Vyplacení odškodného? Opomínaný dopad kybernetických útoků
“Asi došlo k úspěšnému útoku, utekly nám nějaké osobní údaje, ale kdo ví. To přece není problém.
Pro nás GDPR neplatí,” hovoří žoviálně ředitel nejmenované příspěvkové organizace.
Jenže únik osobních údajů je velkým problém a pokud se k němu přistupuje lehkovážně, může způsobit obrovské ztráty.
GDPR (ne)platí
Ačkoliv se velká část organizací veřejné správy domnívá, že jim za porušování GDPR nehrozí žádné finanční postihy, opak je pravdou.
Kvůli implementačnímu zákonu, jež démonizuje soukromý sektor, kterému za neplnění nařízení hrozí pokuty, a veřejné správy se žádné
pokuty netýkají, se spousta ředitelů, tajemníků a dalších vedoucích pracovníků cítí nad věcí. Jenže dle právního pořádku je evropské
právo (nařízení GDPR) nadřazeno právu národnímu (Zákon o ochraně osobních údajů). V Česku se sice občas tváříme, že to takto nefunguje,
ale pokud by došlo na lámání chleba a šikovný právník vzal celou věc k soudnímu dvoru do Lucemburku, “česká cesta” by pravděpodobně neuspěla.
Náhrada škody
Ačkoliv současné právo nechrání data občanů proti jejich zneužití či špatnému zacházení ze strany státu, existuje přinejmenším jedna cesta,
jak se domoci satisfakce. Jedná se o spory o náhradu nemajetkové újmy. V tomto druhu žaloby už v Česku uspěl občan, který se soudil
se společností Mall po jejím obřím úniku údajů z roku 2017. I vy tak máte šanci získat odškodnění za to, že jakákoliv organizace nedokázala ochránit vaše osobní údaje. Pokud máte například podezření, že nemocnice, proti kterým byly v nedávné době vedeny kybernetické útoky, ztratily vaše údaje, doporučujeme zvolit následující postup:
- Požádat organizaci o zaslání informací, zda došlo k úniku či zkopírování vašich údajů třetí stranou.
Přitom se odkazovat na nutnost plnit povinnosti nařízení GDPR. - Pokud instituce nebude reagovat (což se často stává), pak podat žádost o vyjádření, zda se kybernetický útok
dotknul osobních údajů či záznamů o pacientech s odkazem na Zákon o svobodném přístupu k informacím. - V případě, že ani na jednu žádost nedostanete odpověď, doporučujeme případ medializovat.
- Jestliže instituce potvrdí, že jí unikly vaše údaje nebo si je někdo další zkopíroval, pak je čas vyjednávat o náhradě škody.
- Když v rámci vyjednávání nedojde ke shodě, obraťte se na soud. Existuje velká šance,
že se domůžete svých práv a finančního odškodnění. Nejspíš půjde ale o trnitou cestu.
Tento postup lze aplikovat jak na veřejné, tak i soukromé organizace.
Kverulantství vs. fungování státu
“My tady máme spoustu kverulantů. Oni furt posílají žádosti. My se jim snažíme nějak vykroutit nebo raději neodepisujeme vůbec.
I na GDPR se ptají.” doplňuje s úsměvem již dříve zmíněný ředitel příspěvkové organizace. Jenže mezi kverulantstvím, kdy si občané
stěžují na chování mládeže, nízkou frekvenci hromadné dopravy či hlasitostí sousedových slepic a plněním zákonných povinností je dost velký rozdíl.
Jedním z důsledků nynějšího fungování veřejných institucí jsou právě časté a úspěšné kybernetické útoky, kvůli kterým citlivá data nás
všech putují neznámo kam, útočníci je mohou nadále využívat k dalším aktivitám a ti, kdo je ztratili, za to nenesou žádnou odpovědnost. I kvůli tomu se úroveň české veřejné správy nachází pod úrovní Jamajky, Botswany či Kostariky.
Požadovat odškodné po organizaci, která ztratila vaše osobních údaje, není nic špatného, ba naopak.
Možná ji to naopak bude motivovat k tomu data lépe chránit. Tak hurá do boje!
Mohlo by Vás zajímat:
- Co o nás ví „Velký bratr“ ? Podívejte se, jaká data sbírají technologické společnosti
- 10 tipů na zlepšení vaší kybernetické bezpečnosti
- Jak řešit kybernetickou bezpečnost, aby to mělo hlavu a patu?