Podle průzkumu Cyber Security Breaches Survey 2025(nové okno) bylo v roce 2025 terčem phishingových útoků více než 93 % podniků a 95 % charitativních organizací, přičemž mnoho organizací bylo zasaženo opakovaně.

Celosvětově jsou typy dat, u kterých nejčastěji dochází k úniku, jména a e-mailové adresy (v 9 z 10 úniků informací), následované telefonními čísly, hesly a citlivými údaji, jak ukazuje výzkum provedený pro naši observatoř úniků informací.

Malé podniky jsou obzvláště zranitelné: navzdory svým opatřením v oblasti kybernetické bezpečnosti je čtvrtina z nich napadena hackery.


S ohledem na to vše musí být podniky a bezpečnostní experti připraveni a vědomi si svých ohlašovacích povinností, aby udrželi provoz bezpečný a v souladu s předpisy.

Ve Spojeném království je hlášení úniků informací o osobních údajích Úřadu komisaře pro informace (ICO) více než jen zákonnou povinností; je to klíčový postup, který utváří důvěru veřejnosti, chrání jednotlivce a ovlivňuje výsledek úniku informací pro postižené organizace.

V tomto průvodci prozkoumáme, co se považuje za únik informací podléhající hlášení, jak jsou úniky informací regulovány ve Spojeném království, a představíme praktické kroky (založené na reálných zkušenostech), které podnikům pomohou k tomu, aby se k hlášení postavily čelem.

Co se ve Spojeném království považuje za únik informací?

Kdy a jak nahlásit únik informací úřadu ICO

Jaké jsou běžné výzvy při hlášení úniku informací?

Jaké jsou nejlepší postupy pro přípravu na hlášení úniku informací?

Jak může Proton Pass for Business snížit rizika úniků informací ve vaší firmě

Udržujte svůj podnik připravený

Co se ve Spojeném království považuje za únik informací?

Únik informací ve Spojeném království se týká jakéhokoli bezpečnostního incidentu, který vede k náhodné nebo nezákonné ztrátě, zničení, změně, neoprávněnému prozrazení dat nebo k tomu, že k nim má někdo přístup. Podle pokynů úřadu ICO k úniku informací dochází, když jsou data uložena špatně nebo vystavena riziku, ať už byla událost způsobena lidskou chybou, technickými závadami nebo kriminálními činy.

Některé situace, které mohou vést k únikům informací, zahrnují:

  • Odeslání e-mailu obsahujícího citlivé informace nesprávnému příjemci
  • Ztráta nebo krádež zařízení, na kterém jsou uloženy nešifrované osobní detaily
  • Náhodné smazání nebo poškození důležitých souborů
  • Infekce malware(nové okno), které umožňují cizím osobám přistupovat k záznamům zaměstnanců
  • Ztráta fyzických souborů nebo jejich ponechání ve veřejných prostorách

Tyto situace jsou důležitou připomínkou toho, že úniky informací se neomezují pouze na hackerské incidenty. V praxi mohou být jednoduché chyby, jako je založená faktura nebo špatně nadepsaný dopis, z hlediska zákona stejně vážné.

To znamená, že dopad se neomezuje jen na velké události. Pokud vznikne jakékoli reálné riziko pro práva nebo svobody osob — jako je krádež identity, podvod nebo poškození pověsti — pravděpodobně se potýkáte s únikem informací, který je nutné nahlásit. Jinými slovy, i malé opomenutí může mít velký dopad.

Kdy a jak nahlásit únik informací úřadu ICO

Podle požadavků úřadu ICO(nové okno) musí být únik osobních údajů, který by mohl vést k riziku pro práva a svobody osob, nahlášen do 72 hodin od okamžiku, kdy se o něm dozvíte. Selhání při hlášení může vést k pokutám až do výše 2 % celosvětového obratu. Maximální pokuta za únik informací ve Spojeném království je navíc 4 %.

Pro organizace, které působí jako poskytovatelé služeb vytvářejících důvěru v rámci britského nařízení eIDAS(nové okno), se použijí specifická pravidla(nové okno): pokud má únik informací významný dopad na poskytované služby, musí být ICO informováno do 24 hodin a uživatelé o tom musí být co nejdříve informováni.

