Bezpečnost a ochrana osobních údajů v ČR za rok 2024
Rok 2024 přinesl mnoho změn v legislativě, regulačních opatřeních a kybernetické bezpečnosti. Zaznamenali jsme růst počtu incidentů a novou dynamiku v používání umělé inteligence. Níže se podrobněji věnujeme jednotlivým klíčovým oblastem.
1. Legislativa a regulační opatření: Novely zákona o ochraně osobních údajů a evropské směrnice
Novela zákona č. 110/2019 Sb., účinná od druhé poloviny roku 2024, přinesla zásadní změny v nakládání s citlivými údaji, zejména v oblasti zdravotnictví a finančních služeb.
Hlavní změny:
- Hlásící povinnost incidentů: Organizace musí ohlásit jakýkoli bezpečnostní incident spojený s únikem údajů do 72 hodin od zjištění.
- Automatizované rozhodování: Subjekty údajů mají nyní právo obdržet jasné vysvětlení rozhodnutí provedených AI systémy. To zahrnuje zejména oblasti, jako je schvalování půjček nebo rozhodování o zdravotní péči.
- Právo na lidský zásah: Uživatelé mohou požádat o manuální přezkum automatizovaných rozhodnutí.
Legislativa reaguje i na Nařízení o umělé inteligenci (AI Act), jehož přijetí se předpokládá v roce 2025, což ovlivní budoucí doplnění pravidel.
2. Rozšířená působnost Digital Services Act (DSA) a jeho dopad na české podniky
Nařízení o digitálních službách (DSA) mělo za cíl zpřísnit odpovědnost digitálních platforem za obsah a ochranu soukromí uživatelů.
Hlavní změny:
- Transparentnost algoritmů: Provozovatelé online platforem musí vysvětlit principy fungování svých doporučovacích systémů (např. algoritmů navrhujících obsah uživatelům).
- Ochrana zranitelných skupin: Platformy musí zavést přísnější opatření pro ochranu dětí a mladistvých, například omezení personalizované reklamy.
- Jednotný systém hlášení: Uživatelé musí mít snadný přístup k nástroji, kterým mohou nahlásit nevhodný obsah nebo žádost o jeho odstranění.
Podle Ministerstva průmyslu a obchodu ČR musely české společnosti investovat do technických úprav, aby splnily podmínky stanovené DSA, což bylo náročné zejména pro menší podniky.
3. Incidenty a trendy: Růst kybernetických útoků a úniků dat
Podle zprávy NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) došlo v roce 2024 k nárůstu počtu kyberútoků o více než 30 % oproti předchozímu roku. Nejčastějšími typy útoků byly ransomware, phishing a DDoS útoky.
Příklady významných incidentů:
- Únik dat státní instituce: V lednu 2024 byla napadena databáze obsahující údaje občanů včetně citlivých údajů o finanční podpoře. Tento případ vedl ke zvýšení investic do bezpečnostních opatření na úrovni veřejné správy.
- Ransomware útoky: Organizace ve zdravotnictví byly častým cílem kvůli hodnotným datům pacientů. Výkupné v některých případech dosahovalo až milionů korun.
Klíčová výzva: Mnoho útoků bylo úspěšných kvůli nedostatečně proškoleným zaměstnancům, kteří se stali oběťmi phishingových kampaní.
4. Role umělé inteligence v ochraně dat: Příležitost nebo hrozba?
AI hrála v roce 2024 dvojí roli: byla využívána jako nástroj ochrany, ale zároveň představovala riziko.
- Detekce kybernetických hrozeb: AI systémy byly nasazovány pro monitorování podezřelých aktivit v sítích, čímž významně zkrátily dobu odhalení útoků.
- Nejasná pravidla: Mnoho organizací implementovalo AI bez jasné představy o regulacích a pravidlech ochrany dat, což vedlo k problémům s transparentností a možnostmi zneužití.
Výzvou pro budoucnost zůstává zajistit, aby systémy AI fungovaly v souladu s GDPR, zejména v otázkách souhlasu se zpracováním údajů a vysvětlitelnosti algoritmů.
5. Ochrana osobních údajů v sektoru zdravotnictví a školství
Zdravotnictví a školství patřily mezi sektory, které se potýkaly s přísnějšími pravidly v oblasti ochrany osobních údajů:
- Zdravotnictví: Bylo nutné zavést přísnější šifrovací standardy pro přenos dat pacientů v rámci elektronických zdravotních systémů, jako je eRecept a sdílení zdravotních karet.
- Školství: Školy musely revidovat své používání vzdělávacích platforem a nástrojů, aby zabránily sdílení osobních údajů žáků s třetími stranami bez informovaného souhlasu rodičů.
Nedodržení pravidel GDPR v těchto sektorech vedlo k několika pokutám, přičemž částky se pohybovaly v řádu stovek tisíc korun.
6. Mezinárodní kontext: Schrems II a transatlantický rámec ochrany dat
Transatlantický Data Privacy Framework (DPF) byl oficiálně přijat v roce 2024 jako náhrada za zrušený Privacy Shield.
Problémy a otázky:
- Evropský soudní dvůr stále sleduje, zda je rámec v souladu s GDPR, zejména pokud jde o přístup amerických vládních agentur k osobním údajům.
- Organizace, které přenášejí data do USA, musely podepsat nové standardní smluvní doložky (SCC) a přijmout dodatečná bezpečnostní opatření.
Právníci i organizace však nadále očekávají možné další soudní spory.
7. Posílení pravomocí ÚOOÚ a zvýšení kontrol
Úřad pro ochranu osobních údajů (ÚOOÚ) získal rozšířené pravomoci v oblasti kontrol a ukládání sankcí. V roce 2024 bylo provedeno přes 300 kontrol zaměřených zejména na:
- Zabezpečení přístupů k datům (např. kontrola přihlašovacích mechanismů a ochrany hesel).
- Zpracování dat v marketingu: Kontrolovala se pravidla pro zasílání newsletterů a reklamy s využitím souhlasu uživatelů.
ÚOOÚ udělil rekordní pokuty, přičemž nejvyšší dosáhla částky 10 milionů Kč za únik dat ve finančním sektoru.
8. Doporučení pro rok 2025: Na co si dát pozor
- Školení zaměstnanců: Klíčové je pravidelné proškolování zaměstnanců na identifikaci phishingu a dodržování bezpečnostních pravidel.
- Pravidelné audity: V roce 2025 by měly organizace zavádět pravidelné audity interních procesů a zabezpečení dat.
- Monitorování AI systémů: AI nástroje je nutné podrobovat nezávislým auditům, aby bylo zajištěno, že zpracování dat probíhá v souladu s právními předpisy.
Tento přehled poskytuje základní vhled do aktuálních témat a zároveň upozorňuje na klíčové trendy a rizika, která by organizace neměly podcenit. Pro podrobnější doporučení můžete sledovat aktualizace ÚOOÚ či konzultovat s externími odborníky.
