Česká firma neochránila osobné údaje zákazníkov, bude pykať

Nariadenie Európskej únie GDPR, ktorého vymáhateľnosť vzbudzuje otázniky, má svoju prvú obeť. Je ňou internetový obchod Mall.cz. Český Úrad pre ochranu osobných údajov mu naparil pokutu vo výške 1,5 milióna českých korún, teda v prepočte asi 58 000 eur. Mall totiž nezabezpečil osobné údaje takmer štvrť milióna zákazníkov. Tieto unikli v roku 2017 prostredníctvom servera ulozto.cz.

23.10.2018 13:00
ľudia, GDPR, ochrana súkromia Foto:
Skratka GDPR sa v Európe stala symbolom pre ochranu osobných údajov. Aj zverejnenie tvárí ľudí v nevhodnom kontexte môže byť problém. Ilustračné foto.
debata

„Hoci ide o prípad ešte spred platnosti GDPR, v mnohom ukazuje na nedostatky, ktoré má aj dnes veľká časť firiem v ochrane osobných údajov. Technické a organizačné zabezpečenie osobných údajov totiž vyžadovali aj predtým platné zákony. Na týchto princípoch nariadenie GDPR nič nezmenilo. Mnohé firmy spomínané zásady nerešpektovali ani vtedy a nerobia tak ani dnes,“ vraví Pavol Szabo z právnickej kancelárie GHS Legal.

Online shop mal teda šťastie, že v čase úniku údajov ešte neplatilo GDPR. Podľa neho by mohol dostať pokutu takmer 7 miliónov eur. Už článok 17 smernice EÚ z roku 1995, ktorá na rozdiel od GDPR musela byť implementovaná priamo do slovenských zákonov, kládol dôraz na to, aby bola zabezpečená primeraná úroveň bezpečnosti údajov so zreteľom na stav techniky. „Podľa pôvodnej zákonnej úpravy, a aj dnes podľa GDPR, nie je žiadny prevádzkovateľ oprávnený sprístupniť spracúvané osobné údaje iným osobám, ak na to nemá právny titul. Tým môže byť buď priamo súhlas od dotknutej osoby, prípadne tento právny titul môže vyplývať z uzatvorenej zmluvy, z povinnosti stanovenej zákonom, rozhodnutia štátneho orgánu alebo z verejného záujmu. Firmy majú už dlhé roky povinnosť zamedziť prístup k osobným údajom neoprávneným osobám. Túto povinnosť si Mall.cz očividne nesplnil,“ vraví Szabo.

Ochrana údajov sa často porušuje

Z databázy Mall.cz unikli dáta najmenej 735 965 zákazníkov. Išlo o osobné údaje, ako sú mailová adresa, telefónne číslo, kontaktné údaje, heslá užívateľských účtov a podobne. „Vzhľadom na to, že úrady na ochranu osobných údajov v štátoch EÚ majú právomoc rozhodnúť o výške pokút, zákony presnú sadzbu nestanovujú, stanovujú len minimálnu a maximálnu hranicu týchto sankcií. Je už vecou konkrétneho úradu, akú výšku pokuty za porušenie nariadenia GDPR stanoví, a to v závislosti od konkrétneho prípadu a závažnosti porušenia pravidiel ochrany osobných údajov," vraví advokátka Natália Michalovová a dodáva, že je preto ťažké komentovať výšku či primeranosť pokuty udelenú spomínanej spoločnosti.

Keďže ide o jedno z prvých sankčných rozhodnutí v tejto oblasti, Michalovová predpokladá, že výška pokuty je skôr symbolická a má slúžiť ako výstražný signál pre ďalších prevádzkovateľov spracovania osobných údajov. Upozorňuje tiež, že úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností jednotlivého prípadu. „Pri rozhodovaní o uložení pokuty a určení jej výšky úrad zohľadní najmä povahu a závažnosť porušenia spracovania osobných údajov, počet dotknutých osôb, rozsah škody, ktorá porušením povinnosti vznikla, a prípadné zavinenie porušenia ochrany osobných údajov. Úrad môže uložiť pokutu do 10 mil. eur, alebo, ak ide o podnik, do dvoch percent celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia,“ vraví advokátka a opisuje svoju vlastnú skúsenosť s dodržiavaním GDPR. „Prevádzkovatelia ako osoby povinné rešpektovať tento zákon v nie dostatočnej miere pochopili jeho zmysel. Napriek tomu, že od účinnosti tohto nariadenia prešlo takmer päť mesiacov a prevádzkovatelia mali dostatočný čas na prispôsobenie svojich informačných systémov, dochádza často k porušovaniu pravidiel ochrany osobných údajov,“ myslí si advokátka.

Aj podľa názoru kancelárie GHS Legal veľká časť firiem na Slovensku neprijala správnu kombináciu opatrení v súvislosti s GDPR. „Je dôležité zabezpečiť spracúvanie dát technicky, a tiež aj právne. A zároveň by mali zamestnanci absolvovať školenie základov ochrany osobných údajov a dostať jasnú informáciu, čo môžu a čo nemôžu s osobnými údajmi robiť. Mnoho ľudí v praxi podceňuje to, komu poskytujú osobné údaje klientov či zamestnancov, a tak často dochádza k porušeniu zásad GDPR,“ vraví Szabo.

Na Slovensku zatiaľ bez pokuty

Pokuta pre Mall.cz mohla byť teda výrazne vyššia. Pri faux pas, ktorého sa dopustila, mohla dosiahnuť výšku dvojpercentného celosvetového ročného obratu za predchádzajúci účtovný rok alebo sumu do 10 miliónov eur. Obrat online obchodu Mall v Čechách a na Slovensku dosiahol v roku 2017 až 340 mil. eur, pokuta počas platnosti GDPR mohla byť teda až 6,8 milióna eur.

Zo správy českého úradu vyplýva, že priťažujúcou okolnosťou pri určení výšky pokuty mohlo byť aj to, že spoločnosť nevedela identifikovať pôvod v bezpečnostnom incidente. Vo všeobecnosti však platí, že každý prevádzkovateľ musí okamžite po tom, čo sa o úniku údajov dozvedel, vykonať všetky opatrenia na to, aby zamedzil, resp. minimalizoval dôsledky porušenia alebo ich napravil. Ak by sa niečo také stalo za účinnosti GDPR, firma musí únik nahlásiť do 72 hodín príslušnému úradu, a ak by išlo o vysoké riziko pre dotknuté osoby a nevykonala by opatrenia na zamedzenie následkov incidentu, musí firma informovať aj všetky dotknuté osoby, a to bez zbytočného odkladu.

Na Slovensku začal Úrad na ochranu osobných údajov od 25. mája do 6. septembra celkovo 25 konaní o ochrane osobných údajov podľa ustanovenia zákona č. 18/2018. Zatiaľ však žiadnu pokutu v súvislosti s GDPR neudelil.

Čo vraví GDPR o ochrane osobných údajov

  • Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými spracovateľskými operáciami alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto zákona alebo osobitného predpisu, celková suma pokuty nesmie presiahnuť výšku ustanovenú za najzávažnejšie porušenie ochrany osobných údajov.
  • Pokutu možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
  • Poriadkovú pokutu úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote.
  • Poriadkovú pokutu možno uložiť do 6 mesiacov odo dňa, keď k porušeniu povinnosti došlo.
  • Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.

© Autorské práva vyhradené

debata chyba
Viac na túto tému: #GDPR