Únik dat: co při něm hrozí a jak se mu bránit?

4. 3. 2020 Lucie Smolka Kristýna Delmar Právo ICT

Datová ekonomika je na vzestupu, společnosti produkují obrovská množství dat a jejich zpracování je klíčem k zobrazení zajímavých trendů a zjištění. V nedávné době došlo k únikům dat u dvou prominentních poskytovatelů služeb - Googlu a Twitteru. Opět to oživilo debatu o otázce zabezpečení dat, důsledcích těchto úniků, otázkách odpovědnosti poskytovatelů softwarových služeb a jejich případné občanskoprávní či dokonce trestněprávní odpovědnosti. Poradíme vám, jak se na podobné situace připravit.

Google zaznamenal únik dat v listopadu 2019 prostřednictvím nástroje Google take-out, který slouží k zálohování a exportování uloženého obsahu. Při stahování dat se totiž uživatelům v exportovaném souboru objevovala videa třetích osob. Podle vyjádření zástupců se jednalo „pouze“ o chybu, nikoliv o nepřátelský útok, a v tuto chvíli již byla ošetřena. K úniku dat Twitteru došlo v prosinci 2019. Za účelem spárování uživatelských jmen a telefonních čísel byly vytvořeny falešné účty využívající takzvané API Twitteru (programovací rozhraní pro přístup k datům). Twitter totiž umožňuje, podobně jako například Facebook, vyhledat uživatele podle telefonního čísla. Právě ti uživatelé, které bylo možné vyhledat podle telefonního čísla, byli tímto útokem ohroženi. 

Únik či ztráta dat bývá obvykle zapříčiněna buď chybou software (případ Google), nebo cíleným prolomením bezpečnostních opatření následovaným krádeží dat (případ Twitter). 

Vhodná ochrana dat je o to důležitější, že data jako taková nejsou právem vnímána jako věc, kterou je možné vlastnit. Typicky je tedy potřeba uvažovat o souvisejících typech právní ochrany, jako je ochrana právy pořizovatele databáze, obchodního tajemství nebo o právní ochraně konkrétního druhu dat, typicky pokud se jedná o osobní údaje.

Může se stát, že hodnota uložených dat pro zákazníka výrazně převyšuje cenu poskytované služby. Za této situace je smluvní úprava odpovědnosti za ztrátu či únik dat nezbytností. Různé typy právní ochrany je samozřejmě možné kombinovat v závislosti na konkrétním případu.

Cloudové služby

V současné době je velmi oblíbeným způsobem poskytování softwaru jako služby (Software as a Service – SaaS). Z pohledu práva se jedná o inominátní smlouvu podle občanského zákoníku, tedy závazek poskytovatele zpřístupnit software nacházející se na jeho serverech (nebo serverech třetí osoby), provádět pravidelnou údržbu a aktualizaci, poskytnout objednateli licenci k užívání a zajistit požadovanou dostupnost. Objednatel má naproti tomu závazek za službu zaplatit, nicméně není vyžadována instalace nebo ukládání dat na jeho zařízení.

Co se týče odpovědnosti za data uložená na serveru, je vhodné, aby v rámci licenční smlouvy o poskytování software byly vyřešeny otázky ochrany obchodního tajemství, know-how, duševního vlastnictví a obecně důvěrných informací smluvních stran. Zároveň je dobré upravit způsob označování informací za důvěrné, podmínky užívání důvěrných informací a navázaná sankční opatření (zejména smluvní pokuty). Současně je vhodné konkrétně popsat i situace, kdy je možné důvěrné informace zveřejnit nebo předat třetí straně. V případě potřeby je vhodné rovněž smluvně vyřešit nakládání s osobními údaji v souladu s aktuální právní úpravou a s přihlédnutím k aktivitám smluvních stran. 

Rozsah odpovědnosti za škodu a její limitace

V případě ztráty či poškození klientských dat a omezení dostupnosti služeb, vzniká provozovateli služby odpovědnost za škodu. Provozovatel za ni bude zodpovědný vždy bez ohledu na své zavinění. Výjimkou je případ, kdy prokáže, že mu ve splnění povinností zabránila mimořádná a nepřekonatelná překážka nezávislá na jeho vůli. 

