Nejvyšší správní soud (NSS) podruhé zrušil pokutu za únik zákaznických údajů z e-shopu Mall.cz. Incidentem se musí znovu zabývat Úřad pro ochranu osobních údajů (ÚOOÚ). Samotný únik ještě neznamená, že správce dat porušil svou povinnost zajistit jejich bezpečnost, plyne z rozsudku dočasně zpřístupněného na úřední desce. Úřad musí vždy posoudit, zda byla přijatá opatření přiměřená povaze rizik, stavu techniky a nákladům.
„Pro tento účel bylo zapotřebí rizika pojmenovat a vyhodnotit. Bez vytyčení rizik odpovídajících konkrétnímu případu a jejich případných důsledků nelze posoudit vhodnost přijatých opatření,“ stojí v rozsudku.
Jména, e-mailové adresy a hesla více než 700 000 zákazníků získali hackeři před více než deseti lety. S časovým odstupem je zveřejnili na internetovém úložišti a umožnili jejich stahování. V roce 2018 za to úřad uložil firmě Internet Mall pokutu 1,5 milionu korun. V roce 2021 rozhodnutí poprvé zrušil NSS.
Ze samotné skutečnosti, že došlo k úniku dat, nelze automaticky vyvozovat spáchání přestupku. Úřad by se měl zabývat tím, jaká bezpečnostní opatření proti hackerům firma ve sporném období uplatňovala a zda byla přiměřená, konstatoval už tehdy NSS.
Mohlo by vás zajímat
Zastaralé hashovací algoritmy
Úřad v roce 2022 rozhodl znovu a uložil pokutu 140 000 korun. Trval na tom, že provozovatel e-shopu v letech 2015 až 2017 nedostatečně chránil osobní údaje zákazníků, protože používal málo odolné a zastaralé hashovací algoritmy. Rozhodnutí potvrdil Městský soud v Praze, před NSS však ani napodruhé neobstálo.
Ochránci dat nyní musí znovu a řádně posoudit všechna kritéria důležitá pro úvahu o přiměřenosti bezpečnostních opatření, zejména nákladnost a technickou proveditelnost. V řízení už místo společnosti Internet Mall figuruje společnost Allegro Retail, nový majitel e-shopu.
