Majhna in srednja podjetja po večini še niso pripravljena na zahteve novega ZVOP-2. Eden od njihovih največjih problemov je nepreglednost nad uporabo osebnih in drugih občutljivih podatkov s strani zaposlenih. V Si spletu so na podlagi poslovnih razgovorov s predstavniki več kot 200 majhnih in srednjih podjetij od septembra do decembra 2022 odkrili, da podjetja nimajo nadzora, kje vse se nahajajo osebni podatki, kdo do njih odstopa in kaj z njimi počne. Po njihovi oceni so močno izpostavljena tveganjem za kršitve varnosti osebnih podatkov.
»Velika večina majhnih in srednjih podjetij nima vzvodov za uveljavljanje in spremljanje izvajanja pravil varovanja podatkov po GDPR in polsedično po ZVOP-2. Največji problem je, da sploh ne vedo, kje vse se nahajajo osebni podatki njihovih zaposlenih in strank in kaj se z njimi počne,« je povedal Nenad Pavlović, vodja programa Safetica NXT v podjetju Si Splet.
Novi zakon prinaša globe
26. januarja bo stopil v veljavo nov Zakon o varovanju osebnih podatkov ZVOP-2, ki bo v prvi vrsti v celoti uveljavil sistem glob za kršitve varstva osebnih podatkov. Gre za upravne globe, ki so opredeljene v Splošni uredbi o varstvu podatkov, GDPR, a se v Sloveniji niso izrekale pogosto. Še več, pravzaprav jih Informacijski pooblaščenec sploh ne bi smel izrekati.
»Ne izrekanje upravnih glob je zagotovo eden od razlogov, zakaj se številna majhna in srednja podjetja doslej niso bolj intenzivno ukvarjala z varovanjem osebnih podatkov. Pričakujemo, da bo letošnje leto prelomno, ne samo pri obravnavi osebnih podatkov v organizacijah, ampak, da bodo tudi ljudje začeli bolj odgovorno gledati na svoje osebne podatke, komu jih zaupati in kaj zahtevati od organizacij, ki bodo hranile in obdelovale njihove osebne podatke,« je izpostavila Petra Veber, direktorica organizacije v podjetju Si splet.
Rešitev za primanjkljaj znanja, ljudi in tehnologij
Kot izpostavlja Pavlović, majhna in srednja podjetja po večini nimajo ustreznih znanj in ljudi, velikokrat pa tudi ne finančnih zmožnosti, da bi ustrezno poskrbela za varnost osebnih podatkov, ki jih hranijo. Uporaba sodobnih programskih storitev v oblaku, kot je Safetica NXT za preprečevanje izgub podatkov in zaščito pred notranjimi grožnjami poenostavi izpolnjevanje zakonskih zahtev po GDPR oziorma ZVOP-2.
»Safetica NXT ima recimo že pred pripravljene postopke nadzorovanja in varovanja osebnih podatkov glede na zahteve GDPR. Na primer samodejno odkriva informacijske vire, prepoznava osebne podatke, spremlja in omejuje uporabniške aktivnosti v povezavi z osebnimi podatki ter obvešča o njihovi uporabi,« je dodal Pavlović.
Takšna storitev poleg zaščite osebnih podatkov poenostavlja pripravo dokumentacije o incidentih in tako omogoča pravočasno poročanje vodstvu, Informacijskemu pooblaščencu ter morebitnim drugim regulatorjem glede na dejavnost organizacije.
