Více než milion firem a živnostníků v Česku zasáhne od května příštího roku zpřísněné nařízení o ochraně osobních údajů (GDPR), které platí i orgány veřejné správy. „Podnikatelé se začínají na změny postupně připravovat. Evidujeme zvýšený zájem o tak zvané vstupní audity, které mají odhalit slabá místa v jejich systému. Z výsledků analýzy si pak vedení firem snadněji určí, do jakých priorit investovat a kdy,“ říká Jakub Kejval z poradenské společnosti Bureau Veritas, která zabývá problematikou GDPR. Oč jde?
Vstupní audit trvá jeden až tři dny a začíná pohovorem IT specialisty a právníka s odpovědným pracovníkem v organizaci. „Auditoři přezkoumáním dokumentů a záznamů zjistí, jakou má firma úroveň bezpečnosti informací – například ve smyslu řízení rizik, ochrany informačních systémů, sítě nebo serverů. Experty bude dále zajímat, jak firma nakládá s osobními údaji, zaměří se například na komunikaci s klientem, na smlouvy a podobně. Výsledkem vstupního auditu bude zpráva, která identifikuje nesoulad firmy s GDPR, určí míru rizika a navrhne opatření,“ shrnuje základní kroky Kejval.
Firmy, které si nechají zhotovit vstupní audit, získají rovněž konkrétní představu o tom, kolik je bude stát uvedení do souladu s nařízením GDPR. „Obecně půjde o průměrnou investici v řádu tisíců korun pro živnostníky a v řádu desítek až stovek tisíc pro firmy a veřejnou správu. V souhrnu se pak náklady mohou vyšplhat až na 6 miliard. Výdaje na samotné vstupní audity se na trhu pohybují v rozmezí třiceti až devadesáti tisíc korun,“ informuje Kejval.
V souvislosti s přísnější ochranou osobních údajů přibyde rizik spojených se správou a zpracováním dat třetích stran. Jedním z efektivních nástrojů pro řešení těchto rizik se stane pojistná ochrana. „Pojištění dokáže pokrýt především samotné regulatorní sankce, stejně jako pestrou škálu dalších nákladů spojených s únikem dat, jejich neoprávněným nakládáním a následným zásahem dozorového orgánu. Jedním z největších přínosů pojistné ochrany je i krytí škod, ve kterých hraje zásadní roli lidský faktor, například vynesení dat úmyslně jednajícím zaměstnancem pojištěného,“ říká Josef Majer z mezinárodní poradenské společnosti MARSH.