Ve smlouvě je obvykle dobré upravit:

  • Odpovědnost za ztrátu dat při migraci

  • Odpovědnost za bezpečnost dat

  • Odpovědnost za dostupnost dat

  • Odpovědnost za umístění dat, zejména osobních údajů (viz dále)

  • Odpovědnost za škodu způsobenou ztrátou nebo nedostupností dat 

Smluvní ujednání často limitují  odpovědnost ohledně druhu škody (skutečná škoda oproti ušlému zisku) i její výše (dle platby za služby). Často je také možné se setkat s plošným vyloučením odpovědnosti poskytovatele služby („Poskytovatel neodpovídá za případnou ztrátu dat“). Takové ustanovení však není platné, protože poskytovatel se nemůže odpovědnosti takto zříct. Je však možné sjednat určitou limitaci odpovědnosti například vyloučením odpovědnosti za ušlý zisk, případně limitací náhrady skutečné škody do určité částky například do ceny služby za určité období. Poskytovatel rovněž neodpovídá za škodu způsobenou porušením smluvních povinností ze strany zákazníka.

Dále je možné si jako sankci sjednat smluvní pokutu. V případě, že je případná ztráta dat sankcionována smluvní pokutou, je třeba mít na paměti, že dle českého právního řádu je smluvní pokuta paušalizovanou náhradou škody. Tedy domáhat se skutečné náhrady škody, která je mnohdy výrazně vyšší, není následně možné, pokud si tak strany ve smlouvě výslovně nesjednaly.

Právní důsledky úniku dat

V případě ztráty či poškození dat zákazníka bude poskytovatel smluvně či ze zákona odpovědný za náhradu škody, případně bude povinen zaplatit smluvní pokutu. 

Za únik osobních údajů může být poskytovateli služby udělena pokuta, která může být s platností GDPR o poznání citelnější a dosáhnout až 20 milionů EUR či 4 % z celkových tržeb. Jakýkoliv únik osobních údajů je tedy třeba hlásit, a to zejména Úřadu pro ochranu osobních údajů do 72 hodin. Případně je nutné upozornit také subjekty osobních údajů, a to v případě, že únik představuje vysoké riziko pro práva a svobody subjektu údajů.

Zejména v případě útoku třetí osoby nebo zneužití dat může být únik dat i trestným činem. Může se jednat například o porušení předpisů o pravidlech hospodářské soutěže, porušení autorského práva nebo neoprávněný přístup k počítačovému systému a nosiči informací .

Jak data chránit?

Zásadní je prevence, například takzvaná preventivní organizačně technická opatření. Patří k nim úprava bezpečnostních postupů ve společnosti (chránit data zevnitř), individuální hesla, omezený přístup k citlivým datům pouze pro vedoucí zaměstnance, školení zaměstnanců, pravidelné bezpečností testy a kontroly. Dále také kvalitní smluvní dokumentace (ochrana dat zvenku), zabezpečení softwaru proti útokům a pravidelná aktualizace softwaru. 

Můžeme vám pomoci jak s nastavením smluvních podmínek, tak s proškolením zaměstnanců. Současně vám pomůžeme nastavit systém kontrol, případně vnitřní řád nebo pracovní smlouvy v souladu se zákony a se zřetelem na zákonný postoj vůči zaměstnancům.  

Jak vám pomůžeme?

Nastavíme vaše smluvní dokumenty tak, aby byla podchycena odpovědnost za bezpečnost vkládaných dat a minimalizována případná odpovědnost za škodu v případě, že by došlo k úniku nebo ke zneužití dat. Všechny problematické otázky pro vás rádi vyřešíme, případně provedeme analýzu současné smluvní dokumentace. Také vám poradíme možné zabezpečení rizikových oblastí.

Pohlídáme soulad vaší praxe s právními předpisy. Můžete s námi konzultovat jakýkoliv proces nebo dokument. Posoudíme ho z pohledu právních aspektů podnikání v digitálním prostředí, ochráníme Vaše obchodní tajemství, pohlídáme otázky hospodářské soutěže nebo osobních údajů, zhodnotíme rizika, případně navrhneme úpravu.

 

Lucie Smolka

Právnička

Kristýna Delmar

Právnička, nyní na rodičovské dovolené

Potřebujete právníka?

Pomůžeme vám se smluvními dokumenty ohledně odpovědnosti za bezpečnost vkládaných dat. Současně dohlédneme na soulad praxe s právními předpisy a případně navrhneme úpravu.

Obraťte se na nás

Ozvěte se nám