Prevence bezpečnostních incidentů se stala předmětem rozsudku UODO.
autoři: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš a Mgr. Vojtěch Bartoš
Prevence bezpečnostních incidentů
Polský správní soud potvrdil rozhodnutí polského dozorového úřadu (UODO), kterým byla uložena pokuta ve výši 1,5 milionu PLN (cca 350 tisíc euro) za porušení předpisů o ochraně osobních údajů při spuštění nových webových stránek a procesu kopírování souborů z původních webových stránek společnosti.
Došlo totiž k porušení zabezpečení a úniku údajů více než 7 tisíc subjektů údajů. Stalo se tak v důsledku nezavedení dostatečných bezpečnostních a organizačních opatření, když byl robot schopen indexovat soubory obsahující osobní údaje, zejm. jméno, příjmení, e-mailovou adresu, adresu bydliště i hesla pro přístup k zákaznickému účtu.
Správce je vždy hlavní odpovědná osoba
Společnost proti rozhodnutí UODO podala žalobu k soudu. Namítala, že UODO se nezabývala jejími námitkami, když zajištěním bezpečnostních a organizačních opatření pověřila společnost svého zpracovatele a porušení GDPR je tak přičitatelné tomuto zpracovateli. Správní soud však tuto námitku zamítl a uvedl, že nezáleží na vztahu mezi správcem a zpracovatelem. Správce je vždy hlavní odpovědnou osobou za provedení dostatečné analýzy rizik a přijetí potřebných opatření.
Nesporná výše pokuty
Soud také potvrdil celkovou výši pokuty uloženou UODO, kterou společnost považovala za převyšující maximální výši dle GDPR. Při posuzování výše pokuty přitom soud vycházel z pokynů EDPB č. 04/2022 k výpočtu správních pokut podle GDPR. (Více informací zde)
