Unijní nařízení na ochranu osobních údajů (GDPR) vzbuzuje u mnoha českých firem obavy. Důvodem je hrozba vysokých, až stamilionových pokut za to, když ochranu soukromí svých zaměstnanců či klientů podcení. Případ železničního dopravce Leo Express, kterému mohly uniknout osobní údaje tisíců jeho cestujících, ovšem ukazuje, že  strach z GDPR byl zřejmě přehnaný.

Úřad pro ochranu osobních údajů (ÚOOÚ), který na dodržování GDPR dohlíží, uvedl, že se problémem Leo Expressu zabývat nebude. "Není povinností hlásit každý bezpečnostní incident," říká mluvčí ÚOOÚ Tomáš Paták.

Případ Leo Expressu se týká dvou bezpečnostních chyb, které na webu dopravce objevil cestující Kamil Zieliński. Polský programátor si chtěl ověřit, kolik osobních údajů má uvedeno na svém uživatelském profilu, a tak si v prohlížeči otevřel volně dostupnou funkci Vývojářské nástroje (Development Tools). Ta umožňuje u každé webové stránky zobrazit text jejího kódu v programovacím jazyku.

Ochrana soukromí

◼ Obecné nařízení o ochraně osobních údajů (GDPR) je v Česku a v celé EU účinné od 25. května letošního roku. Vztahuje se na všechny firmy, úřady, kraje, obce, školy či nemocnice.
◼ Cílem nových pravidel je dát lidem větší přehled o tom, co všechno o nich firmy a úřady vědí. E-shopy nově nesmí nákupy podmiňovat udělením souhlasu se zpracováním osobních údajů. Lidé zase mohou požadovat smazání svých dat, která o nich firmy sbírají.
◼ Od organizací GDPR vyžaduje data dostatečně zabezpečovat a mít přehled o tom, kdo všechno k nim má přístup. Za hrubé podcenění ochrany hrozí pokuty ve výši až 20 milionů eur nebo až čtyř procent globálního obratu podniku – podle toho, která suma je vyšší.
◼ Kvůli GDPR na úřadech a ve firmách vznikla i nová funkce takzvaného pověřence pro ochranu osobních údajů. Jde o pracovníka, který v každé organizaci na dodržování nových pravidel dohlíží a jedná s Úřadem pro ochranu osobních údajů (ÚOOÚ).
◼ Podle znění evropského nařízení musí být každé porušení zabezpečení údajů hlášeno příslušnému státnímu úřadu (v Česku je to ÚOOÚ). Platí přitom lhůta 72 hodin od zjištění takového incidentu. Podle úřadu se takové pravidlo na případ Leo Expressu nevztahuje, protože k porušení zabezpečení firemního webu, z něhož šly vyčíst osobní údaje cestujících, nedošlo.
◼ ÚOOÚ uvádí, že pokud u nějaké firmy dojde k porušení GDPR, úřad bude přihlížet k různým polehčujícím okolnostem. Řadí mezi ně ochotu společnosti spolupracovat s vyšetřovateli, snahu incident odčinit nebo prokázané úsilí úniku osobních údajů předem zabránit.

Z kódu se daly vyčíst Zielińského e-mail, adresa, telefon nebo výčet absolvovaných jízd. Cestující se přitom rozhodl v textu nahradit vlastní elektronickou adresu e-mailem jiného zákazníka Leo Expressu, aby zjistil, zda se dostane k osobním údajům dalších lidí. "Se znalostí e-mailů dalších cestujících, kteří komentovali služby Leo Expressu a které jsem na internetu našel, jsem se tak mohl volně dostat k jejich soukromým datům," vysvětluje programátor.

Podobným postupem Zieliński získal přístup také k jízdenkám dalších cestujících. Číslo vlastního lístku, který měl uložený na svém soukromém profilu, stačilo v kódu stránky zaměnit za jiné číselné varianty. Rázem tak měl přehled o jízdenkách tisíců dalších pasažérů, kteří u dopravce využívají věrnostního programu jménem Smile Club.

"Pokud bych takové informace využil, věděl bych, kdo, kdy a kam cestuje, a z toho třeba odvodil, zda jsou konkrétní cestující právě doma. Taky bych jim pak mohl volat na získaná telefonní čísla a obtěžovat je reklamními nabídkami," uvádí Zieliński.

Programátor na díry v zabezpečení webu Leo Expressu přišel v půlce května, tedy ještě před účinností nových pravidel ochrany dat. Na obě chyby firmu obratem upozornil. První z nich prý Leo Express odstranil ještě do konce května. Tu druhou až v půlce června, tedy až poté, co GDPR platilo. "Mým úmyslem rozhodně nebylo data zneužít. Odhalování bezpečnostních chyb je mým koníčkem," podotýká Zieliński.

Oslovení bezpečnostní experti označují programátorova zjištění za poměrně závažná. Firma si podle nich svou webovou aplikaci měla zabezpečit tak, aby jí osobní data nemohla popsaným způsobem uniknout. "Je otázka, zda o chybě nevěděl ještě někdo další, kdo kvůli tomu mohl osobní údaje odcizit. To by znamenalo pro Leo Express skutečně závažný problém," upozorňuje kyberbezpečnostní analytik Karol Suchánek.

Dopravce uvádí, že k žádnému úniku dat nedošlo. Proto o věci ani neinformoval Úřad pro ochranu osobních údajů, jak mu jinak pravidla GDPR ukládají. Sám úřad se ostatně Leo Expressu zastává. Podle něj je vždy na správci dat, aby vyhodnotil, co může jeho klientům hrozit. V daném případě ale ohrožení soukromí zřejmě vysoké nebylo.

S tím souhlasí i právnička Petra Dolejšová z advokátní kanceláře eLegal. "Prošetřit tento případ by úřad asi měl. Bezpečnostní chyby ale byly odstraněny, a tak není důvod firmě udělit sankci. Myslím, že je vhodné, když úřad u těchto menších prohřešků přivírá oči," míní.