Před čtyřmi lety, 25. května 2018, začalo platit v České republice i ve všech zemích Evropské unie Obecné nařízení o ochraně osobních údajů (GDPR). Odborníci tvrdí, že tato zákonná norma byla příčinou výrazné změny myšlení v této oblasti.
Význam GDPR neustále roste
Šéf tiskového oddělení a mluvčí Úřadu pro ochranu osobních údajů Milan Řepka konstatoval, že uplynulé čtyři roky jasně prokázaly, že význam ochrany osobních údajů stoupá. „Platí to nejen ve vazbě na světovou globalizaci. Tento trend bylo možné pozorovat například i v souvislosti s opatřeními proti šíření onemocnění covid-19. Dále pak se zvýšeným výskytem hackerských útoků, ruskou invazí na Ukrajinu anebo cílenou sklizní osobních a sociálních dat v kyberprostoru,“ prohlásil Milan Řepka.
Špatně pochopená „zbytečnost“ chrání i naše peníze
S tímto hodnocením souhlasí i odborná konzultantka společnosti Ideal Mělník a.s. Tereza Vacková. Současně upozorňuje na skutečnost, že některé firmy a jejich pracovníci ani po čtyřech letech význam ochrany osobních dat dostatečně nepochopili. Někteří ji dokonce považují za zbytečnost. „Ano, velmi často se s těmito výhradami setkávám. GDPR je na české půdě bráno jako další z výmyslů Evropského parlamentu. Je to vnímáno tak, že firmám a lidem zde pracujícím má GDPR znepříjemňovat život. S tím si ale dovoluji nesouhlasit. Opak je totiž pravdou,“ prohlásila Vacková. „Během těchto čtyř let si lidé i firmy začali uvědomovat, jak zranitelní v online prostředí jsme a jak snadno nám může někdo ukrást naše osobní údaje. Například kdyby banky nedodržovaly bezpečí osobních dat, neměli bychom na účtech žádné peníze,“ upozornila Vacková.
K extrémnímu porušování nedochází
Při hodnocení uplynulých čtyř let, kdy Obecné nařízení o ochraně osobních údajů platí na území ČR, vyslovila Tereza Vacková mírný optimismus. V této souvislosti konstatovala, že se doposud se zásadním porušením nesetkala. „Jen možná s tím, že zaměstnavatel po zaměstnancích vyžadoval informace, zda jsou očkovaní, zda prodělali Covid-19 či zda se nechali testovat. Je ovšem velmi spekulativní, zda se jedná o porušení GDPR. Tedy o zpracování informací o zdravotním stavu, nebo zda se nejedná o informace o zdravotním stavu a zaměstnavatel jen zkoumal ‚bezinfekčnost‘. Ani sám Úřad pro ochranu osobních údajů nevyvodil jasné stanovisko,“ upozornila Vacková.
Podle nařízení GDPR je povinností firem jmenovat pověřence pro ochranu osobních údajů. V roce 2018 přišel podle jejích slov velký boom a značné množství společností na toto nařízení GDPR efektivně reagovalo. „Postupem času zájem o GDPR uvadá a dokumenty z roku 2018 jsou již historie. Je nutné je i nadále udržovat aktuální a platné,“ zdůraznila konzultantka.
Dravci z řad hackerů útočí na slabší oběti
Ke zcizování osobních dat nebo k takto zaměřeným pokusům dochází ze strany hackerů prakticky nepřetržitě. V síti jejich výpadů většinou končí menší firmy, které se nechávají ukolébat zdánlivým bezpečím.
Podle Vackové existuje v této oblasti výrazný rozdíl mezi velkými firmami a podnikatelskými subjekty rodinného typu. Malé firmy si ohrožení prakticky nepřipouštějí. Jsou totiž přesvědčeny, že pokud se ve firmě všichni dobře znají, nemůže se jim nic stát. „Pravdou je, že v mnoha případech ani nemají tolik finančních prostředků pro kvalitní zabezpečení firemní sítě. Hackeři o této skutečnosti dobře ví, a proto nejvíce jejich útoků cílí právě na tyto menší společnosti,“ varuje Tereza Vacková ze společnosti Ideal Mělník a.s.
Hackeři jdou na jistotu
Po napadení firmy klid nečekaně vystřídá šok. Díky nedůsledné ochraně totiž tyto společnosti pak přicházejí o značné finanční prostředky. „Prolomení sítě, která je nedostatečně zajištěná, totiž pro útočníky není takový oříšek jako například prolomení sítě velké společnosti. Pak už jen dochází k odcizení osobních dat a k placení spousty peněz za jejich vrácení,“ upozorňuje.
Dalším důvodem, proč se zločinci z řad hackerů zaměřují na malé firmy, je, že jsou přesvědčeni, že oběť vydírání se neobrátí na policii, ale vyděračům raději zaplatí požadovanou částku. „Těmto společnostem jde o to, aby mohly normálně fungovat v co nejkratším čase. Ve velkých firmách je situace zcela odlišná. Jsou zde zavedeny zásady a propracované interní postupy k zamezení porušování nařízení GDPR. Rovněž probíhá pravidelné školení zaměstnanců a upozorňuje se na důležitost dodržování GDPR,“ vysvětlila Vacková.
Nejvyšší pokuta přesáhla půl milionu
Úřad pro ochranu osobních údajů uložil během čtyř let nejvyšší pokutu v březnu 2021 ve výši 666 000 Kč. V České republice bylo během této doby podáno více než 1200 oznámení za porušení ochrany osobních údajů.
Zdroj: Tisková zpráva
