Zodpovednosť prevádzkovateľa za porušenie GDPR: kde končí technická chyba a začína právna zodpovednosť

Úvod

Zodpovednosť prevádzkovateľa za porušenie ochrany osobných údajov predstavuje jednu z kľúčových otázok aplikácie nariadenia GDPR v prostredí digitálnych technológií a informačných systémov. Kybernetické incidenty, technické zraniteľnosti alebo útoky tretích osôb môžu viesť k narušeniu bezpečnosti spracúvania osobných údajov a vyvolávajú otázku právnych dôsledkov pre prevádzkovateľa. Dôležitým aspektom je rozlišovanie medzi samotným technickým incidentom a porušením ochrany osobných údajov v zmysle právnej úpravy GDPR. Významnú úlohu pri posudzovaní zodpovednosti zohráva zásada zodpovednosti prevádzkovateľa a požiadavka prijatia primeraných technických a organizačných opatrení podľa článku 32 GDPR. Rozhodujúce je najmä posúdenie primeranosti bezpečnostných opatrení vo vzťahu k rizikám spracúvania osobných údajov. Relevantné usmernenia poskytuje aj judikatúra Súdneho dvora Európskej únie, a to najmä vo vzťahu k posudzovaniu bezpečnostných incidentov a dôkazného bremena prevádzkovateľa.

 

Digitalizácia verejného aj súkromného sektora spôsobila, že spracúvanie osobných údajov je dnes takmer vždy úzko prepojené s informačnými systémami a sieťovou infraštruktúrou. Organizácie spracúvajú obrovské množstvo údajov prostredníctvom databáz, cloudových služieb, mobilných aplikácií či online platforiem. S rastúcou digitalizáciou však zároveň narastá aj počet kybernetických incidentov, ktoré môžu viesť k narušeniu bezpečnosti informačných systémov a následne aj k ohrozeniu osobných údajov.

V praxi často vzniká otázka, či každý technický incident v informačnom systéme automaticky znamená aj porušenie povinností podľa nariadenia GDPR. Inými slovami, kde sa nachádza hranica medzi situáciou, keď ide o čisto technický problém – napríklad softvérovú chybu, zlyhanie systému alebo hackerský útok – a situáciou, keď už vzniká právna zodpovednosť prevádzkovateľa za porušenie ochrany osobných údajov?

Nariadenie GDPR vychádza zo zásady, že prevádzkovateľ nesie zodpovednosť za spracúvanie osobných údajov a musí byť schopný preukázať, že spracúvanie prebieha v súlade s právnymi požiadavkami. Tento princíp je vyjadrený najmä v zásade zodpovednosti (accountability) podľa článku 5 ods. 2 GDPR, podľa ktorej je prevádzkovateľ nielen povinný dodržiavať pravidlá ochrany osobných údajov, ale musí byť schopný ich dodržiavanie aj preukázať. Osobitný význam v tejto súvislosti zohráva článok 32 GDPR, ktorý ukladá prevádzkovateľom povinnosť prijať primerané technické a organizačné opatrenia na zabezpečenie primeranej úrovne bezpečnosti spracúvania.

V prostredí moderných informačných technológií však nie je vždy jednoduché určiť, či konkrétny incident predstavuje porušenie povinností podľa GDPR. Kybernetické útoky, zraniteľnosti softvéru či zlyhania dodávateľov IT systémov môžu vzniknúť aj napriek existencii bezpečnostných opatrení. Preto je potrebné rozlišovať medzi samotným kybernetickým incidentom ako technickou udalosťou a porušením ochrany osobných údajov ako právnou kategóriou, ktorá môže viesť k sankciám alebo k zodpovednosti za škodu.

Význam tejto problematiky potvrdzuje aj judikatúra Súdneho dvora Európskej únie. V rozhodnutí C-683/21 – Nacionalinis visuomenės sveikatos centras sa súd zaoberal otázkou, či je prevádzkovateľ zodpovedný za únik osobných údajov spôsobený kybernetickým incidentom v informačnom systéme a akým spôsobom sa posudzuje primeranosť prijatých bezpečnostných opatrení. Rozhodnutie poskytuje dôležité usmernenie pre výklad povinností prevádzkovateľov v situáciách, keď k narušeniu bezpečnosti dochádza v dôsledku technických zraniteľností alebo útokov tretích osôb.

 

Autor: JUDr. Jakub Pavčík