GDPR firmám mimo jiné nařizuje vhodné zabezpečení osobních údajů, které spravují. Za porušení této povinnosti pak lze uložit pokutu ve výši až 10 milionů eur nebo až do 2 % ročního obratu. Jak však skrze žádost o poskytnutí informací u Úřadu pro ochranu osobních údajů zjistila společnost Safetica, uložil ÚOOÚ zatím pouze dvanáct pokut v hodnotě 515 tisíc korun.

„Pokuty za porušení zabezpečení uvedené v GDPR mnoho firem vystrašilo, protože ochrana osobních údajů a firemních údajů se obecně dlouho zanedbávala. Úřad však samozřejmě nemůže bezhlavě ukládat obří pokuty a musí se řídit nějakým principem přiměřenosti. V realitě tak nejvyšší dosud uložená pokuta dosáhla pouhých 180 tisíc korun. Pokud nepočítáme tento výjimečný případ, průměrná pokuta je sotva 30 tisíc korun,“ komentuje reálné dopady Richard Brulík, CEO společnosti Safetica.

Richard Brulík

„Skutečná hrozba pro firmy při úniku údajů není stát, nýbrž konkurence a poškozená image. Konkurence může data využít k posílení své pozice, přebírání zákazníků a podkopávání dotčené firmy. Pokud navíc hrozí reálné ohrožení práv lidí kvůli úniku dat, firma má povinnost je o tom informovat. Případný únik tak může podrývat důvěru klientů i zaměstnanců firmy, za což může firma tvrdě zaplatit,“ dodává Brulík.

Jako příklad potenciálních dopadů úniku firemních údajů uvádí americkou firmou AMCA, která byla nucena podat insolvenční návrh poté, co jí unikly osobní údaje 20 milionů lidí. „Jenom samotné vyšetřování a oznámení všem dotčeným ji stálo 4,2 milionu dolarů. To je samozřejmě extrémní příklad velké korporace. Smutnou pravdou ovšem je, že úniky dat nejvíce dopadají na malé podniky. Podle americké National Cyber Security Alliance kolem 60 procent malých podniků končí do šesti měsíců po rozsáhlém úniku dat,“ vysvětluje Brulík.

Problémy se zabezpečením osobních údajů jsou v Česku na denním pořádku. Správci osobních údajů podle GDPR musí ÚOOÚ ohlašovat každé závažnější porušení zabezpečení, které představuje pravděpodobné riziko pro práva dotčených osob. Během tří let na úřad přišlo 1 065 takových ohlášení, tedy jedno oznámení každý den.

Od začátku GDPR do konce letošního dubna navíc ÚOOÚ obdržel 338 podnětů a stížností od dotčených fyzických osob a více než 60 z nich bylo za první čtvrtletí letošního roku. Dle vyjádření ÚOOÚ většinu z těchto podnětů posoudil jako nedůvodné, protože se jednalo o „ad hoc jednání některého ze zaměstnanců správce osobních údajů“. Reálně se tak prošetřuje jen zlomek z nich.

„Drtivou většinu případů úřad považuje za neodůvodněné a pouze zlomek podnětů se reálně začne formálně řešit. Úřad jasně preferuje neformální řešení a nápravu situace,“ shrnuje přístup ÚOOÚ Brulík z brněnské společnosti Safetica.