Neoprávněné zveřejnění údajů 6 milionů občanů
Na konci loňského roku řešil Soudní dvůr Evropské unie (SDEU) případ bulharské Národní agentury pro veřejné příjmy.
Oč se jednalo?
V důsledku kybernetického útoku došlo k neoprávněnému přístupu do informačního systému agentury a na internetu byly zveřejněny osobní údaje více než 6 miliónů osob. Několik stovek z nich podalo proti agentuře žaloby na náhradu nehmotné újmy, která jim údajně vznikla v důsledku zveřejnění jejich osobních údajů. Případ jedné ze žalobkyň se dostal až k SDEU.
Nehmotná újma související s neoprávněným zveřejněním údajů spočívala v obavě, že její osobní údaje budou v budoucnu zneužity nebo že bude sama vystavena vydírání, útoku, nebo dokonce únosu. Žalobkyně se v této souvislosti domáhala náhrady ve výši cca 510 EUR.
Národní agentura se naopak bránila tím, že přijala veškerá nezbytná opatření, aby úniku dat zabránila.
Únik dat automaticky neznamená porušení GDPR
SDEU posuzoval, zda lze v případě úniku dat bez dalšího uzavřít, že agentura v roli správce porušila své povinnosti podle GDPR.
Správce osobních údajů má mj. povinnost zavést vhodná technická a organizační opatření za účelem zabezpečení osobních údajů (čl. 24 a 32 GDPR). Musí přitom zohlednit určitá kritéria, zejména jaké osobní údaje zpracovává, v jakém rozsahu, k jakým účelům a jaká rizika při takovém zpracování dotčeným lidem, subjektům údajů, hrozí. Je proto plně v souladu s GDPR, když jiná opatření zavede malý internetový obchod, který zpracovává pouze kontaktní a identifikační údaje stovek zákazníků, a jiná lékařské zařízení zpracovávající citlivé údaje statisíců pacientů.
Soudní dvůr EU zdůraznil, že cílem GDPR není dosáhnout absolutní bezpečnosti osobních údajů. Smyslem této regulace je dosáhnout takové úrovně zabezpečení, která odpovídá rizikům plynoucím z konkrétního zpracování. Jinak by stanovení shora uvedených kritérií nedávalo smysl.
Pokud dojde k úniku dat či jinému porušení zabezpečení osobních údajů, ještě to automaticky neznamená porušení GDPR a udělení pokuty. Nicméně organizace musí prokázat, že podnikla dostatečné kroky k minimalizaci takového rizika, tj. zavedla vhodná technická a organizační opatření.
Pirátský útok nezprošťuje odpovědnosti
SDEU se rovněž zabýval otázkou, zda se správce může zprostit své odpovědnosti za únik dat, pokud k němu došlo v důsledku kybernetického útoku. Příčinou úniku je aktivita třetí osoby odlišné od správce či zpracovatele osobních údajů.
Co na to GDPR? Čl. 82 odst. 2 GDPR stanoví, že „správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení“. Odstavec 3 tohoto článku uvádí, že správce nebo zpracovatel jsou této odpovědnosti zproštěni, „pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla“.
Soudní dvůr EU dospěl k závěru, že není možné vyváznout z odpovědnosti pouze s poukazem na externí (hackerský) útok. Správce musí prokázat, že nenese žádným způsobem odpovědnost za únik dat. Jinak řečeno, správce nese důkazní břemeno týkající se vhodnosti a přiměřenosti bezpečnostních opatření, která zavedl.
Pokud organizace neprokáže zavedení dostatečných technických a organizačních opatření, hrozí jí pokuta i náhrada újmy poškozeným lidem, i když byl únik dat způsoben třetí stranou.
Pouhá obava ze zneužití údajů stačí ke vzniku újmy
Další zajímavou otázkou v bulharském případu bylo, zda pouhá obava, že osobní údaje budou nějakým způsobem zneužity, postačí ke vzniku újmy na straně žalobkyně. Žalobkyně netvrdila, že by s jejími osobními údaji již bylo protiprávně nakládáno, že by je někdo použil např. k uzavření smlouvy, neoprávněně ji kontaktoval nebo ji dokonce nějakým způsobem ohrožoval. Uváděla pouze, že má obavu, že by k takovému jednání v důsledku úniku údajů mohlo dojít.
Dle bodu 85 recitálu GDPR: „Není-li porušení zabezpečení osobních údajů řešeno náležitě a včas, může to fyzickým osobám způsobit fyzickou, hmotnou či nehmotnou újmu, jako je ztráta kontroly nad jejich osobními údaji nebo omezení jejich práv, diskriminace, krádež nebo zneužití identity, finanční ztráta, […] nebo jakékoliv jiné významné hospodářské či společenské znevýhodnění dotčených fyzických osob“.
