Kybernetický útok nezbavuje správce odpovědnosti za porušení zabezpečení, rozhodl Nejvyšší správní soud
autoři: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš a Mgr. Vojtěch Bartoš
Kybernetický útok na polikliniku
Poliklinika byla terčem kybernetického útoku, kterým došlo k narušení zabezpečení osobních údajů. Nicméně tento incident nenahlásila ÚOOÚ bez zbytečného odkladu ani neinformovala dotčené subjekty údajů (pacienty a zaměstnance). Šetření ze strany ÚOOÚ ukázalo, že v dokumentaci zaznamenávající porušení zabezpečení chyběly informace o dopadech incidentu, což odporuje požadavkům čl. 33 odst. 5 GDPR. Za tato pochybení jí ÚOOÚ uložil pokutu ve výši 309 000 korun. Proti rozhodnutí poliklinika podala žalobu a po jejím zamítnutí i kasační stížnost.
Správce údajů nese odpovědnost v případě kybernetického útoku
Nejvyšší správní soud však v rozhodnutí 6 As 167/2024-46 ze dne 21. 5. 2025 potvrdil, že správce osobních údajů nese odpovědnost za včasné a transparentní řešení porušení zabezpečení. Ani kybernetický útok jako vnější zásah jej nezbavuje povinností vůči subjektům údajů a dozorovému úřadu. Správce musí být rovněž sám schopen splnění svých povinností prokázat. Nejvyšší správní soud uzavřel, že poliklinika neprokázala, že své povinnosti splnila, a výše pokuty byla soudem považována za přiměřenou vzhledem k počtu dotčených osob (cca 247 000 pacientů a 58 zaměstnanců). (Více informací zde)
