Pondelok 26. augusta. Meniny má Samuel

Mall.cz dostalo pokutu za únik dát

Ostatné správy 12.10.2018 | 16:05 0 Komentárov

Český Úrad pre ochranu osobných údajov udelil pokutu vo výške 1,5 milióna českých korún (58 000 eur) online obchodu mall.cz za to, že nezabezpečil osobné údaje takmer štvrť milióna zákazníkov.

Údaje klientov unikli ešte v roku 2017 prostredníctvom servera ulozto.cz. „Aj keď ide o prípad ešte spred platnosti GDPR, v mnohom ukazuje na nedostatky, ktoré aj dnes má veľká časť firiem v ochrane osobných údajov. Technické a organizačné zabezpečenie osobných údajov totiž vyžadovali aj predtým platné zákony.

Na týchto princípoch nariadenie GDPR nič nezmenilo. Mnohé firmy uvedené zásady nerešpektovali ani vtedy a nerobia tak ani dnes,“ vysvetľuje JUDr. Pavol Szabo z právnickej kancelárie GHS Legal. 

Pokuta pre mall.cz mohla byť výrazne vyššia, ak by sa incident stal po účinnosti GDPR. Pri takomto porušení totiž hrozí pokuta do dvoch percent celosvetového ročného obratu za predchádzajúci účtovný rok alebo do desiatich miliónov eur. Obrat online shopu Mall pritom v Čechách a na Slovensku dosiahol v roku 2017 až 340 mil. eur, čiže pokuta počas platnosti GDPR by mohla dosiahnuť až 6,8 milióna eur.

Dozorný orgán pritom určuje pokutu podľa kategórie osobných údajov, závažnosti a okolností incidentu. Keďže tento incident sa dotkol 735 956 osôb, radí sa rozhodne medzi závažné.

„Nijako nespochybňujeme závažnosť samotného úniku, bezpečnosť dát užívateľov je pre nás prvoradá. Preto sme v dobe úniku prijali bez odkladu opatrenia siahajúce nad rámec zákonných povinností, napríklad preventívne resetovanie hesiel všetkých používateľov, a plne spolupracovali s Úradom pre ochranu osobných údajov,“ uvádza hovorkyňa spoločnosť Mall, Táňa Lálová.

Dodáva, že so stanoviskom Úradu pre ochranu osobných údajov sa firma nestotožňuje. Problematická je podľa nej definícia priestupku v zákone. „Najmä preto, že priestupok môže byť spáchaný aj v prípade, že k žiadnemu úniku nedôjde, alebo naopak, môže dôjsť k úniku, ale nemusí ísť o priestupok,“ hovorí.

Už článok 17 smernice EÚ z roku 1995 kládol dôraz na to, aby bola zabezpečená primeraná úroveň bezpečnosti údajov so zreteľom na stav techniky. „Podľa pôvodnej zákonnej úpravy a aj dnes podľa GDPR nie je žiadny prevádzkovateľ oprávnený sprístupniť spracúvané osobné údaje iným osobám, pokiaľ na to nemá právny titul. Tým môže byť buď priamo súhlas od dotknutej osoby, prípadne tento právny titul môže vyplývať z uzatvorenej zmluvy, z povinnosti stanovenej zákonom, rozhodnutia štátneho orgánu alebo z verejného záujmu,” hovorí P. Szabo.

Firmy majú už dlhé roky povinnosť zamedziť prístup k osobným údajom neoprávneným osobám. Túto povinnosť si mall.cz očividne nesplnil,“ dodáva právnik.

Zo správy českého úradu takisto vyplýva, že priťažujúcou okolnosťou pri určení výšky pokuty mohlo byť aj to, že spoločnosť nevedela identifikovať pôvod bezpečnostného incidentu. Pritom vo všeobecnosti platí, že každý prevádzkovateľ musí okamžite po tom, čo sa o úniku údajov dozvedel, vykonať všetky opatrenia k tomu, aby zamedzil, resp. minimalizoval dôsledky porušenia alebo ich napravil.

Ak by sa niečo také stalo za účinnosti GDPR, firma musí únik nahlásiť do 72 hodín príslušnému úradu a ak by išlo o vysoké riziko pre dotknuté osoby a nevykonala by opatrenia k zamedzeniu následkov incidentu, musí firma informovať aj všetky dotknuté osoby, a to bez zbytočného odkladu.

Na Slovensku začal Úrad na ochranu osobných údajov od 25. mája do 6. septembra celkovo 25 konaní o ochrane osobných údajov podľa ustanovenia § 99 zákona č. 18/2018. Úrad zatiaľ neudelil žiadnu pokutu v súvislosti s tým.

Podľa skúseností kancelárie GHS Legal neprijala veľká časť firiem na Slovensku správnu kombináciu opatrení v súvislosti s GDPR. „Je dôležité zabezpečiť spracúvanie dát technicky a súčasne aj právne. A zároveň by mali zamestnanci absolvovať školenie základov ochrany osobných údajov a dostať jasnú informáciu, čo môžu a čo nemôžu s osobnými údajmi robiť. Mnoho ľudí v praxi podceňuje to, komu poskytujú osobné údaje klientov či zamestnancov, a tak často dochádza k porušeniu zásad GDPR,“ vysvetľuje P. Szabo.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *