Ured povjerenika za informacije Ujedinjenog Kraljevstva dobio je važnu žalbu u vezi sa obavezama zaštite podataka koje proizilaze iz sajber napada 2017-18 na maloprodaju elektronike Currys PC World
By
Alex Scroxton,Security Editor
Objavljeno: 19 feb 2026 20:42
Apelacioni sud (CoA) presudio je u korist Ureda povjerenika za informacije (ICO) u žalbi na prethodnu odluku u vezi sa odgovornostima preduzeća za zaštitu podataka koje su nastale nakon cyber napada na DSG Retail 2018. – koja sada posluje kao Currys Group Ltd – matična organizacija nekadašnjih britanskih maloprodajnih brendova elektronike, uključujući Dixons Ware World, uključujući Carphone Ware.
DSG je postao žrtva velikog sajber napada tokom devetomjesečnog perioda 2017. i 2018. godine. Incident je doveo do toga da su sajber kriminalci instalirali zlonamjerni softver na prodajne (POS) uređaje kompanije i koristili ga za krađu ličnih podataka, uključujući podatke o kreditnim i debitnim karticama miliona klijenata i, u malom broju slučajeva, njihova imena i podatke za kontakt, poštanski broj.
U januaru 2020. ICO je izrekao kaznu od 500.000 funti DSG-u prema Zakonu o zaštiti podataka (DPA) iz 1998. nakon što je istraga otkrila da trgovac nije uspio zakrpiti softverske sisteme, instalirati zaštitne zidove, odvojiti svoje mreže, provesti rutinsko sigurnosno testiranje ili zaštititi lične podatke. Kazna je bila niža od one propisane Općom uredbom o zaštiti podataka (GDPR) jer se kršenje dogodilo prije nego što je zakon stupio na snagu.
U prethodnim žalbama Prvom sudu (FTT) i Višem sudu (UT), DSG je tvrdio da se sedmi princip zaštite podataka (DPP7) DPA prema kojem je kažnjen nije primjenjivao na incident.
Navodi se da, iako su napadači dobili pune 16-cifrene brojeve kartica, datume isteka i imena vlasnika kartica u ograničenom broju slučajeva, u većini slučajeva kartice su bile zaštićene elektromagnetskom verifikacijom (EMV) – čipom i PIN-om – tako da su napadači mogli dobiti samo 16-cifreni broj kartica i datume isteka, a ne imena.
Kao takav, navodi se da ne mora poduzeti “odgovarajuće tehničke i organizacione mjere” (Atoms) kako bi osigurao EMV podatke jer to nisu “lični podaci” u rukama treće strane. Tvrdilo je da pitanje o primjenjivosti DPP7 na navedene podatke treba razmotriti sa stanovišta treće strane – odnosno hakera.
Prvostepeni sud je prvobitno odbacio ovaj argument, ali ga je Viši sud podržao, što je navelo ICO da zatraži dozvolu za žalbu prošle godine. Tada je povjerenik za informacije John Edwards rekao da je DPA jasno da organizacije moraju uspostaviti Atoms kako bi zaštitile lične podatke bez obzira na to da li su pseudonimizirani.
Uz rastuću prijetnju kibernetičkog kriminala, ova odluka jača našu sposobnost da preduzmemo snažne mjere u budućnosti i šalje jasnu poruku svim organizacijama: imate zaštitnu dužnost da zaštitite lične podatke koje posjedujete Binnie Goh, ICO
“Vidjeli smo mnogo slučajeva gdje su ljudi bili pogođeni kada su zlonamjerni akteri pristupili, izbrisali ili šifrirali pseudonimizirane lične podatke – na primjer, kada su medicinski ili finansijski podaci ugroženi”, rekao je.
Današnja odluka, koju je donio Lord Justice Warby, podržava Edwardsov stav, koji zaključuje da kada se osoba na koju se podaci odnose može identificirati kontroloru podataka, kontrolor podataka mora zaštititi te podatke od neovlaštene ili nezakonite obrade, bez obzira da li ih osoba koja ih obrađuje može koristiti za identifikaciju pojedinca.
ICO je pozdravio presudu Apelacionog suda, rekavši da je pojašnjavala važnu tačku zakona o zaštiti podataka u ponovnom uspostavljanju jasnog tumačenja zakonskih odgovornosti organizacija da zaštite lične podatke.
“Zaključio sam da razlozi UT-a za usvajanje uskog tumačenja statutarnih formulacija, iako pažljivi i temeljiti, na kraju nisu uvjerljivi,” napisao je Warby u svojoj presudi.
“Oni dovode do nekih iznenađujućih zaključaka. Po mom mišljenju, šira konstrukcija je u skladu s jezikom statuta i njegove matične direktive, prepoznatljivim svrhama zakonodavstva o zaštiti podataka i s nekoliko riješenih slučajeva koji imaju bilo kakav značajni uticaj na ovo pitanje. Stoga bih dozvolio žalbu.”
Generalni savjetnik ICO-a Binnie Goh dodao je: „Današnja presuda je značajna pobjeda, koja donosi prijeko potrebnu jasnoću za ljude pogođene sajber napadima, kao i za industriju.
“Pozdravljamo potvrdu CoA-a da organizacije moraju zaštititi sve lične podatke koje obrađuju, bez obzira na to kako bi ih hakeri mogli koristiti ili eksploatirati. Ovo prepoznaje da čak i ako hakeri ne mogu identificirati ljude pojedinačno iz ukradenih skupova podataka, sajber napadi mogu i još uvijek nanose stvarnu štetu.
“Uz rastuću prijetnju sajber kriminala, ova odluka jača našu sposobnost da preduzmemo snažne mjere u budućnosti i šalje jasnu poruku svim organizacijama: imate zaštitnu dužnost da zaštitite lične podatke koje posjedujete”, rekao je Goh.
Computer Weekly je kontaktirao Currys Group Ltd za odgovor, a ovaj članak će biti ažuriran ako ga primi.
Slučaj će se kasnije vratiti FTT-u kako bi ponovo primijenio novo tumačenje Apelacionog suda na činjenice o DSG incidentu.
Pročitajte više o privatnosti i zaštiti podataka
Sud odbacuje žalbu Apple-a na backdoor u Ministarstvu unutrašnjih poslova
Autor: Bill Goodwin
Tribunal za istražne ovlasti objasnio je
Autor: Bernard Keenan
Potraga britanskih vlasti za odgovorima na izbrisane mejlove Juliana Assangea dolazi prekasno da bi se dohvatili podaci
Zviždaču iz Sellafielda naloženo je da plati troškove nakon tvrdnji o neovlaštenom e-mailu
