Vlákno názorů k článku
Odpovědnost za únik dat není bezbřehá, řekl soud v případu úniku dat z Mall.cz od Filip Jirsák - Když umíte číst GDPR lépe než NSS, kde...

Když umíte číst GDPR lépe než NSS, kde je v něm napsáno, že po úniku dat bude pokuta jiná, než kdyby se na stejná pochybení přišlo při namátkové kontrole?

Myskim, ze NSS zase ukazal, ze neumi cist ani to GDPR. To o tom ekonomicky rozumnem zabezpeceni rika, ze kdyz ho nebudete mit, tak dostanete pokutu uz pri kontrole, a to i bez uniku dat.

Kdo chce ukládat data, musí je zabezpečit a nést odpovědnost za únik.
To rozsudek nepopírá. Ovšem „zabezpečit“ ano „odpovědnost“ nejsou ano/ne, ale je to vždy otázka míry. Jak dobře jsou data zabezpečená a jak moc odpovídá za únik. A to je potřeba zkoumat.

Tohle nejde splnit. Žijeme ve světě kde existují zero day zranitelnosti, jsou z výroby vadné procesory takže přes ně lze dostat data ven. Nemáte pod kontrolou operační systém a Pokud jste ve světě windows tak se záplatuje jen v úterý. Pokud by jste tohle zvládl nějakým zázrakem zmanagovat, tak se stejně nedostanete na 100% bezpečnost.
Jediným schůdným řešením je aby zákazník dělal vlastní risk management. To znamená co se stane když ty údaje uniknou a jaké budou škody?
O adresu v podstatě nejde tu ví tolik lidí že je v podstatě veřejná, telefonní číslo? Jo to je na houby, ale můžete mít druhou sim kartu jen na nákupy online. Platební karta? Tohle by se stát už nemělo protože eshopy nezpracovávají transakce a vše jde přes platební brány a ty mají bezpečnost celkem vysokou. Případně aplikace pro smart banking umožňují generovat jednorázové platební karty.
Ohledně toho zákona, je to blbost komu se to stane tomu klesne reputace. Dávat mu ještě pokutu je postavené na hlavu, když by ty peníze měl spíš dát do bezpečnosti.

13. 11. 2021, 08:19 editováno autorem komentáře

tady ale soud neřešil odpovědnost za únik. Mall je odpovědný za případnou škodu, která vznikne únikem a prokáže se u soudu.

V bezpečnosti se neřeší ano/ne, ale míra. I sám zákon mluví o přiměřených nákladech. Pořád ti do servovny může napochodovat armáda, vyhodit do vzduchu dveře. Máš teda kvůli tomu umístit servery na měsíc nebo mít na obranu ještě větší armádu? Řadu údajů je povinný subjekt evidovat ze zákona a nemůže je pouze neukládat.

Úřad udělil pokutu za domnělé pochybení Mallu, že data nedostatečně zabezpečil, ale už zapomněl vůbec řešit, co to vlastně znamená a jak konkrétně Mall pochybil a co měl udělat jinak podle toho co mu nařizuje zákon.

Neříkám, že to Mall dělal dobře, jen by úřad neměl pokutovat jen kvůli tomu, že se něco stalo.

Stejný případ je i T-mobile a ukradení dat zaměstnancem ze stejné doby. T-mobile se proti pokutě nebránil a zaplatil. Úřad ale argumentoval úplně stejně a ignoroval námitku, že nelze data jednoduše uchránit i před trestnou aktivitou zaměstnanců, kteří s nimi pracují.

Je to podle smlouvy, takže např. ručení do nějaké výše. V IT je GDPR, ale nevím o tom, že by tam byla určena nějaká hodnota osobních dat a případně vymáhána.

Ano pokud provozovatel není schopen zabezpečit data, nemá je shromažďovat.

Pokud je vykraden bankovní tretozor s věcmi klientů, jak to je?

Tohle mi přijde chybně. Kdo chce ukládat data, musí je zabezpečit a nést odpovědnost za únik. Jinak si najde tisíc výmluv, proč to není jeho chyba.