Foto: Pixabay
GDPR firmám mimo jiné nařizuje vhodné zabezpečení osobních údajů, které spravují. Za porušení této povinnosti pak lze uložit pokutu ve výši až 10 milionů eur nebo až do 2 % ročního obratu. Jak však skrze žádost o poskytnutí informací u Úřadu pro ochranu osobních údajů zjistila společnost Safetica, která vyvíjí software na ochranu před úniky dat a vnitřními hrozbami, v realitě se k takovým pokutám ÚOOÚ nepřibližuje ani zdaleka. Celkem totiž uložil pouze dvanáct pokut, které dosahují hodnoty pouhých 515 tisíc korun.
„Pokuty za porušení zabezpečení uvedené v GDPR mnoho firem vystrašilo, protože ochrana osobních údajů a firemních údajů se obecně dlouho zanedbávala. Úřad však samozřejmě nemůže bezhlavě ukládat obří pokuty a musí se řídit nějakým principem přiměřenosti. V realitě tak nejvyšší dosud uložená pokuta dosáhla pouhých 180 tisíc korun. Pokud nepočítáme tento výjimečný případ, průměrná pokuta je sotva 30 tisíc korun,“ komentuje reálné dopady Richard Brulík, CEO společnosti Safetica.
Foto: Pixabay
Pokuty se nekonají, konkurence však nespí
„Skutečná hrozba pro firmy při úniku údajů není stát, nýbrž konkurence a poškozená image. Konkurence může data využít k posílení své pozice, přebírání zákazníků a podkopávání dotčené firmy. Pokud navíc hrozí reálné ohrožení práv lidí kvůli úniku dat, firma má povinnost je o tom informovat. Případný únik tak může podrývat důvěru klientů i zaměstnanců firmy, za což může firma tvrdě zaplatit. S takovými situacemi bohužel měli zkušenosti i někteří z našich klientů, kteří pak začali dávat ochraně vysokou prioritu a přišli za námi,“ dodává Brulík.
Jako příklad potenciálních dopadů úniku firemních údajů uvádí americkou firmou AMCA, která byla nucena podat insolvenční návrh poté, co jí unikly osobní údaje 20 milionů lidí. „Jenom samotné vyšetřování a oznámení všem dotčeným ji stálo 4,2 milionu dolarů. To je samozřejmě extrémní příklad velké korporace. Smutnou pravdou ovšem je, že úniky dat nejvíce dopadají na malé podniky. Podle americké National Cyber Security Alliance kolem 60 procent malých podniků končí do šesti měsíců po rozsáhlém úniku dat. Malé firmy často odrazuje pořizovací cena a komplexita běžného bezpečnostního softwaru. Proto jsme poslední rok pracovali na SaaS variantě produktu, která funguje na cloudu a za pravidelné předplatné – takzvaný SaaS. To otevírá dveře k dostupnému a jednoduchému zabezpečení firemních dat právě malým a středním podnikům,“ vysvětluje Brulík.
Správci ohlašují porušení zabezpečení každý den, stížností jsou stovky
Problémy se zabezpečením osobních údajů jsou v Česku na denním pořádku. Správci osobních údajů podle GDPR musí ÚOOÚ ohlašovat každé závažnější porušení zabezpečení, které představuje pravděpodobné riziko pro práva dotčených osob. Během tří let na úřad přišlo 1 065 takových ohlášení, tedy jedno oznámení každý den.
Od začátku GDPR do konce letošního dubna navíc ÚOOÚ obdržel 338 podnětů a stížností od dotčených fyzických osob a více než 60 z nich bylo za první čtvrtletí letošního roku. Dle vyjádření ÚOOÚ většinu z těchto podnětů posoudil jako nedůvodné, protože se jednalo o „ad hoc jednání některého ze zaměstnanců správce osobních údajů“. Reálně se tak prošetřuje jen zlomek z nich.
„Drtivou většinu případů úřad považuje za neodůvodněné a pouze zlomek podnětů se reálně začne formálně řešit. Úřad jasně preferuje neformální řešení a nápravu situace. Ze 33 skutečně prošetřovaných případů za tři roky uložil pouze 12 pokut, a to ve většině případů symbolických,“ shrnuje přístup ÚOOÚ Brulík z brněnské společnosti Safetica.
Zdroj: tisková zpráva společnosti Safetica