Zákazníci jednoho z největších českých e-shopů Mall.cz zažili před pár lety hodně nepříjemnou věc. Kdosi z databází zmíněného internetového obchodníka ukradl osobní data 700 tisíc klientů a pověsil je na internet. Společnost za to dostala v roce 2018 od Úřadu pro ochranu osobních údajů (ÚOOÚ) pokutu ve výši 1,5 milionu korun. Nejvyšší správní soud však předminulý čtvrtek Mallu vyhověl a pokutu zrušil. Jde o mimořádně důležitý rozsudek, z něhož budou soudy v příštích letech vycházet a který má potenciál změnit zaběhlou praxi.

Otázka zní, jestli je to dobře, nebo špatně. Internetovým obchodníkům, jako je Mall – ale třeba také nemocnicím, které hackerům v poslední době opakovaně čelily –, rozsudek nepochybně pomůže vyhnout se postihu v případě, že se stanou obětí profesionálně vedeného kybernetického útoku. Pro jejich zákazníky to ale úplně dobrá zpráva není: potrestat někoho za únik citlivých dat bude nejspíš v budoucnu podstatně složitější než dnes.

Hlavně mít náležitá opatření

Nejdřív co se vlastně stalo. Kdy přesně a za jakých okolností zmizela zmíněná osobní data – jméno, e-mail, heslo k účtu a případně telefonní číslo – skoro 736 tisíc zákazníků, není jasné. Z rozsudků každopádně plyne, že se tak stalo někdy před koncem roku 2014. Následně tyto údaje někdo rozšifroval a 27. července 2017 je pověsil na server Ulozto.cz. Dodejme, že až do okamžiku zveřejnění o úniku nikdo – včetně Mallu – nevěděl. Pokuta, kterou za to Mall dostal, byla vysoká, ovšem ÚOOÚ to zdůvodnil skutečností, že firma je v oboru profesionálem a zpracovává velké množství osobních dat. Mall si to každopádně nenechal líbit a podal k Městskému soudu v Praze žalobu, ve které tvrdil, že nijak nepochybil. Městský soud ji však letos v létě zamítl.

Nejvyšší správní soud měl ale na věc názor právě opačný a rozsudek městského soudu i předchozí rozhodnutí hlídačů soukromí zrušil. Jádrem jeho rozhodnutí je názor, že Mall – respektive kohokoli jiného, kdo nakládá s osobními daty – nelze automaticky trestat jen za to, že mu data unikla. Každá firma se samozřejmě musí snažit chránit údaje o svých klientech, ale tato povinnost ještě neznamená, že se jí to pokaždé povede, a to především v situaci, kdy čelí kriminálnímu jednání: „Stěží lze očekávat, že přijatá bezpečnostní opatření budou natolik silná, aby byla schopná odrazit případně i sofistikovaný a cílený kybernetický útok.“

Podle názoru Nejvyššího správního soudu zkrátka není důležité, jestli data Mallu unikla, ale jestli se je snažil dostatečným způsobem ochránit, což v obecné rovině vyjádřil následovně: „Zákon o ochraně osobních údajů nestanoví absolutní povinnost k ochraně osobních údajů a vznik odpovědnosti za uvedený přestupek neváže na vznik nepříznivého následku, ale na nepřijetí náležitých opatření za účelem zajištění bezpečnosti osobních údajů.“

Naprosto příkladně

Jestli byl za ztrátou dat nějaký „sofistikovaný a cílený kybernetický útok“, není jasné. ÚOOÚ ani městský soud se také vůbec nezabývaly tím, jaká opatření Mall v době úniku k ochraně osobních dat klientů přijal či nepřijal. Případ se proto vrací zpět na ÚOOÚ a ten se bude primárně zabývat úrovní výše zmíněných opatření a teprve na jejich základě rozhodne o případné pokutě.

Čím bude Mall v dalším řízení argumentovat, jeho mluvčí Pavla Hobíková neprozradila. Firma podle ní každopádně nijak nepochybila, v posledních letech investovala do ochrany zákazníků „desítky milionů korun“, a po odhalení úniku v roce 2017 se prý navíc zachovala „naprosto příkladně podle všech oborových standardů“, když zablokovala „účty podezřelé z napadení“, informovala Úřad pro ochranu osobních údajů, zákazníky vyzvala ke změně přístupových hesel a poskytla jim „online aplikaci, která jim pomohla ověřit, zda byl jejich účet napaden, či nikoli“.

Když nikdo nic neví

Jak řízení před ÚOOÚ dopadne a jestli se Mall dokáže před úřadem vyvinit, nemá smysl předjímat. Mnohem důležitější otázka je, jak rozsudek ovlivní dosavadní praxi. Na jednu stranu nepochybně existují případy, kdy kvůli sofistikovanosti a promyšlenosti útoku – mohou ho třeba vést hackeři pracující pro zpravodajskou službu cizího státu – nemůže standardní firma, nemocnice nebo jakýkoli jiný běžný správce dat úniku zabránit. Na druhou stranu ale rozsudek se slušnou mírou pravděpodobnosti povede k tomu, že bude za podobný únik dat mnohem těžší někoho potrestat než dnes. A teoreticky si lze představit i situaci, kdy si firmy (tedy alespoň ty méně slušné a prozíravé) zavedou systém formálně dokonalých opatření, která jim umožní vyhnout se pokutám, ale o ochranu dat klientů jim půjde až v druhé řadě.

Výhrady má například advokát a ředitel organizace Iuridicum Remedium Jan Vobořil, který se ochranou osobních dat dlouhodobě zabývá. „Chápu úvahu Nejvyššího správního soudu, že se někdo může prostřednictvím kriminální činnosti zmocnit dat, ale zároveň si myslím, že nelze rezignovat a převést celou povinnost prokazovat, jak k úniku dat došlo, na Úřad pro ochranu osobních údajů,“ říká Vobořil. Pokud by se celá věc dovedla ad absurdum, dala by se podle něj představit situace, ve které by odněkud unikla data, ale vzhledem k tomu, že by o tom neexistovaly žádné doklady ani záznamy, „nebylo by možné o tom nic zjistit ani nikoho potrestat, protože by nikdo nebyl schopný říci, že došlo k porušení nějaké povinnosti“. Příslušná pasáž zákona o ochraně osobních údajů by se proto podle něj měla vykládat následovně: „Ve chvíli, kdy dojde k úniku, je dotyčný – coby správce dat – prostě vinný, pokud ovšem sám není schopen prokázat, že k úniku došlo způsobem, kterému reálně nemohl zabránit. Důležitým předpokladem takového vyvinění je, aby správce byl vůbec schopen určit, jak k úniku došlo.“

Rozsudek Nejvyššího správního soudu, a hlavně způsob, jakým se s ním nyní vypořádá ÚOOÚ, je pro budoucnost ochrany citlivých dat mimořádně důležitý. O Mall v něm jde až v poslední řadě, ale může na dlouhá léta dopředu určit, jak bude na podobné úniky Úřad pro ochranu osobních údajů spolu se soudy nahlížet. Snad to pro miliony českých zákazníků dopadne dobře.