Úřad pro ochranu osobních údajů (ÚOOÚ) nemůže udělovat pokuty za úniky dat z firem jen na základě toho, že k úniku došlo, ale musí také zkoumat, jestli firma přijala dostatečná opatření k jejich ochraně. Tak se dá zjednodušeně popsat podstata rozsudku Nejvyššího správního soudu (NSS) (1 As 238/2021 – 33) v případu úniku obřího údajů o uživatelích online nákupní galerie Mall.cz.
Soud zrušil nejen předchozí rozsudek městského soudu (6 A 188/2018 – 57), ke kterému případ došel, ale i samotné negativní rozhodnutí o odvolání (UOOU-04073/18–11) proti pokutě 1,5 milionu Kč, kterou ÚOOÚ Mallu udělil. Úřad se tak bude muset případem znovu zabývat.
NSS se nezabýval přímo tím, jestli Mall při ochraně dat pochybil. Zpochybnil ale postup ÚOOÚ, který podle verdiktu o pokutě rozhodl bez toho, že by zkoumal, jestli byla opatření Mall.cz na ochranu dat dostatečná.
Úřad i městský soud vycházely z toho, že nedostatečnost ochrany dat prokazuje samotný fakt, že údaje unikly a Mall tento únik ani nebyl schopen sám zjistit. Firma na problém přišla až po několika letech, když se data v roce 2017 objevila volně na internetovém úložišti. „Je tedy zjevné, že stěžovatelem přijatá opatření byla jako celek neúčinná,“ argumentoval podle NSS městský soud. Tím pádem úřad ani soud dále nezkoumaly, jestli byla opatření Mallu dostatečná.
Podle Nejvyššího správního soudu ale samotný únik dat automaticky neznamená, že firma nepřijala dostatečná opatření k jejich ochraně. Z českého zákona (§ 13 odstavec 1) podle NSS „… nelze činit kategorický závěr, že za dostatečná lze považovat pouze taková opatření, která v každém myslitelném případě zabrání zneužití osobních údajů.“ Postup městského soudu označil NSS za „vskutku absurdní“.
„Je třeba si uvědomit, že v nyní projednávané věci žalovaný [ÚOOÚ – pozn. redakce] nezjistil (a zřejmě ani nezjišťoval) jakým způsobem k úniku dat došlo. Současně se odmítl zabývat tím, jaká byla kvalita opatření, která stěžovatel přijal a dodržoval v době odcizení dat,“ píše v rozsudku soud. A dodává:
Na zpracovatele a správce osobních údajů však nelze přenášet neomezenou odpovědnost za jakoukoliv (mnohdy i protiprávní či dokonce trestnou) činnost jiných subjektů. Tento požadavek se obzvlášť silně projevuje právě v oblasti kybernetických útoků, o nějž se zřejmě mohlo jednat i v projednávané věci (žalovaný se k této otázce žádným způsobem nevyjádřil, tvrzení stěžovatele nicméně nezpochybnil). Ačkoliv totiž musel být stěžovatel připraven i na možnost takového protiprávního jednání, stěží lze očekávat, že jím přijatá bezpečnostní opatření budou natolik silná, aby byla schopná odrazit případně i sofistikovaný a cílený kybernetický útok.
ÚOOÚ se tak podle soudu musí v případě úniků vždy zabývat tím, jaká opatření firma při ochraně dat přijala. Jejich dostatečnost pak má posuzovat v kontextu toho, co uvádí obecné nařízení na ochranu osobních údajů (GDPR):
„Za náležitá je přitom potřeba (s ohledem na odkazovanou evropskou úpravu) považovat především taková opatření, která zajišťují přiměřenou úroveň ochrany, a to s ohledem na stav techniky a náklady na jejich provedení.“