Ochrana informací při šetření incidentů úřadem

Při řešení incidentu, který zasáhl data vaší firmy, se často objevuje otázka: Co všechno se může stát veřejným a co naopak zůstane tajné? Úřad pro ochranu osobních údajů (ÚOOÚ) není otevřenou knihou – o zpřístupnění informací rozhoduje velmi konkrétně, a to s ohledem na ochranu obchodního tajemství i efektivitu dozoru.

Ročně české firmy oznamují několik stovek incidentů, které představují riziko pro práva a svobody jednotlivců. Každý incident není jen číslem, ale konkrétním výpadkem systému, ztrátou dat či únikem osobních údajů. V praxi to znamená, že při útoku typu ransomware nebo při chybě v IT infrastruktuře je správce údajů povinen ÚOOÚ poskytnout informace o tom, co se stalo, jaké kategorie dat byly zasaženy a jaký je potenciální dopad. Tyto detaily se však nestávají automaticky veřejnými.

Český zákon o svobodném přístupu k informacím (§ 9 a § 11 zákona č. 106/1999 Sb.) nastavuje jasné limity. Informace, které mají charakter obchodního tajemství – například detaily interní IT architektury, smluvní vztahy s dodavateli nebo specifické postupy práce s daty – se zpřístupnit nesmějí. To je klíčové pro malé a střední podniky (MSP), protože odhalení těchto informací konkurenci by mohlo způsobit přímou finanční újmu.

Další ochranu poskytuje ustanovení o informacích získaných při výkonu dozoru. ÚOOÚ nesmí zpřístupnit dokumenty, které vznikly během šetření incidentu u konkrétní firmy. Prakticky to znamená, že interní šetření, audity či kontrolní zprávy obsahující citlivé postupy a poznatky jsou chráněny. Konkurence tedy nemá právo získat protokol o incidentu vaší firmy ani detaily o tom, jak úřad postupoval při jeho šetření.

Zároveň je nutné rozlišovat, co zveřejnit lze. Úřad může poskytovat závěry své činnosti v obecné rovině, bez odhalení citlivých dat – například statistiky počtu hlášených incidentů nebo typy porušení, aniž by identifikoval konkrétní subjekty či interní postupy. Pro MSP jsou to cenné informace: můžete sledovat trendy a rizikové oblasti v oboru, aniž by byla veřejně propírána vaše vlastní slabá místa.

Co to znamená pro správce údajů v praxi? Pokud nastane incident, musíte rychle identifikovat dotčené kategorie dat, informovat ÚOOÚ a připravit interní dokumentaci. ÚOOÚ očekává kompletní a přesné informace, jinak hrozí sankce až do výše opakovaně ukládaných pořádkových pokut. Poskytnutí těchto údajů dozorovému orgánu je však bezpečnou cestou ke splnění zákonné povinnosti.

Zkušenosti z praxe ukazují, že firmy často podceňují význam pojmu „důvěrná interní informace“. Například seznamy účtů s přístupem k citlivým datům, detaily zálohování nebo postupy obnovy po havárii jsou informacemi, které úřad nezveřejní. Malé a střední podniky se tedy nemusejí obávat, že by při splnění povinností vůči ÚOOÚ tyto údaje unikly ke konkurenci.

Konkrétní doporučení pro firmy je jasné: Mít nastavené interní procesy pro hlášení incidentů, přesně vymezit citlivou dokumentaci a spolupracovat s ÚOOÚ tak, aby byly dodrženy povinnosti GDPR, ale zároveň nebyla ohrožena obchodní tajemství. Sledování statistik zveřejňovaných úřadem pak může MSP pomoci k cílenému posílení ochrany dat na základě typických hrozeb v tržním prostředí.

Fakta ukazují, že transparentnost vůči úřadu neznamená riziko pro byznys. Správce může poskytnout všechny zákonem vyžadované informace, aniž by ohrozil své interní know-how. Rovnováha mezi splněním zákonných povinností a ochranou konkurenční výhody je pro stabilní podnikání v digitální éře naprosto zásadní.