Ze samotné skutečnosti, že k úniku dat došlo, nelze automaticky vyvozovat spáchání přestupku.
Nejvyšší správní soud (NSS) zpochybnil rozhodnutí o pokutě 1,5 milionu korun uložené společnosti Internet Mall v souvislosti s únikem osobních údajů stovek tisíc uživatelských účtů před čtyřmi roky. Ze samotné skutečnosti, že k úniku došlo, nelze automaticky vyvozovat spáchání přestupku. Úřad pro ochranu osobních údajů (ÚOOÚ) by se měl zabývat tím, jaká bezpečnostní opatření proti hackerům firma ve sporném období uplatňovala a zda byla přiměřená. Teprve poté lze případně uložit sankci, plyne z rozhodnutí na úřední desce.
„Stěžovatel (Internet Mall) sice musí obdobné jednání předvídat, nemůže však za něj nést automaticky odpovědnost bez ohledu na to, jaká opatření za účelem ochrany osobních údajů přijal, a nakolik promyšlený a propracovaný byl útok neznámého subjektu, který údaje z databáze odcizil,“ stojí v rozhodnutí. Případ se vrací do fáze, kdy by mělo vedení znovu rozhodovat o rozkladu proti prvostupňovému rozhodnutí ÚOOÚ.
Úřad v roce 2018 uložil firmě pokutu za to, že nezajistila bezpečnost osobních údajů zhruba 736.000 zákazníků, a umožnila tak únik dat, o kterém se dozvěděla až po několika letech, když se údaje objevily na webu ulozto.cz.
Firma je podle mluvčí Pavly Hobíkové přesvědčena, že dodržela všechna bezpečnostní opatření a data zákazníků vždy chránila odpovídajícím způsobem. „To potvrzuje i skutečnost, že se zlodějům podařilo prolomit ochranu odcizených dat až v roce 2017, tedy několik let po jejich krádeži, kdy byly již k dispozici silnější nástroje. V mezidobí se technologie zásadně posunuly. Za poslední čtyři roky jsme do ochrany našich zákazníků investovali desítky milionů korun. V oblasti IT neustále posilujeme naše zabezpečení a pro ochranu zákaznických dat využíváme metodu, která odpovídá nejvyšším standardům,“ řekla ČTK.
Žalobu proti rozhodnutí úřadu zamítl Městský soud v Praze, který dospěl k závěru, že samotný únik dat, navíc firmou nezaznamenaný, svědčí o nedostatečnosti bezpečnostních opatření. Podle kasační stížnosti firmy by však takový výklad znamenal, že veškeré subjekty, které se stanou obětí úspěšného útoků hackerů, se dopouští přestupku, bez ohledu na to, jaká opatření reálně přijaly a jaký charakter útok měl.
NSS se postavil na stranu firmy. Odpovědnost správců a zpracovatelů osobních údajů není bezbřehá, vždy jde o to, zda vynaložili při ochraně dat náležité úsilí. „Ačkoliv totiž musel být stěžovatel připraven i na možnost takového protiprávního jednání, stěží lze očekávat, že jím přijatá bezpečnostní opatření budou natolik silná, aby byla schopná odrazit případně i sofistikovaný a cílený kybernetický útok,“ konstatoval NSS. Úřad by se proto nyní měl zabývat opatřeními ve sporném období a při tom ověřit, zda byla přiměřená a odpovídala tehdejší úrovni.
Společnost Internet Mall provozuje e-shop Mall.cz, je součástí Mall Group. Na převzetí skupiny se nedávno dohodla polská společnost Allegro s dosavadními vlastníky, jimiž jsou Rockaway Capital s investičními skupinami PPF a EC Investments.
