oPeniazoch.sk, seesame Foto: getty images
Český Úrad pre ochranu osobných údajov udelil pokutu vo výške 1,5 milióna českých korún (58 000 eur) online obchodu mall.cz za to, že nezabezpečil osobné údaje takmer štvrť milióna zákazníkov. Tieto totiž unikli v roku 2017 prostredníctvom servera ulozto.cz.
„Aj keď ide o prípad ešte spred platnosti GDPR, v mnohom ukazuje na nedostatky, ktoré aj dnes má veľká časť firiem v ochrane osobných údajov. Technické a organizačné zabezpečenie osobných údajov totiž vyžadovali aj predtým platné zákony. Na týchto princípoch nariadenie GDPR nič nezmenilo. Mnohé firmy uvedené zásady nerešpektovali ani vtedy a nerobia tak ani dnes,“ vysvetľuje JUDr. Pavol Szabo z právnickej kancelárie GHS Legal.
Už článok 17 smernice EÚ z roku 1995, ktorá na rozdiel od GDPR musela byť implementovaná priamo do slovenských zákonov, kládla dôraz na to, aby bola zabezpečená primeraná úroveň bezpečnosti údajov so zreteľom na stav techniky.
„Podľa pôvodnej zákonnej úpravy a aj dnes podľa GDPR nie je žiadny prevádzkovateľ oprávnený sprístupniť spracúvané osobné údaje iným osobám, pokiaľ na to nemá právny titul. Tým môže byť buď priamo súhlas od dotknutej osoby, prípadne tento právny titul môže vyplývať z uzatvorenej zmluvy, z povinnosti stanovenej zákonom, rozhodnutia štátneho orgánu alebo z verejného záujmu. Firmy majú už dlhé roky povinnosť zamedziť prístup k osobným údajom neoprávneným osobám. Túto povinnosť si mall.cz očividne nesplnil,“ vysvetľuje P. Szabo.
Online shop by podľa GDPR mohol dostať pokutu až 7 miliónov eur
Zo správy českého úradu takisto vyplýva, že priťažujúcou okolnosťou pri určení výšky pokuty mohlo byť aj to, že spoločnosť nevedela identifikovať pôvod v bezpečnostnom incidente. „Pritom vo všeobecnosti platí, že každý prevádzkovateľ musí okamžite po tom, čo sa o úniku údajov dozvedel, vykonať všetky opatrenia k tomu, aby zamedzil, resp. minimalizoval dôsledky porušenia alebo ich napravil. Ak by sa niečo také stalo za účinnosti GDPR, firma musí únik nahlásiť do 72 hodín príslušnému úradu a ak by išlo o vysoké riziko pre dotknuté osoby a nevykonala by opatrenia k zamedzeniu následkov incidentu, musí firma informovať aj všetky dotknuté osoby, a to bez zbytočného odkladu.“
Pokuta pre mall.cz mohla byť výrazne vyššia, ak by sa incident stal po účinnosti GDPR. Pri takomto porušení totiž hrozí pokuta do 2 % celosvetového ročného obratu za predchádzajúci účtovný rok alebo do 10 miliónov eur. Obrat online shopu Mall pritom v Čechách a na Slovensku dosiahol v roku 2017 až 340 mil. eur, čiže pokuta počas platnosti GDPR by mohla dosiahnuť až 6,8 milióna eur.
„Dozorný orgán pritom určuje pokutu podľa kategórie osobných údajov, závažnosti a okolností incidentu. Keďže tento incident sa dotkol 735 956 osôb, radí sa rozhodne medzi závažné.“
Skontrolujte si, či máte spracúvanie údajov zabezpečené technicky aj právne
Podľa skúseností kancelárie GHS Legal neprijala veľká časť firiem na Slovensku správnu kombináciu opatrení v súvislosti s GDPR. „Je dôležité zabezpečiť spracúvanie dát technicky a súčasne aj právne. A zároveň by mali zamestnanci absolvovať školenie základov ochrany osobných údajov a dostať jasnú informáciu, čo môžu a čo nemôžu s osobnými údajmi robiť. Mnoho ľudí v praxi podceňuje to, komu poskytujú osobné údaje klientov či zamestnancov, a tak často dochádza k porušeniu zásad GDPR,“ vysvetľuje Pavol Szabo.
Na Slovensku zatiaľ úrad pokutu v súvislosti s GDPR neudelil
Na Slovensku začal Úrad na ochranu osobných údajov od 25. mája do 6. septembra celkovo 25 konaní o ochrane osobných údajov podľa ustanovenia § 99 zákona č. 18/2018. Úrad zatiaľ neudelil žiadnu pokutu v súvislosti s kontrolou dodržiavania GDPR.