Jak ale poznáte, zda únik informací dosáhne hranice pro nahlášení? Klíčovým testem je riziko. Zeptejte se sami sebe: mohl by tento incident způsobit jednotlivcům fyzickou, materiální nebo nemateriální újmu? Pokud je odpověď „možná“, je nutné jednat.

Zde je krok za krokem popsáno, jak nahlásit únik informací ve Spojeném království:

  1. Rychle identifikujte a zastavte únik informací. Podnikněte okamžitá opatření k minimalizaci škod — například odvolejte přístup, izolujte dotčené systémy nebo resetujte ohrožené přihlašovací údaje.
  2. Posuďte riziko. Kdo a jak je zasažen? Zvažte typ a množství dotčených osobních údajů, jak snadné je identifikovat jednotlivce a také jakékoli možné důsledky.
  3. Vše si zaznamenávejte. I když se rozhodnete únik nenahlásit, máte ze zákona povinnost uchovávat záznamy o únicích informací, o vašem vyšetřování a o důvodech, které vedly k vašemu rozhodnutí.
  4. Vyplňte online formulář pro hlášení úřadu ICO. Jsou požadovány následující informace:
    • Popis toho, co se stalo a jak to bylo odhaleno
    • Datum a čas odhalení úniku informací
    • Kategorie a přibližný počet dotčených jednotlivců a záznamů
    • Pravděpodobné výsledky a kroky podniknuté k řešení problému
    • Preventivní opatření, která byla zavedena
    • Kontaktní údaje vašeho pověřence pro ochranu osobních údajů (DPO) nebo vedoucího pracovníka zodpovědného za zprávu
  5. Komunikujte s dotčenými jednotlivci, pokud existuje vysoké riziko pro jejich práva nebo svobody. Toto není jen nejlepší praxe — k tomuto postupu vás zavazuje obecné nařízení o ochraně osobních údajů (GDPR) a zákon o ochraně osobních údajů.

Vzhledem k tomu, že jde o zákonný požadavek, nesmí podniky váhat s hlášením těchto událostí, a to ani tehdy, pokud se domnívají, že se situace vyřeší. Bez ohledu na typ úniku informací a jeho rozšíření může včasné oznámení úřadu ICO zobrazit, že vaše společnost bere odpovědnost a zmírnění dopadů vážně. Dodržování požadavků ICO na hlášení navíc pomáhá vašemu podniku budovat důvěru, a to jak u zákazníků, tak i u regulačních orgánů.

Stránka ICO pro hlášení úniku osobních údajů(nové okno) pokrývá všechny nuance a může vám pomoci identifikovat kritickou situaci a podle toho jednat.

Jaké jsou běžné problémy při hlášení úniku informací?

Navzdory jasným právním požadavkům podniky často selhávají ze stejných důvodů. Problémy obvykle začínají zde:

  • Zpožděná nebo opomenutá hlášení. Někdy si týmy nejsou jisté, kdo je za hlášení zodpovědný, nebo únik informací objeví, až když je příliš pozdě. Výsledek? Sankce ze strany ICO a poškozená důvěryhodnost.
  • Nedostatek úplných informací. Hlášení podané příliš brzy – bez shromáždění klíčových faktů – může zanechat mezery ve zprávě nebo vyvolat doplňující otázky ze strany ICO.
  • Špatná interní komunikace. Citlivé problémy se mohou „zaseknout“ v jednom oddělení, místo aby byly eskalovány příslušnému kontaktu nebo pověřenci pro ochranu osobních údajů (DPO).
  • Nedostatečné záznamy. Některé podniky nemají k dispozici žádné nebo téměř žádné důkazy o tom, jak byl únik informací řešen, a to ani po odstranění primárního problému. To je vystavuje regulačnímu dohledu.
  • Nejistota zaměstnanců nebo nedostatečné školení. Pokud zaměstnanci nevědí, co se považuje za únik informací, nebo si nejsou jisti postupy pro jeho nahlášení, mohou incidenty proklouznout.

Každý incident vypadá trochu jinak, ale absence jasného rámce odezvy situaci vždy ještě zhorší. Z tohoto důvodu je strukturovaný plán hlášení stejně důležitý jako technická opatření. Také stojí za to mít na paměti, že příprava je vždy lepší než panika.

