GDPR: Proč ani vysoké sankce nemusí vést k včasnému informování o úniku osobních údajů?
Od nařízení na ochranu osobních údajů si mnozí slibují, že díky vysokým sankcím, které organizacím hrozí v případě, že nesplní požadavky v něm uvedené, bude v jejich zájmu jednat v souladu s těmito požadavky.
Můžeme jen doufat, že ve většině případů tomu tak skutečně bude, ovšem můžeme o tom i celkem úspěšně pochybovat.
Předpokládejme, že v okamžiku, kdy daná organizace zjistí, že např. došlo k brutálnímu úniku osobních údajů, tak tuto skutečnost nejenže nenahlásí, ale bude ji stejně jako doposud tajit, protože škoda plynoucí ze zveřejnění informací o úniku osobních údajů je zpravidla vždy mnohem vyšší než samotná sankce.
Byť se může zdát, že sankce ve výši, jak ji definuje GDPR, je poměrně vysoká, tak v sázce je bohužel i ztráta dobrého jména společnosti. A s tou je téměř vždy spojena i ztráta důvěry stakeholderů a v konečném důsledku pak i výrazný pokles zisku, a v krajním případě i ukončení existence dané společnosti na trhu. Což je ztráta rovnající se několikanásobku hodnoty tržní kapitalizace dané společnosti.
Je třeba si uvědomit, že už jen samotné zveřejnění informace o tom, že daná organizace byla napadena hackery a došlo k úniku citlivých informací vede téměř vždy k odlivu části klientů a tedy i poklesu zisku.
Navzdory nařízení na ochranu osobních údajů tak může být management společnosti nakloněn spíše k tomu únik osobních údajů ututlat, stopy zahladit, a pokud to praskne, tak únik svést na bývalého zaměstnance, který měl k datům v rámci plnění svých pracovních povinností přístup.
Takovýto postoj managementu lze navíc považovat za naprosto racionální, obzvlášť když připustíme, že k únikům informací zpravidla nedochází v důsledku překonávání nějakých bezpečnostních opatření organizační a technické povahy, nýbrž ze strany zaměstnanců, kteří k daným datům mají naprosto legitimní přístup, a rozhodnou se je ukrást.
Příklady, že tato úvaha není úplně scestná, lze dohledat v zemích, kde povinnost informovat dotčené subjekty již dávno platí a stejně tak lze dohledat i případy, kdy po zveřejnění informací o kompromitaci dané společnosti poklesla podstatně hodnota jejich akcií, a v některých případech došlo i k ukončení její činnosti na trhu.
ČERMÁK, Miroslav, 2018. GDPR: Proč ani vysoké sankce nemusí vést k včasnému informování o úniku osobních údajů?. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/gdpr-proc-ani-vysoke-sankce-nemusi-vest-k-vcasnemu-informovani-o-uniku-osobnich-udaju/. [citováno 07.12.2024].
Štítky: GDPR
K článku “GDPR: Proč ani vysoké sankce nemusí vést k včasnému informování o úniku osobních údajů?” se zde nachází 2 komentáře.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
A co když někdo přijde o notebooka?
Musí to hlásit, když se data nedostanou ven?
Většinou se notebooky kradou kvůli HW do zastavárny.
Bez bližších informací nelze jednoznačně odpovědět, ale… Hlásit by se to mělo, pokud únik představuje vysoké riziko pro daný subjekt údajů. Pakliže na zcizeném zařízení byly uloženy např. osobní údaje, a data na disku nebyla šifrována, pak jednoznačně došlo k narušení bezpečnosti. Myslím, že ÚOOÚ již v minulosti řešil podobný případ a bylo konstatováno, že k porušení zákona stačí už jen to, že data na zcizeném notebooku nebyla dostatečně chráněna a subjekt údajů byl vystaven ohrožení.
Byť s vámi souhlasím, že ke krádežím notebooků dochází výhradně za účelem zpeněžení HW, tak je zde přesto poměrně velká pravděpodobnost, že se majitel bazaru podívá, co že je to na disku za data anebo ten disk prolustruje jeho nový majitel. A pak už jen záleží na tom, jak se zachová.
Problém je, že pokud firma ztrátu nebo krádež notebooku s osobními údaji nahlásí, tak zároveň bude muset i přiznat, že nepřijala příslušná bezpečnostní opatření. Protože jestliže na notebooku byla osobní data, tak to vyvolává otázku, zda k tomu byl vůbec důvod, proč nebyla uchovávána jen na serveru, a proč tato data, když už tedy musela být z nějakého důvodu uchovávána na lokálním disku notebooku, nebyla alespoň šifrována, což lze navíc i snadno zajistit, např. pomocí nástroje BitLocker nebo VeraCrypt.
Kromě toho podnikatel nemusí únik vůbec tajit. Problém je v tom, že o úniku se zpravidla dozví až několik měsíců poté, co k němu došlo. Podnikatel nemusí totiž vůbec tušit, že k nějakému úniku informací z jeho systému došlo. Nic mu totiž neschází a vše funguje jak má.
Navíc např. v případě úniku trvalé adresy, e-mailu, a karetních dat, může být problém určit, z jakého e-shopu tato data unikla, obzvlášť když se tyto údaje prodávají v balících, kde jsou namixována s daty z dalších úniků.