Stačí formulář na webu, který ukládá jména a e-maily bez zabezpečení, nebo zapomenutá aktualizace redakčního systému – a najednou jste v novinách jako firma, která „unikla data zákazníků“. Většina majitelů malých webů si myslí, že GDPR pokuty hrozí jen velkým korporacím. Realita je jiná: Úřad pro ochranu osobních údajů (ÚOOÚ) trestal i firmy, u kterých unikly údaje o pár stovkách lidí, a pokuty se pohybovaly od desetitisíců po stovky milionů korun. Rozdíl mezi „nic se nestalo“ a „pokuta, o které se mluví roky“ je často jen v tom, jestli má web základní zabezpečení a firma ví, co má v takové chvíli dělat.

Kolik reálně stojí porušení GDPR

Evropské nařízení GDPR stanovuje strop pokut na až 10 milionů eur nebo 2 % celosvětového ročního obratu firmy – platí ta částka, která je vyšší. U vážnějších porušení (třeba nedostatečný souhlas se zpracováním) může strop vyskočit až na 20 milionů eur nebo 4 % obratu. To jsou horní hranice pro nejzávažnější případy velkých firem. V praxi českého úřadu ale vidíme celou škálu – od pokut v řádu desetitisíců korun za drobné pochybení až po stamiliony za systémové porušení zákona.

Nejvyšší pokuta v Česku: 351 milionů korun

Zatím nejvyšší pokutu v historii uložil ÚOOÚ společnosti Avast Software – 351 milionů korun za neoprávněné zpracování osobních údajů uživatelů antivirového programu (za část roku 2019). Šlo o zpracování dat v rozsahu, který uživatelé nečekali a se kterým fakticky nesouhlasili. Případ ukazuje, že úřad nepokutuje jen „úniky“ ve smyslu hacknutí databáze, ale i to, jak firma s daty zachází ve své běžné praxi.

Podobně citelnou ránu dostal T-Mobile, kterému ÚOOÚ vyměřil pokutu 3,6 milionu korun v souvislosti s únikem dat zákazníků. I telekomunikační gigant s desítkami právníků a bezpečnostním oddělením se tedy pochybení nevyhnul – a musel zaplatit i reputační cenu v podobě mediálního pokrytí.

Malé firmy platí taky – jen v jiných řádech

Co je pro majitele malého webu asi nejdůležitější: ÚOOÚ trestá i výrazně menší kauzy, které se týkají desítek či stovek lidí, ne miliony uživatelů.

  • Programátor online hry zneužil svého přístupu a unikla jména hráčů, ID účtů, hesla, e-maily i IP adresy – pokuta 15 000 Kč.
  • Firma nezajistila dostatečně údaje asi 300 klientů uvedené ve smlouvách – pokuta 30 000 Kč.

Částky samy o sobě nemusí znít drasticky, ale je to jen ta část, kterou vidíte v rozhodnutí úřadu. K tomu se přičítá čas strávený šetřením, právní poradenství, oprava zabezpečení pod tlakem a – co je nejhorší – ztráta důvěry klientů, kteří se dozví, že jejich údaje „unikly odněkud, kde neměly“. U malé firmy nebo živnostníka může tahle nedůvěra bolet víc než samotná pokuta.

72 hodin, které rozhodují

GDPR ukládá správci osobních údajů (tedy typicky provozovateli webu, e-shopu nebo firemní databáze) povinnost ohlásit narušení bezpečnosti osobních údajů Úřadu pro ochranu osobních údajů do 72 hodin od okamžiku, kdy se o něm dozví. Pokud lhůtu prošvihnete nebo únik zamlčíte, riskujete přísnější postih – úřad totiž hodnotí i to, jak firma na incident reagovala, ne jen to, že k němu došlo. Jinými slovy: rychlé a transparentní přiznání problému může pokutu výrazně zmírnit, zatajování ji naopak zvyšuje.

Na co si dát pozor

  • Formuláře na webu (kontaktní, poptávkové, přihlášky k newsletteru), které ukládají data bez šifrovaného přenosu (chybějící HTTPS) nebo bez jasného souhlasu.
  • Zastaralý redakční systém či pluginy – nejčastější vstupní brána pro únik databáze s kontakty zákazníků.
  • Sdílené nebo slabé přístupové údaje do administrace webu, e-mailu či CRM.
  • Osobní údaje uložené „navíc“ – například historie objednávek nebo rodná čísla, která firma vůbec nepotřebuje a jen zvyšují riziko.
  • Chybějící záznam o tom, kdo má k datům přístup a jak dlouho se uchovávají.

Co s tím

Nemusíte se stát právním expertem na GDPR, stačí pár konkrétních kroků:

  • Zjistěte, kde všude máte osobní údaje. Formuláře, e-maily, CRM, fakturační systém – sepište si to.
  • Zkontrolujte základní zabezpečení webu – platný certifikát HTTPS, aktuální verze redakčního systému a pluginů, silná hesla do administrace.
  • Mažte, co nepotřebujete. Data, která nevyužíváte, jen zvyšují škodu v případě úniku.
  • Připravte si postup pro případ incidentu – kdo a jak rychle ohlásí problém ÚOOÚ, aby se stihla lhůta 72 hodin.
  • Nechte si web pravidelně zkontrolovat – řadu zranitelností a slabin jde odhalit zvenčí, bez nutnosti cokoliv na webu měnit.

Projde váš web technickou kontrolou?

Zjistěte zdarma, jestli váš web netrpí některým z problémů z tohoto článku. Uděláme mu revizi bezpečnosti, rychlosti i viditelnosti a pošleme přehledný report – bez závazků.

Chci revizi webu zdarma →

Zdroje: ÚOOÚ – pokuta 351 mil. Kč, EY – analýza pokuty Avast, Danovky.cz – první pokuty za porušení GDPR.


Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *