3 % Ipsos pro AMSP_Ochrana osobních dat
OBOR ČINNOSTI n=450 Ipsos pro AMSP_Ochrana osobních dat
ROČNÍ OBRAT POČET ZAMĚSTNANCŮ Ipsos pro AMSP_Ochrana osobních dat
Web s bezplatným poradenstvím pro podnikatele Spuštěn 30. 8. 2017 GDPRBEZOBAV.CZ Web s bezplatným poradenstvím pro podnikatele Spuštěn 30. 8. 2017
HOMEPAGE
Statistiky shlédnutí „častých otázek“
WEB GDPRbezobav.cz Prověřené informace Aktuální novinky Dotazy směřující k základním problémům firem a živnostníků – bezplatné odpovědi do 48 hod. Odpovědi zajišťuje kolektivní člen AMSP ČR - Česká asociace ochrany osobních údajů a spolupracující advokátní kanceláře Automatické zasílání informací Výklady – ÚOOÚ a WP29
Bude se GDPR řídit i živnostník, který nemá zaměstnance? Pokud živnostník shromažďuje nebo zpracovává osobní údaje Klientů Dodavatelů. Osobní údaje musí být chráněny takovým způsobem, aby se k nim nemohl dostat nikdo nepovolaný
Bere se jako osobní údaj i evidence o docházce zaměstnance? Zaměstnanec je fyzická osoba a pokud lze záznam o docházce jednoznačně spojit s identifikátorem zaměstnance, pak se jedná o osobní údaj. Souhlas zaměstnance se zpracováním osobních údajů – např. i zveřejnění fotografie na webu firmy – vždy musí v samostatném dokumentu mimo pracovní smlouvu
Co s kontakty získanými před účinností GDPR? GDPR dopadne i na kontakty, které podnikatelé a další subjekty získali před účinností GDPR Dříve získaný souhlas vyhovuje, pokud způsob jeho udělení v souladu s GDPR Nutno doložit souhlas subjektu: Souhlas udělen svobodně Konkrétní Informovaný Jednoznačný a ničím nepodmíněný.
Musím si pořizovat speciální SW nebo HW ? Technická opatření s přihlédnutím k: Povaze Rozsahu Kontextu Účelu Posouzení pravděpodobnosti a závažnosti rizik Velká část menších podniků nebude muset pořizovat speciální SW a HW, pokud odpovídají běžným standardům zabezpečení. SW od spolehlivého dodavatele - soulad s GDPR
Údaje uložené v cloudových službách Poskytovatelé cloudových služeb musí zajistit, aby jejich služby byly v souladu s GDPR Za dodržování pravidel nařízení GDPR i v tomto případě odpovědný podnikatel GDPR má dopad na celou organizaci firmy, informační systémy
Správu GDPR provádí externí firma Povinnost ochrany osobních údajů se dle GDPR vztahuje jak na správce, tak i zpracovatele - externí organizaci, která data zpracovává Za ochranu dat odpovědné obě entity Správce odpovědný i v případě, že pouze data posbírá a pošle dodavateli. Správce se zpracovatelem uzavře písemnou smlouvu Rozsah a účel zpracování, doba trvání Záruky zpracovatele o technickém a organizačním zabezpečení
Co je to „rozsáhlé zpracování“? Je vydefinováno množství dat? Tyto termíny nejsou v nařízení jasně definovány Výkladová vodítka WP 29 Počet dotčených subjektů údajů, objem dat, doba trvání zpracování, územní rozsah Např.: zpracování osobních údajů vyhledávačem pro potřeby cílené reklamy či zpracování zákaznických dat v rámci běžné obchodní činnosti pojišťovny nebo banky.
Právo na výmaz – platí i v případě objednávky služeb nebo zboží? Subjekt má právo, aby údaje o něm byly vymazány, pokud: Údaje už nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány Odvolal souhlas Právo na výmaz není právem absolutním K výmazu nemůže dojít, pokud existuje jiná právní povinnost nebo zákon, který výmazu brání – např. daňové zákony, zák. o archivaci a další
Aktuální potřeby firem a pomoc AMSP ČR Přesnější vymezení povinností správce Chybějící nebo nedokonalé interní dokumenty a směrnice Zajištění souhlasu subjektů údajů Smluvní zajištění vztahů se zpracovateli osobních údajů Smluvní zajištění s příjemci osobních údajů Bezplatné semináře a konference pro kolektivní členy AMSP ČR
Děkuji za pozornost JUDr. Věroslav Sobotka sobotka@amsp.cz info@gdprbezobav.cz www.gdprbezobav.cz