GDPR – správce osobních údajů je odpovědný za zcizení osobních údajů

V digitální éře jsou osobní údaje zásadním prvkem, kdy kvalita, přesnost a rozsáhlost databáze osobních údajů může představovat klíč k úspěchu na trhu. S tím, jak roste tlak na získávání takové databáze, pak sílí také snaha o zneužití takové databáze ze strany třetích osob. To pak logicky vede zákonodárce k poměrně přísné regulaci ochrany osobních údajů.

Hlavní právní normou zajišťující ochranu osobních údajů je nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. dubna 2016 („Nařízení GDPR“), které představuje základní právní předpis Evropské unie o ochraně osobních údajů.

Již je obecně známo, že správce osobních údajů nesmí na základě svého jednání jemu poskytnuté osobní údaje zneužívat. Jaká je však odpovědnost správce osobních údajů v případě, kdy ze strany třetí osoby (např. v důsledku hackerského útoku) dojde ke zcizení databáze správce osobních údajů a příslušné osobní údaje jsou následně zneužity? Touto otázkou se nyní zabývá Soudní dvůr EU. V nedávné době pak bylo zveřejněno stanovisko generálního advokáta Soudního dvora EU, které nabízí určité indicie posouzení dané problematiky.

Generální advokát Soudního dvora EU je přesvědčen, že správce osobních údajů je povinen zabezpečit ochranu osobních údajů. Pouhá existence porušení zabezpečení osobních údajů však sama o sobě nestačí k závěru, že technická a organizační opatření zavedená správcem údajů nebyla ‚vhodná‘ k zajištění ochrany dotčených údajů.

Při posuzování vhodnosti technických a organizačních opatření provedených správcem osobních údajů musí být proveden přezkum zahrnující konkrétní analýzu jak obsahu těchto opatření, tak způsobu jejich uplatnění a jejich praktických účinků. Důkazní břemeno pak nese správce osobních údajů.

Skutečnost, že se porušení Nařízení GDPR, které způsobilo dotčenou újmu, dopustila třetí osoba, není sama o sobě důvodem pro to, aby byl správce zproštěn odpovědnosti. Aby mohl využít zproštění stanoveného tímto ustanovením, musí prokázat, že za toto porušení žádným způsobem nenese odpovědnost.

Odpovědnost za škodu pak nemusí nastávat jen v případě zcizených a zneužitých osobních údajů. Újma spočívající v obavě z možného budoucího zneužití osobních údajů, může u příslušných osob představovat nemajetkovou újmu, která zakládá právo na náhradu újmy, pokud subjekt údajů prokáže, že individuálně utrpěl skutečnou a určitou citovou újmu.

Přestože dnes již ochrana osobních údajů představuje kategorii, kterou většina podnikatelů určitou pozornost věnuje, zpravidla obsahuje podmínky, které již zcela nemusí odpovídat aktuálním požadavkům ochrany osobních údajů, za což může daným osobám hrozit významný postih.

I proto se naši odborníci z advokátní kanceláře BHK Legal se specializací na ochranu osobních údajů těmto otázkám intenzivně věnují a klientům pomáhají průběžně přizpůsobovat jejich podmínky ochrany osobních údajů tak, aby bylo riziko odpovědnosti minimalizováno. Jsme tu pro Vás.