Proč máme řešit GDPR, když lze všechno najít v katastru?
Článek upozorňuje na nebezpečí podceňování ochrany osobních údajů a digitálních dat v obcích, které čelí rostoucím kybernetickým hrozbám, jako jsou ransomware útoky. Poukazuje, že GDPR není pouze formalita, ale zásadní rámec pro zabezpečení dat, jejichž ztráta může vést k vážným důsledkům včetně finančních sankcí a ohrožení soukromí občanů. Autor také vyvrací mylnou představu, že vše důležité lze najít v katastru, a zdůrazňuje, že ochrana osobních údajů je nezbytná zejména v době plné digitalizace obecních agend.
Mnozí z vás si možná pomyslí něco ve smyslu: „A koho to zajímá? GDPR přece už bylo, všechny papíry jsme udělali, nic dalšího není potřeba. Pověřence máme a co by se u nás mohlo stát? My nic neděláme, navíc se dá všechno najít v katastru…”. Takovéto zkratkovité chápání ochrany osobních údajů a tím i veškerých dat, která organizace uchovává a s nimiž pracuje, svědčí o neporozumění problematiky a podceňování možných rizik, která dnes z digitálního prostředí plynou.
Představte si situaci, že ráno přijdete na úřad, zapnete počítač a zjistíte, že všechna data jsou pryč. Za chvíli se na jiném počítači podíváte do e-mailu, kde naleznete zprávu, že data z počítače jsou zašifrována, a pokud je chcete zpátky, máte zaplatit finanční obnos, který mnohonásobně překračuje rozpočet vaší obce. Když nezaplatíte, všechna data budou zveřejněna. Tedy téměř kdokoliv se dostane k informacím, které jste v počítači měli, včetně softwarů, v rámci nichž zpracováváte obecní agendy.
Přijde vám tento příběh nereálný, nebo přinejmenším „přitažený za vlasy“? Jde ale o realitu, která může potkat kohokoliv, kdo je připojený k internetu. Někoho pak bolí následky méně, někoho více, v ohrožení je navíc i soukromí jiných osob.
Aktualizujete pravidelně systémy v počítačích?
Jde o typický ransomwarový útok, který se dle pravidelných zpráv Národního úřadu pro kybernetickou bezpečnost nevyhýbá alespoň jednou měsíčně ani obcím. Při současné rozdrobenosti obcí je sice malá pravděpodobnost, že zasáhne přímo vás, statistická pravděpodobnost ovšem existuje. A my můžeme s ohledem na naše zkušenosti s jistotou potvrdit, že počet incidentů roste. Řešíme je čím dál častěji. Vyplývají nejen z nepozornosti, ale právě i z podcenění a neznalosti celé problematiky.
Co třeba takový ransomwarový útok prakticky znamená? Ztrátu dat, ke kterým se už obvykle nedostanete, pokud pečlivě nezálohujete. Dále je to obvykle hlášení bezpečnostního incidentu na Úřad pro ochranu osobních údajů a velká pravděpodobnost povinnosti ohlásit ztrátu dat i lidem, jejichž osobní údaje se v daném zařízení zpracovávaly. A to už se občanům úplně líbit nemusí…
Jméno, příjmení, nebo snad rodné číslo? O to už nejde
Velký omyl je myslet si, že je zde řeč o jménu, příjmení, adrese apod. Kvůli těmto osobním údajům už se dnes bezpečnostní incidenty ani nehlásí. Jde o všechno to ostatní, co ve svých digitálních zařízeních máte a co se dnes někde tam v útrobách internetu dá propojovat s jinými zdroji, používat k dalším průnikům. Osobní údaj je totiž všechno o fyzické osobě, co na ni může přímo či nepřímo ukázat. Tedy vlastně všechno ostatní, co v tom katastru opravdu nenajdete.
Osobní údaje jsou dnes v prostředí internetu prostředkem, jak dosáhnout zamýšlených cílů. Samy o sobě cílem útočníků nejsou, pouze nástrojem. Kdo je ale má nebo získá, drží výraznou konkurenční výhodu oproti ostatním.
Sankce? Bolet nemusí nejvíc ty finanční
Samosprávy zpracovávají a uchovávají obrovské množství dat, potažmo osobních údajů nejen svých občanů, ale všech, se kterými přicházejí do kontaktu. Vše se digitalizuje a propojuje. A jak s tím souvisí GDPR? Pokud nejste obec s rozšířenou působností, na kterou dopadne novela zákona o kyberbezpečnosti, jejíž účinnost se očekává v průběhu léta, pak máte povinnost postupovat podle pravidel pro zabezpečení a ochranu dat obsažených v GDPR. Jde o základní předpis, jenž vám určuje, jak máte chránit data, která zpracováváte. Pokud tato pravidla nedodržíte, zná národní úprava sankce pro správce, který porušil GDPR, i právo na uplatnění nároků pro subjekty údajů, jejichž osobní údaje byly ohroženy.
Není pravda, že všechno, co je nutné chránit, najdeme zveřejněné v katastru, a proto je celé GDPR jen nafouklá a nesmyslná bublina. Neplatí ani, že GDPR chrání proti zpracování osobních údajů. Chrání totiž osobní údaje při jejich zpracování. A význam této ochrany nabývá s tím, jak jsou již téměř všechny naše činnosti plně digitalizované.
Celý článek si můžete pročíst v květnovém vydání zpravodaje SMSka, v elektronické podobě zde. Archiv s předchozími vydáními si otevřete zde.
