„Aj keď ide o prípad ešte spred platnosti GDPR, v mnohom ukazuje na nedostatky, ktoré aj dnes má veľká časť firiem v ochrane osobných údajov. Technické a organizačné zabezpečenie osobných údajov totiž vyžadovali aj predtým platné zákony. Na týchto princípoch nariadenie GDPR nič nezmenilo. Mnohé firmy uvedené zásady nerešpektovali ani vtedy a nerobia tak ani dnes,“ vysvetľuje JUDr. Pavol Szabo z právnickej kancelárie GHS Legal.

Už článok 17 smernice EÚ z roku 1995, ktorá na rozdiel od GDPR musela byť implementovaná priamo do slovenských zákonov, kládla dôraz na to, aby bola zabezpečená primeraná úroveň bezpečnosti údajov so zreteľom na stav techniky.

„Podľa pôvodnej zákonnej úpravy a aj dnes podľa GDPR nie je žiadny prevádzkovateľ oprávnený sprístupniť spracúvané osobné údaje iným osobám, pokiaľ na to nemá právny titul. Tým môže byť buď priamo súhlas od dotknutej osoby, prípadne tento právny titul môže vyplývať z uzatvorenej zmluvy, z povinnosti stanovenej zákonom, rozhodnutia štátneho orgánu alebo z verejného záujmu. Firmy majú už dlhé roky povinnosť zamedziť prístup k osobným údajom neoprávneným osobám. Túto povinnosť si mall.cz očividne nesplnil,“ právnik.

Zo správy českého úradu takisto vyplýva, že priťažujúcou okolnosťou pri určení výšky pokuty mohlo byť aj to, že spoločnosť nevedela identifikovať pôvod v bezpečnostnom incidente. „Pritom vo všeobecnosti platí, že každý prevádzkovateľ musí okamžite po tom, čo sa o úniku údajov dozvedel, vykonať všetky opatrenia k tomu, aby zamedzil, resp. minimalizoval dôsledky porušenia alebo ich napravil. Ak by sa niečo také stalo za účinnosti GDPR, firma musí únik nahlásiť do 72 hodín príslušnému úradu a ak by išlo o vysoké riziko pre dotknuté osoby a nevykonala by opatrenia k zamedzeniu následkov incidentu, musí firma informovať aj všetky dotknuté osoby, a to bez zbytočného odkladu.“

Pokuta pre mall.cz mohla byť výrazne vyššia, ak by sa incident stal po účinnosti GDPR. Pri takomto porušení totiž hrozí pokuta do 2 percent celosvetového ročného obratu za predchádzajúci účtovný rok alebo do 10 miliónov eur. Obrat online shopu Mall pritom v Čechách a na Slovensku dosiahol v roku 2017 až 340 mil. eur, čiže pokuta počas platnosti GDPR by mohla dosiahnuť až 6,8 milióna eur. „Dozorný orgán pritom určuje pokutu podľa kategórie osobných údajov, závažnosti a okolností incidentu. Keďže tento incident sa dotkol 735 956 osôb, radí sa rozhodne medzi závažné.“

Podľa skúseností kancelárie GHS Legal neprijala veľká časť firiem na Slovensku správnu kombináciu opatrení v súvislosti s GDPR. „Je dôležité zabezpečiť spracúvanie dát technicky a súčasne aj právne. A zároveň by mali zamestnanci absolvovať školenie základov ochrany osobných údajov a dostať jasnú informáciu, čo môžu a čo nemôžu s osobnými údajmi robiť. Mnoho ľudí v praxi podceňuje to, komu poskytujú osobné údaje klientov či zamestnancov, a tak často dochádza k porušeniu zásad GDPR,“ vysvetľuje Pavol Szabo.

Na Slovensku začal Úrad na ochranu osobných údajov od 25. mája do 6. septembra celkovo 25 konaní o ochrane osobných údajov podľa ustanovenia § 99 zákona č. 18/2018. Dovtedy žiadnu pokutu neudelil.

K pokute sa vyjadrila aj dotknutá firma. ,,Nespochybňujeme závažnosť únikov dát. Veď bezpečnosť užívateľov je pre nás prvoradá. Preto sme prijali opatrenie siahajúce nad rámec našich povinnosti, napríklad preventívne resetovanie hesiel všetkých užívateľov, " informuje Táňa Lálová zo spoločnosti Mall.cz.

Ale podľa spoločnosti po formálnej stránke je to tak, že definícia pochybenia je nejednoznačná. Hlavne preto, že sa tak môže stať aj v prípade, ak žiadne dáta neuniknú. ,,Alebo naopak, dáta môžu uniknúť, ale nemusí ísť o priestupok. Zákon teda namiesto, aby zabezpečil vyššiu transparentosť kontroly dát v kebyrpriestore, prispieva k nejednoznačnosti," zdôvodňuje Lálová.