Kybernetická bezpečnosť, Zahraničná legislatíva

Rozhodovacia prax: Zodpovednosť prevádzkovateľa za porušenie ochrany osobných údajov

Rozhodovacia prax: Zodpovednosť prevádzkovateľa za porušenie ochrany osobných údajov

V našom predchádzajúcom blogu sme Vás informovali o medializovanom prípade z Českej republiky, v rámci ktorého český dozorný orgán uložil v roku 2018 spoločnosti Internet Mall, a.s.  (prevádzkovateľ e-shopu mall.cz)  pokutu vo výške 58 000 eur. Tej predchádzal únik osobných údajov 735 965 dotknutých osôb (v rozsahu meno, priezvisko, e-mailová adresa, heslo užívateľského účtu, prípadne telefonický kontakt)  a ich následnom zverejnení na portáli uložto.cz. Situácia sa však odvtedy zásadne vyvinula. Prečítajte si viac.

Zodpovednosť prevádzkovateľa za porušenie ochrany osobných údajov v dôsledku kybernetického útoku

Rozhodnutie českého dozorného orgánu spoločnosť napadla opravným prostriedkom na Městskom soude Praha, ktorý žalobu spoločnosti zamietol nakoľko podľa právneho názoru soudu samotný únik osobných údajov svedčí o prijatí nedostatočných bezpečnostných opatreniach.

V danej veci spoločnosť podala proti rozhodnutiu Městského soudu Praha kasačnú sťažnosť a  Nejvyšší správní soud (NSS) rozsudkom  č.j. 1 As 238/2021-33 z novembra 2021 sťažnosti vyhovel a 

  1. rozsudok Městského soudu Praha zrušil;
  2. rozhodnutie českého dozorného orgánu zrušil a vec vrátil žalovanému na ďalšie konanie.

NSS vo svojom rozhodnutí vyjadril nasl. právny názor:

  • zákon o ochrane osobných údajov neurčuje absolútnu zodpovednosť organizácií za možné protiprávne konanie;
  • vždy je potrebné prehodnotiť, či prevádzkovatelia a/alebo sprostredkovatelia vynaložili za účelom ochrany osobných údajov dostatočné úsilie;
  • pre určenie zodpovednosti  za porušenie ochrany osobných údajov je rozhodujúce, či sa osobné údaje v konečnom dôsledku podarí ochrániť alebo nie. V praxi to znamená, že protiprávneho konania sa dopustí organizácia, ktorá neprijme dostatočné opatrenia za účelom ochrany osobných údajov a to aj v situácií, ak k neoprávnenému nakladaniu s osobnými údajmi nedôjde;
  • spoločnosť  síce musela byť pripravená na možné protiprávne konanie, ale ťažko možno očakávať, že prijaté bezpečnostné opatrenia budú natoľko silné, aby boli schopné odraziť cielený a sofistikovaný kybernetický útok.

Únik osobných údajov – Záver

Rozhodnutia iných jurisdikcií  nie sú pre Slovenskú republiku záväzné. Napriek uvedenému však  súdne prieskumy rozhodnutí dozorných orgánov môžu formovať výkladové pravidlá jednotlivých inštitútov – vrátane vymedzenia zodpovednosti organizácií za únik osobných údajov pri kybernetických útokoch. 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.