Z toho SDEU dovodil, že pod výčet toho, co můžeme rozumět újmou, lze zahrnout i pouhou ztrátu kontroly nad osobními údaji v důsledku porušení GDPR. Platí to i v případě, kdy nedošlo ke skutečnému zneužití osobních údajů na úkor uvedených osob.
Soudní dvůr proto uzavřel, že „obava z možného zneužití osobních údajů třetími stranami, kterou má subjekt údajů v důsledku porušení tohoto nařízení, může sama o sobě představovat nehmotnou újmu‘“ (bod 86 rozsudku).
Není tedy rozhodující, zda osobní údaje byly reálně zneužity. Důležité je, zda vzhledem ke konkrétním okolnostem případu má poškozený jednotlivec opodstatněnou obavu, že by k takovému zneužití mohlo dojít.
Rozhodnutí ve věci Mall.cz
Pro obdobné závěry nemusíme ani v ČR chodit daleko. V roce 2017 dostala společnost Internet Mall a.s. (provozovatel e-shopu Mall.cz) od Úřadu pro ochranu osobních údajů pokutu ve výši 1, 5 milionu korun. Společnost nezabezpečila osobní údaje více než 700 tisíc zákazníků. Uniklé údaje byly neznámým hackerem zveřejněny na serveru www.ulozto.cz.
Věc se dostala až k Nejvyššímu správnímu soudu (NSS). Ten rozsudky nižších soudů zrušil a věc vrátil Úřadu pro ochranu osobních údajů. Nejvyššímu správnímu soudu se zejména nelíbilo, že Úřad pro ochranu osobních údajů nezjišťoval, jakým způsobem k úniku dat došlo a jaká byla kvalita opatření, která měl Mall v době odcizení dat zavedena.
NSS uvedl, že správce osobních údajů nemůže předvídat všechny potenciální scénáře a útoky, které mohou nastat. Nelze proto trvat na jakémsi absolutistickém požadavku na zabezpečení osobních údajů a následně přenášet na správce neomezenou odpovědnost za jakoukoliv (mnohdy i protiprávní či dokonce trestnou) činnost jiných subjektů.
Co se týče zavedení vhodných technických a organizačních opatření, v rozsudku dále zaznělo: „Byla-li opatření nedostatečná, nastupuje odpovědnost za uvedený přestupek. Pakliže však opatření odpovídají kritériím vyplývajícím z čl. 17 směrnice 95/46/ES, potažmo čl. 24 odst. 1 a čl. 32 odst. 1 obecného nařízení, a přesto k porušení bezpečnosti osobních údajů dojde, nejsou znaky přestupku podle § 45 odst. 1 písm. h) naplněny a odpovědnost za přestupek nevzniká.“ (bod 37 rozsudku)
Závěry Soudního dvora EU i Nejvyššího správního soudu jsou tedy v otázce vzniku odpovědnosti za porušení zabezpečení osobních údajů obdobné. Odpovědnost správce není podmíněna vznikem nepříznivého následku, tj. únikem dat, ale nepřijetím náležitých bezpečnostních opatření.
Jak na data breach? 4 praktické tipy
Z rozhodnutí evropských i českých soudů lze odvodit tato klíčová doporučení pro správce osobních údajů:
Nejste povinni odrazit jakýkoliv kybernetický útok. Musíte však přijmout dostatečně silná opatření odpovídající hrozbám, kterým jsou osobní údaje vystaveny.
Zavedená bezpečnostní opatření musíte v případě úniku dat také dostatečně prokázat. Je nezbytné mít řádně zadokumentováno posouzení rizik, jejich vyhodnocení a popis přijatých opatření, která je třeba pravidelně revidovat a aktualizovat.
Pokud prokážete, že jste zavedli technická a organizační opatření odpovídající tomu, jak s osobním údaji ve firmě nakládáte, můžete se vyhnout pokutě i hrozbě náhrady újmy.
Při zvažování vhodných opatření myslete na to, že újmou může být i prostá obava jednotlivce ze zneužití jeho osobních údajů. V uvedeném bulharském případu byla taková újma vyčíslena na 510 EUR, což se nemusí zdát mnoho. „Úspěšný“ kybernetický útok nebo jiný případ porušení zabezpečení osobních údajů však může zasáhnout osobní údaje desítek či stovek tisíc osob. V kontextu připravovaného zákona o hromadných žalobách může mít takové soudní řízení proti statisícové protistraně fatální následky.