Jak by byl únik osobních údajů z Mall.cz řešen po účinnosti GDPR?

Na konci srpna byla zveřejněna zpráva, že Mall.cz byl napadený neznámými hackery a že unikly osobní údaje z přibližně 750.000 uživatelských účtů Mall.cz. Mall.cz se podle mého názoru choval odpovídajícím způsobem a reagoval velmi rychle: zablokoval účty podezřelé z napadení, informoval Úřad pro ochranu osobních údajů a všechny dotčené uživatele. Uživatele také vyzval ke změně svých přístupových hesel a v řádu několika málo dnů zpřístupnil všem svým uživatelům zdarma online aplikaci, která jim pomáhá ověřit, zda byl jejich účet napaden či nikoliv a jak mají postupovat.

Současně Mall.cz potvrdil, jakých osobních údajů se únik týkal a že nedošlo k únikům dat, o něž se každý online uživatel bojí – dat k bankovním účtům a kreditním kartám. Dále velmi rychle došlo k zamezení přístupu ke zkopírovaným údajům, které někdo (asi hackeři) zkopírovali na server Uložto.

Mall.cz současně oznámil, že se úniky dat týkaly účtů registrovaných před rokem 2015, kdy Mall.cz používal kódovací systém, jehož bezpečnost byla mezitím zkompromitována. Mall.cz měl po kompromitaci jím užívané metody co nejrychleji změnit kódování i u svých starých účtů. Posuzování toho, zda a v čem přesně Mall.cz porušil své právní povinnosti, ještě probíhá.

Tyto informace byly publikovány v řadě článků, včetně toho, že Mall.cz hrozí pokuta od ÚOOÚ až do 10 milionů Kč. Nicméně Mall.cz po úniku dat zdá se velmi správně spolupracuje s ÚOOÚ a snaží se nepříznivé následky úniku minimalizovat. V tom je výborným příkladem pro jiné subjekty, kterým se něco podobného stane v budoucnu.

Jak by se postupovalo v tomto případě, pokud by se (nedej bože) podobný hackerský útok na Mall.cz opakoval se stejnými následky (rozsáhlým únikem osobních údajů) po 25.5. 2018, tedy po datu účinnosti GDPR?

Základní právní posouzení stejné situace, včetně pravděpodobného pochybení, bude podle mého shodné. Všechny kroky, které Mall.cz podnikl, bude muset podniknout stejně rychle i za účinnosti GDPR. To, co bude jiné, bude jaké dozorové úřady budou únik vyšetřovat a zásadně jiné mohou být sankce, které budou moci být Mallu.cz uloženy. Přitom stanovisko tuzemského ÚOOÚ nemusí být rozhodující.

Je známo, že na Mallu.cz nakupuje kromě Čechů také řada občanů ze Slovenska, resp. občanů členských států Unie, kteří mají na Slovensku trvalé bydliště. Mall.cz bude pravděpodobně povinen informovat o úniku pouze ÚOOÚ a ne jeho slovenský protějšek. Pouze v případě, že by jeho uživatelé byli pouze ze Slovenska, nebo pokud by Mall.cz měl jedinou provozovnu umístěnou na Slovensku, přestože by byl založen a řízen z České republiky, měl by informovat také slovenský dozorový úřad.

Bez ohledu na to, jaký úřad bude Mall.cz kontaktovat, budou všechny dozorové úřady v zemích, jejichž občané jsou uživateli Mallu.cz, tzv. dotčenými dozorovými úřady, neboť bude pro ně splněná první z následujících podmínek, předepsaných GDPR pro dotčené dozorové úřady:

- Pokud únik dat významně poškodí nebo může významně poškodit subjekty údajů z těchto zemí, anebo

- tehdy, pokud dozorový úřad v jiné členské zemi obdrží i jen jedinou stížnost subjektu údajů.

Vedoucím dozorovým úřadem bude pravděpodobně „náš“ ÚOOÚ. ÚOOÚ bude povinen spolupracovat aktivně se všemi dotčenými dozorovými úřady, informovat je o úniku dat a o průběhu šetření a návrzích rozhodnutí. V tomto článku se nebudu zabývat podrobnostmi úpravy této spolupráce podle GDPR. Chci se dotknout pouze otázky sankcí.

ÚOOÚ opakovaně a podle mého správně prohlašuje, že plánuje udělovat sankce ve zhruba stejné výši jako dosud, tedy do 10 milionů Kč. Podle GDPR ale úroveň sankcí může být několikanásobně vyšší – může činit ve vztahu k porušení povinnosti řádně zabezpečit zpracovávané osobní údaje až 10 milionů EUR nebo až 2% celosvětového ročního obratu. Jde tedy o mnohonásobek současných hodnot.

ÚOOÚ jako vedoucí dozorový úřad navrhne výši odpovídající sankce. Může přitom dojít k situaci, že ÚOOÚ navrhne udělení pokuty, která bude řádově nižší, než je představa některého z dotčených úřadů, např. slovenského úřadu pro ochranu osobních údajů. ÚOOÚ by pak měl hledat konsensus. Pokud se nenajde konsensus, může nespokojený dotčený úřad eskalovat spor ke sboru, což je nový orgán EU, tvořený zástupci dozorových úřadů ze všech členských států EU (vždy jeden úřad z každé členské země). Sbor pak závazně rozhodne. Udělená pokuta tak může být i zásadně odlišná, než navrhne vedoucí dozorový úřad – v tomto hypotetickém případě náš ÚOOÚ.

GDPR má za cíl sjednotit rozhodovací praxi ve všech členských státech Unie a proto obsahuje mechanismus rámcově popsaný výše, který by měl tuto jednotnost rozhodování v praxi zajistit. To je zásadně odlišná situace od současného stavu.

Reklama
Reklama

ISSN: 1213-5003 © Copyright 2017 ČTK

Načíst další článek

15°C

Dnes je středa 20. září 2017

Očekáváme v 9:00 12°C

Celá předpověď