Osobní údaje, které mohou být ohroženy, jsou například jména, adresy nebo telefonní čísla zaměstnanců, dodavatelů nebo i zákazníků (např. v hotelech). To přináší například riziko krádeže identity nebo ztráty soukromí. Mimořádné riziko se týká používání platebních karet: pokud není software karetních společností integrován do pokladen správně, mohou být některá data z platebních karet snadno zneužita. Riziko roste, pokud data nejsou ukládána na zabezpečeném cloudovém úložišti: může se k nim dostat prakticky každý uživatel takové pokladny nebo může být taková pokladna odcizena. Provozovatel pokladny s ukládáním dat do zařízení se také vystavuje riziku, že se k jeho osobním nebo obchodním datům dostanou například jeho zaměstnanci, aniž by on sám o tom věděl.
„Každý, kdo ochranu dat a osobních údajů podcení, vystavuje se neúměrnému riziku trestního stíhání, jak potvrzuje i Úřad pro ochranu osobních údajů,“ tvrdí Klaus Hornitschek ze společnosti, která je jedním z hlavních hráčů na trhu pokladen pro EET.
Zodpovědnost za ochranu dat zákazníků je v první řadě na provozovatelích pokladen. „Většina dodavatelů pokladen nenápadně přesouvá zodpovědnost za datovou bezpečnost na klienty,“ tvrdí Klaus Hornitschek. „To vystavuje uživatele takových pokladen mimořádnému riziku, kterého si nemusejí být při koupi pokladny vědomi.“
Úřad pro ochranu osobních údajů (ÚOOÚ) přitom upozorňuje, že novelizovaný zákon o trestní odpovědnosti právnických osob rozšiřuje trestní odpovědnost právě na ochranu osobních údajů. „Touto novelou dochází k rozšíření trestných činů, za které je právnická osoba odpovědná. Jedním z těchto trestných činů, za které bude právnická osoba od 1. 12. 2016 nově odpovědná, je i trestný čin dle ustanovení § 180 zákona č. 40/2009 Sb., trestní zákoník, neoprávněné nakládání s osobními údaji,“ uvádí ÚOOÚ ve svém stanovisku z 10. listopadu 2016.
Přiměřenost zabezpečení osobních údajů bude stanovena až na základě případného šetření ze strany ÚOOÚ. Sankce za porušení zákona o ochraně osobních údajů (101/2000 Sb.) jsou mimořádně vysoké – až 5 milionů Kč pro fyzické osoby a 10 milionů Kč pro právnické osoby. Od roku 2018 navíc začne platit Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR), které tyto sankce zásadně zpřísňuje až na 20 milionů EUR (nebo 4 % celkového celosvětového ročního obratu příslušné společnosti za předchozí účetní období).
Na obecnou problematiku bezpečnosti dat poukazují zástupci značky eet1 již delší dobu. „Jedna z prvních a nejvíce podceňovaných otázek, kterou by měl zákazník klást dodavateli pokladních řešení pro EET, je, jak má vyřešenou bezpečnost dat a ochranu osobních údajů,“ upozorňuje Karel Hamr. „Je to právě hospodský, kdo se musí ujistit, zda jej zvolené řešení nevystaví hrozbě pokuty nebo trestního stíhání.“
1) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů neboli General Data Protection Regulation (GDPR) představuje novou jednotnou evropskou úpravu pro zpracování a předávání osobních údajů a má zásadní dopad na všechny subjekty, které osobní údaje pro různé účely a v různém rozsahu zpracovávají. V účinnost vstoupí 25. května 2018.
Psali jsme:
autor: PV
