Kybernetická rizika při práci z domova
Řada společností přešla kvůli současné situaci do režimu home office a jejich zaměstnanci byli najednou schopni vykonávat svou profesi naplno i mimo kancelář. Této změně musely společnosti přizpůsobit i své IT systémy. To ale s sebou přináší řadu aspektů, včetně dostatečného zabezpečení dat, se kterými je nově nakládáno z osobního domácího připojení. Dodržování kybernetické bezpečnosti proto nyní představuje zásadní otázku.
Na základě ustanovení zákona o zpracování osobních údajů musí firmy zavést dostatečná technická a organizační opatření, aby byla zajištěna náležitá úroveň bezpečnosti. Mnoho organizací dále podléhá řadě smluvních závazků a specifickým pravidlům pro určitá odvětví. Podniky proto musí brát v úvahu smluvní ustanovení týkající se kyberbezpečnosti, která budou použita v souvislosti s informacemi a daty (například jak budou ukládány či jakým způsobem a kdy budou odstraněny nebo zničeny).
---
Mnoho zaměstnavatelů muselo kvůli současnému stavu změnit způsob výkonu práce svých zaměstnanců. Kromě jiných negativních aspektů představuje práce z domova kybernetická rizika pro celkové fungování daných společností. To jen umocňuje fakt, že doma lidé nemají “po ruce” technickou podporu IT specialistů, používají vlastní technická zařízení jako mobilní telefony a notebooky, nemají k dispozici dostatečné IT řešení či programy a firmy nemohou na 100 % zajistit, že se poblíž těchto zařízení nebudou pohybovat cizí osoby.
Článek 32, jež je součástí nařízení GDPR, výslovně stanovuje, že správce a zpracovatel provedou „vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku“. Potenciální hrozby je tedy nezbytné náležitou cestou ošetřit.
Přestože neexistuje univerzální návod, shrnujeme tipy pro pár konkrétních oblastí, na které je vždy nutné myslet. Tato doporučení jsou zároveň zcela v souladu s tím, co již k otázce práce z domova vydaly některé evropské úřady na ochranu osobních údajů:
**1. Zabezpečte prvně svá zařízení** Je nutné se ujistit, že používaná zařízení budou uzamčena, pokud je jejich majitel potřebuje z jakéhokoliv důvodu nechat bez dozoru. Dále by měla být vypnuta, uzamčena nebo jinak pečlivě uložena, pokud nejsou v danou chvíli používána. V případě ztráty či odcizení by měla existovat možnost vymazat vybraná data na dálku.
Rovněž je nezbytné zajistit, aby byl software daného přístroje vždy plně aktualizován a jeho obsah pravidelně zálohován. Implementace efektivního řízení přístupu (například vícefaktorové ověřování a silná hesla) a šifrování dále omezuje přístup k datům uložených na daném zařízení.
V neposlední řadě je pro zabezpečení možné využívat speciální fólie na displeje, které omezují zorný úhel dalších osob. Jejich cílem je zabránit tomu, aby citlivé údaje na displeji notebooku viděl někdo cizí.
**2. Dodržujte příslušné zásady týkající se používání e-mailu**Pro zasílání pracovních e-mailů je potřeba používat pouze firemní e-mailové účty, nikoliv osobní. Je také dobré si minimálně dvakrát zkontrolovat, zdali je e-mail odesílán správnému příjemci. V současné době také dochází ke zvýšenému počtu útoků typu phishing [1], kdy příjemcům chodí zprávy typu falešných nabídek čerpání dotací a podpůrných programů, které poskytuje mnoho evropských vlád na ochranu pracovních míst a podniků.
**3. Zajistěte svým zaměstnancům firemní cloudové a síťové přístupy**Mezi elementy, které zvyšují úroveň ochrany citlivých údajů, patří také aktualizované firemní zásady a školení. Rovněž je třeba zajistit, aby pracovníci používali pouze důvěryhodné sítě nebo cloudové služby příslušné organizace, ve které pracují a bezpečné připojení k firemní síti (například připojení přes VPN). Všechna lokálně uložená data by následně měla být dostatečně a bezpečně zálohována, pokud zaměstnanci potřebují pracovat bez cloudového nebo síťového přístupu.
**4. Nenechávejte papírové záznamy volně k nahlédnutí**Písemnosti s důležitými záznamy je mimo kancelář možné chránit například tím, že budou uchovány v uzamčené kartotéce či zásuvce. V případě nepotřebnosti by měla firma zajistit jejich bezpečnou likvidaci, aby z místa, kde zůstaly ležet, nemohly být odcizeny a následně zneužity.
Dále je vhodné vést záznamy o tom, kdy byly které dokumenty přeneseny domů, aby byl zachován přehled o umístění důležitých listin.
Zaměstnanci, kteří pracují s jednorázovými citlivými dokumenty, by pak měli mít možnost tyto dokumenty standardním způsobem zničit (například zapůjčením skartovacího stroje) a nijak je nehromadit.
---
Obecně platí, že zavedení příslušných firemních postupů je pouze prvním krokem. Musí s nimi být seznámeni všichni zaměstnanci, ideálně formou interaktivního školení. Jejich znalosti by měly být pravidelně prověřovány. Pro opakovaná školení je doporučené vyžívat reálné scénáře na kterých by bylo ilustrováno, jak by se zaměstnanci měli zachovat v konkrétních situacích. I v oblasti kyberbezpečnosti totiž platí, že se metody útoků postupně mění a jsou mnohem sofistikovanější než dříve. Firmy by tedy měly být vždy o krok napřed a vhodnými postupy nejen plnit zákonnou povinnost správce či zpracovatele osobních údajů, ale především chránit svá firemní data.
Na závěr je dobré poznamenat, že tyto zavedené, dodržované a zcela funkční postupy organizacím bohužel nestačí. Obdobné principy by měly mít nastavené i jejich dodavatelé, případně další zpracovatelé osobních údajů. Proto je žádoucí vést s nimi otevřenou komunikaci a požádat tyto subjekty o potvrzení, že jsou příslušné postupy zavedeny a dodržovány i na jejich straně.
[1] Tzv. „phishing“ je podvodná technika používaná na internetu k získávání citlivých údajů (hesla, čísla kreditních karet, apod.) v elektronické komunikaci. K nalákání uživatelů komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, online platebních portálů, úřadů státní správy nebo od IT administrátorů.
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