Jaké jsou nejlepší postupy pro přípravu na hlášení úniku informací ve Spojeném království?

Následující postupy (a několik vybraných nástrojů) pokládají pevný základ, díky němuž se dodržování předpisů stává méně krizovým cvičením a více řízeným procesem.

1. Zaveďte detekci a dokumentaci incidentů

Vše začíná uvědoměním. Nastavte si upozornění na podezřelou aktivitu a vyzvěte zaměstnance, aby okamžitě hlásili veškeré podezřelé e-maily, chybějící data nebo to, že má k nim někdo neoprávněný přístup. Jakmile se objeví podezření na incident:

  • Zdokumentujte kdo, co, kde, kdy a jak
  • Pro své záznamy si uchovejte logy a snímky obrazovky
  • Uchovávejte si důkazy, i když později zjistíte, že se jedná o planý poplach

Včasné zdokumentování detailů zajistí, že budete mít pevný základ pro hlášení a analýzu po incidentu.

2. Sledujte využívání přístupů a přihlašovacích údajů

Protože hesla a přístupové tokeny mohou otevřít cestu k citlivým datům, je kontrola nad přihlašovacími údaji jedním z nejrychlejších způsobů, jak odhalit úniky informací a omezit škody. Pravidelné audity odhalí sdílená nebo opakovaně použitá hesla, chybějící 2FA, neaktivní účty nebo neoprávněné navyšování oprávnění.

Tyto kontroly přístupu by měly být:

  • Pravidelně plánované, nikoli ad hoc
  • Komplexní, pokrývající správcovské účty, cloudové služby, lokální systémy a účty prodejců
  • Podpořené nástrojem, který sleduje využívání přihlašovacích údajů, změny a aktivitu pomocí podrobných logů

Proton Pass for Business je bezpečný firemní správce hesel, který nabízí několik funkcí pomáhajících podnikům předcházet těmto únikům informací, včetně sledování síly hesel, přizpůsobitelných týmových zásad a upozornění na úniky.

Tento přístup, ve spojení se správnými nástroji, snižuje riziko úniku informací v důsledku kompromitovaných přihlašovacích údajů a v případě incidentu pomáhá rychle identifikovat, co se stalo.

3. Nastavte interní postupy pro hlášení

Jasná komunikace má vždy navrch nad chaosem a jednoduchá cesta pro eskalaci incidentu je řešením, které vaše společnost potřebuje pro efektivní hlášení o únicích informací. Zde je příklad plynulého pracovního postupu:

  • Všichni zaměstnanci hlásí podezřelé incidenty do centrální bezpečnostní e-mailové schránky nebo zodpovědnému pracovníkovi
  • Získané informace umožní specializovanému týmu rychle vyšetřit a vyhodnotit incidenty
  • Poté pověřený jednotlivec, jako je DPO, učiní konečné rozhodnutí o nahlášení

Jednoduchý vývojový diagram incidentu, sdílený při nástupu nových zaměstnanců a v připomenutích, dokáže zázraky. Usnadněte hlášení a implementujte kulturu bez stigmatizace, protože pokud se členové týmu budou bát následků, budou své chyby skrývat, místo aby je nahlásili.

4. Investujte do povědomí zaměstnanců a pravidelného školení

Průzkum Cyber Security Breaches Survey 2025(nové okno) potvrzuje, že phishing zůstává hlavní příčinou úniků informací (se kterým se setkalo 85 % dotazovaných podniků). Pro to, abychom dokázali čelit této realitě, je školení zaměstnanců v tom, jak rozpoznat varovné signály — od podezřelých e-mailů až po pokusy o sociální inženýrství — jedním z nejlevnějších a nejefektivnějších opatření.

Přístup ve formě krátkých lekcí podpořený příklady z reálného světa může vaše školení zlepšit. Kromě toho aktualizujte obsah školení tak často, jak je to možné, a vyhněte se spoléhání na obecné kurzy, které nelze aplikovat na vaše odvětví nebo organizační strukturu.

