Osobné údaje sú firemné aktívum aj časovaná bomba

Stále viac používame digitálne technológie a len málo tušíme o tom, kde a aké dáta sa o nás ukladajú, ako nás sledujú kamery, kam sa odosielajú údaje a ako by mali byť spravované.

Napríklad také rodné číslo je dokonalý a jedinečný identifikátor. Zamysleli ste sa, akú silu má tento osobný údaj? Kde všade ste ho zadali, kde sa dá nájsť a ako ho chránia organizácie, ktorým ste ho zverili? Regulácia je často kritizovaná, no na druhej strane je to reakcia na súčasný fenomén doby.

Na čo sú komu naše údaje

Osobné údaje sú hromadne obchodovaná komodita. Ponúkajú sa v cene pár centov za sto kusov, sú predávané v státisícových objemoch a balíkoch. A tieto balíky sa nabaľujú a spájajú.

Čiastkové úniky osobných údajov totiž samy o sebe majú nízku hodnotu. Až keď sa technicky vyčistia, zjednotia a prepoja cez spoločné identifikátory ako telefónne číslo alebo e-mail, vznikne ucelený profil. Ten sa ďalej obohacuje o informácie z ďalších zdrojov a opakovane predáva alebo zneužíva na krádež identity, podvody a cielené útoky.

Tu etický hackerc Martin Hanic zo spoločnosti Citadelo varuje, že rodné číslo unikne len raz a navždy. „A hlavne, na rozdiel od hesiel či kontaktných údajov, ktoré si ľudia strážia alebo menia, rodné číslo ani číslo sociálneho poistenia sa po úniku údajov nedá zmeniť.“

Aj svetlo, aj tma

Profesionáli sa zhodujú – povedomie o ochrane osobných údajov rastie, ale nie rovnomerne. Zatiaľ čo väčšie firmy už bežne integrujú GDPR do svojich procesov a rámcov, menšie subjekty často pristupujú k ochrane údajov iba reaktívne. Podľa skúseností právnej expertky Lucie Semančínovej dochádza často k náprave až po kontrole dozorného orgánu, výskyte incidentu alebo tlaku zo strany obchodných partnerov.

Audítor kybernetickej bezpečnosti Andrej Mišura zo spoločnosti Cyllium je v hodnotení ešte prísnejší: „Malé a stredné podniky často nemajú ani povedomie, čo ochrana osobných údajov vyžaduje. A široká verejnosť považuje ochranu svojich údajov za abstraktný pojem.“

Najčastejšie pochybenia

Nedostatky v ochrane osobných údajov sa vo firmách až notoricky opakujú. Absentuje základná dokumentácia, chýba poriadok v spracúvaných osobných údajoch a nie je dostatočné technické zabezpečenie, vyratúva Andrej Mišura.

S technologickými trendami prichádzajú aj ďalšie nástrahy a výzvy, ako chrániť dáta v digitálnom priestore. Problematickými sú napríklad startupy v rýchlom raste, kde expanzia predbieha procesy a súlad so zákonom. Kontinuálne rastie počet incidentov, ktoré sú spojené s únikom údajov cez tretie strany, čiže cez dodávateľov.

Odvrátená strana trendov

V ostatných mesiacoch sa Jozef Bálint zo spoločnosti Alison Slovakia ako manažér kybernetickej bezpečnosti stretáva u zákazníkov so situáciou, ktorú klasik opísal vetou „rozmohol sa nám tu taký nešvár“. Vo verejnej správe a v zdravotníctve sa objavilo množstvo „odborníkov“, ktorí ponúkajú kurzy o umelej inteligencii.

Na prvý pohľad ide o chvályhodnú snahu. Problém nastáva v momente, keď v rámci kurzov lektor radí lekárom či úradníkom, ako si zefektívniť prácu pomocou nástrojov typu ChatGPT.  A to často s využitím reálnych údajov pacientov alebo občanov. “V týchto momentoch asi každého bezpečáka obchádzajú mdloby,” hovorí Jozef Bálint.

Skutočne riziko nespočíva v samotnej umelej inteligencii. Rizikom je spôsob, ako s ňou pracujeme a nekontrolované využívanie nástrojov, ktoré spracúvajú osobné dáta.

Dôsledky sú nepredstaviteľné

Dôsledky úniku osobných údajov by sa nemali zľahčovať. Okrem priamych finančných nákladov akými sú právne služby či pokuty podľa GDPR, prichádzajú aj menej viditeľné, no bolestivé škody. Strata dôvery klientov, poškodená reputácia a dlhodobý vplyv na stabilitu organizácie sa v praxi často rátajú v miliónoch eur.

Ak do verejných či zdravotníckych procesov vpustíme generatívne modely bez jasných pravidiel a kontroly, dokážeme síce za pár sekúnd vytvoriť text, no zároveň aj veľmi rýchlo vyrobiť problém – najskôr s GDPR a aj s AI Aktom.

Tu marketing nemá miesto

Ak má byť umelá inteligencia pomocníkom a nie rizikom, aj tu treba dodržiavať základné princípy, známe už roky. Patria sem anonymizácia údajov, jasne nastavené prístupové práva, kontrola tokov dát a absolútny zákaz poskytovania osobných údajov verejným modelom.

A školenia o AI? Tie by mali viesť ľudia, ktorí chápu nielen technológiu, ale aj bezpečnosť a zodpovednosť, ktorú prináša práca s osobnými údajmi. Práve preto by mali organizácie pri výbere partnerov klásť väčší dôraz na súlad s GDPR a AI Aktom, ako na samotný „wow“ efekt umelej inteligencie.

Čo zmeniť a sledovať

Z praktického hľadiska bude potrebné v tomto roku zosúladiť ochranu osobných údajov s viacerými reguláciami. Vzniká prepojený rámec ochrany dát, bezpečnosti a digitálnych práv.

V súvislosti s nariadením DORA a kyberzákonom sa sprísňuje dohľad nad dodávateľmi IKT služieb. Advokátka Lucia Semančínová upozorňuje, že už nepostačuje iba formálne uzatvorenie sprostredkovateľskej zmluvy. Právnym štandardom sa stáva aktívny audit bezpečnosti subdodávateľského reťazca a preverovanie schopnosti dodávateľa zabezpečiť ochranu osobných údajov.

V roku 2026 nadobúdajú účinnosť zásadné časti AI Aktu. Kľúčovým opatrením sa stáva dokumentovanie logiky AI systémov. Pri rizikových AI systémoch musia analýzy preukázať, že nasadenie technológie nevedie k nezákonnému zasahovaniu do práv osôb či k nepresnému spracúvaniu údajov.

Už sa tomu nedá vyhnúť

“Agenda ochrany osobných údajov pre firmy sa bude sústreďovať najmä na prispôsobenie sa rýchlemu technologickému vývoju,” sumarizuje rok Zuzana Valková predsedníčka Úradu na ochranu osobných údajov.

Akútne je potrebné zamerať sa na to, aké údaje firmy zbierajú, cez aké nástroje ich spracúvajú, čo všetko sa s údajmi deje, kto všetko má k ním prístup a či je tento rozsah skutočne nevyhnutný. Firmy by mali aktívne prehodnocovať používané aplikácie, cloudové služby či AI nástroje a zaujímať sa nielen o ich funkčnosť, ale aj o bezpečnostné opatrenia a mieru transparentnosti voči dotknutým osobám.