Nejvyšší správní soud (NSS) zveřejnil dne 11. listopadu 2021 rozsudek č.j. 1 As 238/2021 – 33, jímž zpochybnil rozhodnutí o pokutě 1,5 milionu korun uložené společnosti Internet Mall, provozovatele e-shopu Mall.cz, v souvislosti s únikem osobních údajů stovek tisíc uživatelských účtů. Ze samotné skutečnosti, že k úniku došlo, nelze automaticky vyvozovat spáchání přestupku. Úřad pro ochranu osobních údajů (ÚOOÚ) by se měl zabývat tím, jaká bezpečnostní opatření proti hackerům firma ve sporném období uplatňovala a zda byla přiměřená.

„Stěžovatel (společnost Internet Mall) sice musí obdobné jednání předvídat, nemůže však za něj nést automaticky odpovědnost bez ohledu na to, jaká opatření za účelem ochrany osobních údajů přijal, a nakolik promyšlený a propracovaný byl útok neznámého subjektu, který údaje z databáze odcizil,“ stojí v rozsudku NSS. Případ se vrací do fáze, kdy by mělo vedení znovu rozhodovat o rozkladu proti prvostupňovému rozhodnutí ÚOOÚ.

Úřad pro ochranu osobních údajů uložil v roce 2018 společnosti pokutu za to, že nezajistila bezpečnost osobních údajů zhruba 736 000 zákazníků, a umožnila tak únik dat, o kterém se dozvěděla až po několika letech, když se údaje objevily na webu ulozto.cz.

Žalobu proti rozhodnutí úřadu zamítl Městský soud v Praze, který dospěl k závěru, že samotný únik dat, navíc firmou nezaznamenaný, svědčí o nedostatečnosti bezpečnostních opatření. Podle kasační stížnosti společnosti by však takový výklad znamenal, že veškeré subjekty, které se stanou obětí úspěšného útoků hackerů, se dopouští přestupku, bez ohledu na to, jaká opatření reálně přijaly a jaký charakter útok měl.

NSS se postavil na stranu společnosti Internet Mall. Odpovědnost správců a zpracovatelů osobních údajů není bezbřehá, vždy jde o to, zda vynaložili při ochraně dat náležité úsilí. „Ačkoliv totiž musel být stěžovatel připraven i na možnost takového protiprávního jednání, stěží lze očekávat, že jím přijatá bezpečnostní opatření budou natolik silná, aby byla schopná odrazit případně i sofistikovaný a cílený kybernetický útok,“ konstatoval NSS. Úřad by se proto nyní měl zabývat opatřeními ve sporném období a při tom ověřit, zda byla přiměřená a odpovídala tehdejší úrovni.

Celé znění rozsudku č. j. 1 As 238/2021 – 33 naleznete ZDE.

Zdroj: ČTK, NSS
Foto: canva.com