5. Posuzujte a zaznamenávejte dopady úniků informací objektivně

Nejlepším způsobem pro posouzení toho, zda by měl být únik informací nahlášen, je hodnocení rizik. Je naprosto klíčové zdokumentovat:

  • Typy ztracených dat a to, zda se jedná o citlivá data (zdravotní, finanční, data nezletilých atd.)
  • Jak snadno lze dotčené jednotlivce identifikovat
  • Jaká újma by mohla vzniknout (krádež identity, nepříjemnosti, finanční ztráta atd.)

Včasné jednání a písemné zaznamenání vašeho posouzení zobrazí úřadu ICO, že jste situaci brali vážně.

6. Praktikujte cvičení na reakci při úniku informací

Inscenování fingovaných úniků informací je klasické stolní cvičení, které může přinést velkou změnu. Zdůrazní skryté nedostatky, odhalí překážky v pracovních postupech a otestuje proces eskalace ještě předtím, než nastane skutečná událost.

A výsledek? Nejen důslednější dodržování předpisů, ale i tým, který pod tlakem ví, co má dělat (a proč).

7. Využívejte zabezpečenou správu přístupů a nástroje zaměřené na prevenci

Zkompromitovaná hesla zůstávají primárním rizikem. To je důvod, proč bezpečná správa hesel tvoří základ prevence a reakce na incidenty. Řešení jako Proton Pass for Business výrazně omezují rizika spojená s úniky informací pomocí automatické rotace přihlašovacích údajů, sledování síly hesel a ztěžováním úspěšných phishingových útoků.

Další strategie a vysvětlení týkající se nástrojů můžete prozkoumat ve zdrojích o kybernetické bezpečnosti od společnosti Proton, obzvlášť pokud revidujete svůj vlastní soubor nástrojů.

Jak může Proton Pass for Business snížit rizika úniků informací ve vaší firmě

Podniky všech velikostí jsou zranitelné vůči únikům informací. Výzkum provedený společností Proton navíc ukazuje, že SMB mohou být těmi nejzranitelnějšími. Ale se správnými nástroji dokáže každá firma snížit svá rizika úniku informací: Proton Pass for Business adresuje technické problémy i problémy spojené s dodržováním předpisů.

  • Koncové šifrování chrání přihlašovací údaje uživatelů jak při ukládání, tak při přenosu. I když je infrastruktura zkompromitována, data zůstávají útočníkům nedostupná.
  • Sledování síly hesel zlepšuje zabezpečení firemní sítě. Slabá nebo opakovaně používaná hesla jsou odhalena a je na ně upozorněno za účelem zvýšení bezpečnosti.
  • Sledování temného webu zjišťuje uniklé přihlašovací údaje a zasílá upozornění. Aktivní skenování celého temného webu vám umožní včas identifikovat úniky informací a omezit potenciální škody.
  • Přizpůsobitelné a vymahatelné týmové zásady zajišťují silnější správu hesel. Přísné a adaptabilní zásady pro hesla, 2FA a sdílení dat pomáhají zajistit bezpečnost a regulovat přístup podle potřeb vaší organizace.
  • Centrální nástroje pro správce, automatické vykazování a kontrola sdílení přihlašovacích údajů znamenají, že změny lze provést během několika minut, nikoli dnů.
  • Otevřený zdrojový kód a pravidelné nezávislé audity budují důvěru. Bezpečnostní opatření nejsou jen prázdná slova – kdokoliv je může ověřit.

Zaměřením na posílení pozice uživatele, otevřenou bezpečnost a snadné nasazení se Proton přizpůsobuje přístupu s důrazem na soukromí. To vám pomůže vybudovat pracovní kulturu, ve které je odolnost vůči únikům informací zakotvena ve vašich každodenních pracovních postupech.

Pro organizace, které jsou připraveny přejít k bezpečné správě přístupů jako součásti programu přípravy na úniky informací, představuje firemní správce hesel od společnosti Proton ideální volbu; a to zejména pokud je pro vás compliance, použitelnost a transparentnost prioritou.

Společnost Novalytica například sdílí spoustu přihlášení se svými klienty a hledala bezpečný způsob, jak tento úkol provést. Proton Pass for Business vyřešil její potřeby komplexním řešením pro sdílení informací a přihlášení se zákazníky, které zaručuje bezpečnost a sledovatelnost.

