Unikla nám osobní data, budeme platit odškodnění?

Neoprávněné zveřejnění údajů 6 milionů občanů

Na konci loňského roku řešil Soudní dvůr Evropské unie (SDEU) případ bulharské Národní agentury pro veřejné příjmy.

Oč se jednalo?

V důsledku kybernetického útoku došlo k neoprávněnému přístupu do informačního systému agentury a na internetu byly zveřejněny osobní údaje více než 6 miliónů osob. Několik stovek z nich podalo proti agentuře žaloby na náhradu nehmotné újmy, která jim údajně vznikla v důsledku zveřejnění jejich osobních údajů. Případ jedné ze žalobkyň se dostal až k SDEU.

Nehmotná újma související s neoprávněným zveřejněním údajů spočívala v obavě, že její osobní údaje budou v budoucnu zneužity nebo že bude sama vystavena vydírání, útoku, nebo dokonce únosu. Žalobkyně se v této souvislosti domáhala náhrady ve výši cca 510 EUR.

Národní agentura se naopak bránila tím, že přijala veškerá nezbytná opatření, aby úniku dat zabránila.

Únik dat automaticky neznamená porušení GDPR

SDEU posuzoval, zda lze v případě úniku dat bez dalšího uzavřít, že agentura v roli správce porušila své povinnosti podle GDPR.

Správce osobních údajů má mj. povinnost zavést vhodná technická a organizační opatření za účelem zabezpečení osobních údajů (čl. 24 a 32 GDPR). Musí přitom zohlednit určitá kritéria, zejména jaké osobní údaje zpracovává, v jakém rozsahu, k jakým účelům a jaká rizika při takovém zpracování dotčeným lidem, subjektům údajů, hrozí. Je proto plně v souladu s GDPR, když jiná opatření zavede malý internetový obchod, který zpracovává pouze kontaktní a identifikační údaje stovek zákazníků, a jiná lékařské zařízení zpracovávající citlivé údaje statisíců pacientů.

Soudní dvůr EU zdůraznil, že cílem GDPR není dosáhnout absolutní bezpečnosti osobních údajů. Smyslem této regulace je dosáhnout také úrovně zabezpečení, která odpovídá rizikům plynoucím z konkrétního zpracování. Jinak by stanovení shora uvedených kritérií nedávalo smysl.

Pokud dojde k úniku dat či jinému porušení zabezpečení osobních údajů, ještě to automaticky neznamená porušení GDPR a udělení pokuty. Nicméně organizace musí prokázat, že podnikla dostatečné kroky k minimalizaci takového rizika, tj. zavedla vhodná technická a organizační opatření.

Pirátský útok nezprošťuje odpovědnosti

SDEU se rovněž zabýval otázkou, zda se správce může zprostit své odpovědnosti za únik dat, pokud k němu došlo v důsledku kybernetického útoku. Příčinou úniku je aktivita třetí osoby odlišné od správce či zpracovatele osobních údajů.

Co na to GDPR? Čl. 82 odst. 2 GDPR stanoví, že „správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení“. Odstavec 3 tohoto článku uvádí, že správce nebo zpracovatel jsou této odpovědnosti zproštěni, „pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla“.

Pokud tedy organizace neprokáže zavedení dostatečných technických a organizačních opatření, hrozí jí pokuta i náhrada újmy poškozeným lidem, i když byl únik dat způsoben třetí stranou.

Pouhá obava ze zneužití údajů stačí ke vzniku újmy

Dalším zajímavou otázkou v bulharském případu bylo, zda pouhá obava, že osobní údaje budou nějakým způsobem zneužity, postačí ke vzniku újmy na straně žalobkyně. Žalobkyně netvrdila, že by s jejími osobními údaji již bylo protiprávně nakládáno, že by je někdo použil k např. k uzavření smlouvy, neoprávněně ji kontaktoval nebo ji dokonce nějakým způsobem ohrožoval. Uváděla pouze, že má obavu, že by k takovému jednání v důsledku úniku údajů mohlo dojít.

Soudní dvůr proto uzavřel, že „obava z možného zneužití osobních údajů třetími stranami, kterou má subjekt údajů v důsledku porušení tohoto nařízení, může sama o sobě představovat nehmotnou újmu‘“ (bod 86 rozsudku).

Není tedy rozhodující, zda osobní údaje byly reálně zneužity. Důležité je, zda vzhledem ke konkrétním okolnostem případu má poškozený jednotlivec opodstatněnou obavu, že by k takovému zneužití mohlo dojít.

Jak na data breach? 4 praktické tipy

Praktické tipy naleznete v plném znění článku na gdpr.cz