ČR: Chabá ochrana dát pri väčšine EET pokladní? Hrozia miliónové sankcie, žaloby zákazníkov a podľa ÚOOÚ trestné stíhanie.

Ani ne tři týdny před spuštěním 2. vlny EET není jasné, zda všichni poskytovatelé pokladních systémů splňují zákonné normy pro nakládání s osobními údaji a zda dobře zabezpečují citlivé obchodní údaje. Přitom od 1. prosince 2016 začal platit novelizovaný zákon o trestní odpovědnosti právnických osob (ZTOPO), podle kterého hrozí za porušení povinností ochrany osobních údajů milionové sankce a trestní stíhání.

Osobní údaje, které mohou být ohroženy, jsou například jména, adresy nebo telefonní čísla zaměstnanců, dodavatelů nebo i zákazníků (např. loajality a bonusové programy či soutěže). To přináší například riziko krádeže identity nebo ztráty soukromí. Mimořádné riziko se týká používání platebních karet: pokud není software karetních společností integrován do pokladen správně, mohou být některá data z platebních karet snadno zneužita. Riziko roste, pokud data nejsou ukládána na zabezpečeném cloudovém úložišti: může se k nim dostat prakticky každý uživatel takové pokladny nebo může být taková pokladna odcizena. Provozovatel pokladny s ukládáním dat do zařízení se také vystavuje riziku, že se k jeho osobním nebo obchodním datům dostanou například jeho zaměstnanci, aniž by on sám o tom věděl.

„Každý, kdo ochranu dat a osobních údajů podcení, vystavuje se neúměrnému riziku trestního stíhání, jak potvrzuje i Úřad pro ochranu osobních údajů,“ tvrdí Klaus Hornitschek ze značky eet1, která je jedním z hlavních hráčů na trhu pokladen pro EET. Řešení značky eet1 odpovídá těm nejpřísnějším požadavkům na zabezpečení dat a ochranu osobních údajů a splňuje veškeré současné i očekávané legislativní požadavky na ochranu dat.

Zodpovědnost za ochranu dat zákazníků je v první řadě na provozovatelích pokladen. „Většina dodavatelů pokladen nenápadně přesouvá zodpovědnost za datovou bezpečnost na klienty,“ tvrdí Klaus Hornitschek. „To vystavuje uživatele takových pokladen mimořádnému riziku, kterého si nemusejí být při koupi pokladny vědomi.“

Úřad pro ochranu osobních údajů (ÚOOÚ) přitom upozorňuje, že novelizovaný zákon o trestní odpovědnosti právnických osob rozšiřuje trestní odpovědnost právě na ochranu osobních údajů. „Touto novelou dochází k rozšíření trestných činů, za které je právnická osoba odpovědná. Jedním z těchto trestných činů, za které bude právnická osoba od 1. 12. 2016 nově odpovědná, je i trestný čin dle ustanovení § 180 zákona č. 40/2009 Sb., trestní zákoník, neoprávněné nakládání s osobními údaji,“ uvádí ÚOOÚ ve svém stanovisku z 10. listopadu 2016.

Přiměřenost zabezpečení osobních údajů bude stanovena až na základě případného šetření ze strany ÚOOÚ. Sankce za porušení zákona o ochraně osobních údajů (101/2000 Sb.) jsou mimořádně vysoké – až 5 milionů Kč pro fyzické osoby a 10 milionů Kč pro právnické osoby. Od roku 2018 navíc začne platit Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation, GDPR), které tyto sankce zásadně zpřísňuje až na 20 milionů EUR (nebo 4 % celkového celosvětového ročního obratu příslušné společnosti za předchozí účetní období).

Na obecnou problematiku bezpečnosti dat poukazují zástupci značky eet1 již delší dobu. „Jedna z prvních a nejvíce podceňovaných otázek, kterou by měl zákazník klást dodavateli pokladních řešení pro EET, je, jak má vyřešenou bezpečnost dat a ochranu osobních údajů,“ upozorňuje Karel Hamr. „Je to právě hospodský, kdo se musí ujistit, zda jej zvolené řešení nevystaví hrozbě pokuty nebo trestního stíhání.“

Značka eet1, jejíž tým byl před třemi lety u tzv. fiskalizace v Chorvatsku (obdoby českého EET), proto kladla od počátku vývoje mimořádný důraz na splnění těch nejpřísnějších norem pro ochranu dat a osobních údajů. „Chorvatské zkušenosti nás vedly k tomu, abychom řešení eet1 vyvíjeli od začátku jako tzv. cloudovou službu, která poskytuje řadu provozních a bezpečnostních výhod,“ tvrdí Klaus Hornitschek. Díky tomu značka eet1 nyní jako jeden z několika hráčů plní požadavky současné legislativy i GDPR. „Valná většina EET pokladen v České republice ukládá data přímo v zařízení, případně je za poplatek zálohuje jinou formou v různých časových intervalech. Taková řešení považujeme za nedostatečná a varujeme před nimi,“ upozorňuje Klaus Hornitschek.