Operátor T-Mobile loni za masivní únik osobních údajů 1,2 milionu svých klientů dostal pokutu ve výši 3,6 milionu korun. Kdyby se ale podobný incident odehrál po 25. květnu 2018, byl by trest pro firmu s miliardovými tržbami znatelně tvrdší. Mohla by platit až 20 milionů eur (520 milionů korun) nebo čtyři procenta globálního obratu své mateřské společnosti Deutsche Telekom − podle toho, která z částek by byla vyšší.

Právě takto vysoké pokuty budou českým firmám hrozit, pokud podcení ochranu osobních dat svých zaměstnanců či klientů. Státní či obecní úřady by pak za stejné přečiny měly platit až 10 milionů korun.

"T-Mobile před námi incident tajil půl roku," říká šéfka Úřadu pro ochranu osobních údajů (ÚOOÚ) Ivana Janů, která se vrací k případu, kdy zaměstnanec operátora ukradl data o průměrných útratách nebo čísla osobních účtů.

Seriál HN k ochraně dat GDPR

◼ 8. 11. – GDPR a zaměstnanci
◼ 15. 11. – Kybernetická bezpečnost
◼ 22. 11. – GDPR a neochotní klienti

Nová pravidla vyplývají z již schváleného evropského nařízení na ochranu dat známého pod zkratkou GDPR. To všem organizacím ukládá, aby závažnější úniky osobních údajů do 72 hodin od zjištění incidentu ohlásily zmíněnému úřadu a spolu s ním také všem poškozeným lidem.

Tutlat únik se nevyplatí

Ohlašovat úniky dat musí firmy již nyní, žádná lhůta ale stanovená není. Podle oslovených právníků se podnikům do budoucna nevyplatí únik dat tajit, protože by pak mohly dostat vyšší sankci.

"U případů, kdy dosud uděloval pokuty v řádu jednotek mi­lionů korun, už se ÚOOÚ vyjádřil v tom smyslu, že by takové pokuty byly podle pravidel GDPR třeba na úrovni stovek milionů," říká Michal Nulíček z advokátní kanceláře Rowan Legal.

Maximální sankce, která by přesáhla půl miliardy korun, podle něj tuzemským firmám nejspíš nehrozí. "Taková pokuta by vyplývala z vědomého porušení pravidel GDPR, na něž firma dlouhodobě rezignuje. Aby společnost dostala pokutu v procentech svého globálního obratu, muselo by nejspíš jít o porušení ochrany dat v několika unijních státech zároveň," vysvětluje právník.

Pokutám se lze vyhnout

Organizace se přitom vysokým pokutám a pošramocené pověsti, kterou přiznání jejich bezpečnostních incidentů přinášejí, mohou zcela vyhnout. Stačí jim pouze, když své zaměstnance dostatečně proškolí, a osobní údaje navíc zašifrují nebo je anonymizují, aby se z nich v případě úniku nedala vyčíst identita konkrétních lidí.

Existuje třeba riziko, že údaje úmyslně nebo nedopatřením uniknou prostřednictvím firemního zaměstnance. Pracovník může firemní data uložit třeba na flash disk, který následně ztratí. "Když ale firma úřadu prokáže, že udělala vše pro to, aby úniku předešla, může to být důvod pro úplné odpuštění pokuty. A to i tehdy, když k incidentu vlivem lidského faktoru dojde," dodává právník.

Polehčující okolností spočívají třeba v souboru interních firemních směrnic, které rizikové nakládání s daty zaměstnancům zakazují. Při použití šifrování je zase zaručeno, že se k osobním údajům ze ztraceného flash disku nikdo nepovolený nedostane. "A to může pro firmu znamenat, že nemusí takový incident úřadu ani původcům údajů hlásit, čímž se také snižuje reputační riziko," vysvětluje Nulíček.

Některé společnosti se spoléhají na to, že se vlastní odpovědnosti vyhnou. Data proto svěřují firmám, které za ně osobní údaje zpracovávají třeba na internetovém serveru − cloudu, který je obecně považován za bezpečný.

Podle právníků ale za ochranu dat vždy zodpovídá jejich správce, tedy podnik, jemuž lidé své údaje původně svěřili. "Úkolem správce je do zpracování údajů zapojit jen takového zpracovatele, který ochranu dat může zaručit," říká právnička společnosti PwC Zuzana Dubská.

"Pochybení může samozřejmě vzniknout na straně zpracovatele. Firma, která si jej najala, ale musí úřadu prokázat, že sama za chybu nemůže. Jen tak se ze své odpovědnosti částečně vyváže," vysvětluje Dubská. Každý bezpečnostní incident by podle ní měla společnost zdokumentovat a vyhodnotit, v jaké míře bylo soukromí lidí poškozeno.