Pokud máte zájem o praktické tipy pro plošné zavedení bezpečných přihlašovacích údajů a hlášení úniků informací, podívejte se na několik podrobných příkladů na stránce s firemními zdroji pro kybernetickou bezpečnost od společnosti Proton.

Udržujte svůj podnik připravený

Znalost toho, jak podat hlášení o úniku informací ve Spojeném království, je pro dodržování předpisů, důvěru a samotné přežití podniku klíčová. Rozdíl mezi zničující katastrofou a zvládnutým incidentem často spočívá v přípravě, komunikaci a použití správné kombinace lidí, procesů a bezpečných technologií.

Budování jasných interních pracovních postupů, procvičování cvičení pro případ incidentů a upřednostňování bezpečných nástrojů, jako je Proton Pass for Business, představují účinné kroky, které vám pomohou dodržet termíny pro hlášení nebo se vyhnout sankcím. Tyto osvědčené postupy navíc posilují řízení na všech úrovních, podporují odpovědnost a zajišťují vašim zákazníkům a úřadu ICO, že to s dodržováním pravidel myslíte vážně, a to i v těch nejnáročnějších chvílích.

Pokud si přejete udržet náskok, zjistěte více o poslání společnosti Proton usilovat o digitální svobodu a uvidíte, jak mohou nástroje orientované na soukromí pomoci vašemu podniku. Zveme vás k prozkoumání našich řešení pro podniky a k tomu, abyste se připojili k hnutí, pro které jsou středem kybernetické bezpečnosti lidé — a ne jen zisky.

Často kladené otázky ohledně úniků informací ve Spojeném království

Co se ve Spojeném království považuje za únik informací?

Únik informací ve Spojeném království je jakýkoli incident, při kterém dojde ke ztrátě, vyzrazení, změně nebo tomu, že k osobním údajům má někdo neoprávněný přístup bez povolení, ať už se tak stane náhodou, v důsledku kybernetického útoku nebo nedbalosti. Na čem záleží, je to, zda existuje riziko pro práva a svobody osob: to je hranice, která určuje, zda musíte únik informací nahlásit Úřadu komisaře pro informace (ICO).

Jak mohu nahlásit únik informací úřadu ICO?

Musíte použít online formulář pro hlášení úřadu ICO a uvést v něm klíčové detaily o úniku informací: co se stalo, kdy se to stalo, kolika osob a záznamů se týká a jaké kroky jste podnikli nebo plánujete podniknout pro zmírnění následků. Zprávu by měl podat Pověřenec pro ochranu osobních údajů v rámci organizace nebo jiný odpovědný úředník zpravidla do 72 hodin od zjištění incidentu (do 24 hodin pro organizace působící jako poskytovatelé služeb vytvářejících důvěru podle předpisu UK eIDAS).

Kdy bych měl úřadu ICO nahlásit únik informací?

Úřadu ICO byste měli únik informací nahlásit co nejdříve, nejpozději však do 72 hodin od jeho odhalení, pokud existuje pravděpodobnost, že by incident mohl ohrozit práva a svobody osob. Nedodržení této lhůty může mít za následek další regulační sankce a ztrátu důvěry veřejnosti.

Jaké informace jsou nezbytné k nahlášení úniku informací?

Úřad ICO požaduje kompletní popis úniku informací, čas a datum odhalení, povahu a objem dotčených osobních údajů, počet postižených osob nebo záznamů, případné škody a kroky přijaté k zastavení úniku. Je také vyžadována kontaktní osoba pro další postup. Pokud nebudete mít všechny informace k dispozici do 72 hodin, měli byste zprávu přesto podat a úřad ICO později aktualizovat, jakmile budete mít k dispozici další detaily.

Podléhají všechny úniky informací nahlášení úřadu ICO?

Ne, ne každý únik informací podléhá ohlašovací povinnosti. Musíte hlásit pouze ty incidenty, kterých se účastní osobní údaje a u kterých existuje skutečné riziko pro práva nebo svobody lidí. Nicméně i úniky informací, které nepodléhají ohlašovací povinnosti, musí být interně zaznamenány v logu pro případ, že by ICO v budoucnu kontroloval vaše záznamy.