Tři roky GDPR: Porušení zabezpečení hlásí firmy každý den, pokuty padají minimálně. Větší hrozbou je poškození byznysu

Obecné nařízení o ochraně osobních údajů (GDPR) letos oslavilo třetí rok své účinnosti. Před svým zavedením vzbudilo velké obavy ve firmách, na které se vztahuje. Nařízení zakotvovalo některé nové povinnosti například v zabezpečení osobních údajů a za jejich porušení hrozilo obrovskými pokutami. Realita tři roky poté je však jiná – Úřad pro ochranu osobních údajů (ÚOOÚ) dosud uložil pouze 12 pokut v celkové výši sotva přesahující půl milionu korun. A to i přes to, že správci osobních údajů hlásí závažnější porušení zabezpečení v průměru každý den. Během tří let jich přišlo na ÚOOÚ celkem 1 065. Skutečná hrozba pro firmy tak přichází od konkurence a poškozené image. Zákazníci utíkají od nespolehlivých firem a konkurence toho využívá, říká Richard Brulík, CEO firmy Safetica, jejíž bezpečnostní software chrání firmy ve 120 zemích světa.
GDPR firmám mimo jiné nařizuje vhodné zabezpečení osobních údajů, které spravují. Za porušení této povinnosti pak lze uložit pokutu ve výši až 10 milionů eur nebo až do 2 % ročního obratu. Jak však skrze žádost o poskytnutí informací u Úřadu pro ochranu osobních údajů zjistila společnost Safetica, která vyvíjí software na ochranu před úniky dat a vnitřními hrozbami, v realitě se k takovým pokutám ÚOOÚ nepřibližuje ani zdaleka. Celkem totiž uložil pouze dvanáct pokut, které dosahují hodnoty pouhých 515 tisíc korun.
„Pokuty za porušení zabezpečení uvedené v GDPR mnoho firem vystrašilo, protože ochrana osobních údajů a firemních údajů se obecně dlouho zanedbávala. Úřad však samozřejmě nemůže bezhlavě ukládat obří pokuty a musí se řídit nějakým principem přiměřenosti. V realitě tak nejvyšší dosud uložená pokuta dosáhla pouhých 180 tisíc korun. Pokud nepočítáme tento výjimečný případ, průměrná pokuta je sotva 30 tisíc korun,“ komentuje reálné dopady Richard Brulík, CEO společnosti Safetica.
Pokuty se nekonají, konkurence však nespí
„Skutečná hrozba pro firmy při úniku údajů není stát, nýbrž konkurence a poškozená image. Konkurence může data využít k posílení své pozice, přebírání zákazníků a podkopávání dotčené firmy. Pokud navíc hrozí reálné ohrožení práv lidí kvůli úniku dat, firma má povinnost je o tom informovat. Případný únik tak může podrývat důvěru klientů i zaměstnanců firmy, za což může firma tvrdě zaplatit. S takovými situacemi bohužel měli zkušenosti i někteří z našich klientů, kteří pak začali dávat ochraně vysokou prioritu a přišli za námi,“ dodává Brulík.
Jako příklad potenciálních dopadů úniku firemních údajů uvádí americkou firmou AMCA, která byla nucena podat insolvenční návrh poté, co jí unikly osobní údaje 20 milionů lidí. „Jenom samotné vyšetřování a oznámení všem dotčeným ji stálo 4,2 milionu dolarů. To je samozřejmě extrémní příklad velké korporace. Smutnou pravdou ovšem je, že úniky dat nejvíce dopadají na malé podniky. Podle americké National Cyber Security Alliance kolem 60 procent malých podniků končí do šesti měsíců po rozsáhlém úniku dat. Malé firmy často odrazuje pořizovací cena a komplexita běžného bezpečnostního softwaru. Proto jsme poslední rok pracovali na SaaS variantě produktu, která funguje na cloudu a za pravidelné předplatné – takzvaný SaaS. To otevírá dveře k dostupnému a jednoduchému zabezpečení firemních dat právě malým a středním podnikům,“ vysvětluje Brulík.
Správci ohlašují porušení zabezpečení každý den, stížností jsou stovky
Problémy se zabezpečením osobních údajů jsou v Česku na denním pořádku. Správci osobních údajů podle GDPR musí ÚOOÚ ohlašovat každé závažnější porušení zabezpečení, které představuje pravděpodobné riziko pro práva dotčených osob. Během tří let na úřad přišlo 1 065 takových ohlášení, tedy jedno oznámení každý den.
Od začátku GDPR do konce letošního dubna navíc ÚOOÚ obdržel 338 podnětů a stížností od dotčených fyzických osob a více než 60 z nich bylo za první čtvrtletí letošního roku. Dle vyjádření ÚOOÚ většinu z těchto podnětů posoudil jako nedůvodné, protože se jednalo o „ad hoc jednání některého ze zaměstnanců správce osobních údajů“. Reálně se tak prošetřuje jen zlomek z nich.
„Drtivou většinu případů úřad považuje za neodůvodněné a pouze zlomek podnětů se reálně začne formálně řešit. Úřad jasně preferuje neformální řešení a nápravu situace. Ze 33 skutečně prošetřovaných případů za tři roky uložil pouze 12 pokut, a to ve většině případů symbolických,“ shrnuje přístup ÚOOÚ Brulík z brněnské společnosti Safetica. (3.9.2021)