Nejvyšší správní soud vyhověl Mall.cz, únikem uživatelských účtů se musí opět zabývat ochránci dat

Nejvyšší správní soud (NSS) zpochybnil rozhodnutí o pokutě 1,5 milionu korun uložené společnosti Internet Mall v souvislosti s únikem osobních údajů stovek tisíc uživatelských účtů před čtyřmi roky. Ze samotné skutečnosti, že k úniku došlo, nelze automaticky vyvozovat spáchání přestupku.

Tento článek je více než rok starý.

Brno Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

E-shop Mall

Firma je podle mluvčí Pavly Hobíkové přesvědčena, že dodržela všechna bezpečnostní opatření a data zákazníků vždy chránila odpovídajícím způsobem (ilustrační foto) | Zdroj: Profimedia

Úřad pro ochranu osobních údajů (ÚOOÚ) by se měl zabývat tím, jaká bezpečnostní opatření proti hackerům firma ve sporném období uplatňovala a zda byla přiměřená. Teprve poté lze případně uložit sankci, plyne z rozhodnutí na úřední desce.

„Stěžovatel (Internet Mall) sice musí obdobné jednání předvídat, nemůže však za něj nést automaticky odpovědnost bez ohledu na to, jaká opatření za účelem ochrany osobních údajů přijal, a nakolik promyšlený a propracovaný byl útok neznámého subjektu, který údaje z databáze odcizil,“ stojí v rozhodnutí.

Případ se vrací do fáze, kdy by mělo vedení znovu rozhodovat o rozkladu proti prvostupňovému rozhodnutí Úřadu pro ochranu osobních údajů.

Nezajištění osobních údajů

Úřad v roce 2018 uložil firmě pokutu za to, že nezajistila bezpečnost osobních údajů zhruba 736 tisíc zákazníků, a umožnila tak únik dat, o kterém se dozvěděla až po několika letech, když se údaje objevily na webu ulozto.cz.

Nelegální šíření knih devastuje trh. Ten kvůli tomu ročně přichází až o dvě miliardy korun

Číst článek

Firma je podle mluvčí Pavly Hobíkové přesvědčena, že dodržela všechna bezpečnostní opatření a data zákazníků vždy chránila odpovídajícím způsobem.

„To potvrzuje i skutečnost, že se zlodějům podařilo prolomit ochranu odcizených dat až v roce 2017, tedy několik let po jejich krádeži, kdy byly již k dispozici silnější nástroje. V mezidobí se technologie zásadně posunuly. Za poslední čtyři roky jsme do ochrany našich zákazníků investovali desítky milionů korun. V oblasti IT neustále posilujeme naše zabezpečení a pro ochranu zákaznických dat využíváme metodu, která odpovídá nejvyšším standardům,“ řekla.

Zamítnutá žaloba

Žalobu proti rozhodnutí úřadu zamítl Městský soud v Praze, který dospěl k závěru, že samotný únik dat, navíc firmou nezaznamenaný, svědčí o nedostatečnosti bezpečnostních opatření.

Podle kasační stížnosti firmy by však takový výklad znamenal, že veškeré subjekty, které se stanou obětí úspěšného útoků hackerů, se dopouští přestupku, bez ohledu na to, jaká opatření reálně přijaly a jaký charakter útok měl.

Data tisíců lidí ohrožuje nový škodlivý software Sup. Získává i hesla k online bankovnictví

Číst článek

Nejvyšší správní soud se postavil na stranu firmy. Odpovědnost správců a zpracovatelů osobních údajů není bezbřehá, vždy jde o to, zda vynaložili při ochraně dat náležité úsilí.

„Ačkoliv totiž musel být stěžovatel připraven i na možnost takového protiprávního jednání, stěží lze očekávat, že jím přijatá bezpečnostní opatření budou natolik silná, aby byla schopná odrazit případně i sofistikovaný a cílený kybernetický útok,“ konstatoval Nejvyšší správní soud.

Úřad by se proto nyní měl zabývat opatřeními ve sporném období a přitom ověřit, zda byla přiměřená a odpovídala tehdejší úrovni.

Společnost Internet Mall provozuje e-shop Mall.cz, je součástí Mall Group. Na převzetí skupiny se nedávno dohodla polská společnost Allegro s dosavadními vlastníky, jimiž jsou Rockaway Capital s investičními skupinami PPF a EC Investments.

ČTK Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Zavřít

Nejčtenější

Nejnovější články

Aktuální témata

Doporučujeme