logo Úřad pro ochranu osobních údajů

Pokuta 1,5 milionu korun za nedostatečné zabezpečení osobních dat

Podle zjištění ÚOOÚ došlo k odcizení části databáze záznamů o zákaznících internetového nákupního domu Mall.cz. Společnost navíc nezjistila ani v průběhu času, ani na základě jí deklarované aktualizace přijatých opatření, jak k uvedenému úniku dat došlo.

Konkrétně Internet Mall, a.s. nezabezpečil osobní údaje nejméně 735956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon před neoprávněným přístupem v období minimálně od 31. 12. 2014 do srpna 2017. V důsledku toho došlo v době od 27. 7. do 25. 8. 2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.

Tím společnost porušila povinnost stanovenou v § 13 odst. 1 zákona č. 101/2000 Sb., tedy povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

V souvislosti s výše uvedeným je třeba upozornit správce osobních údajů, že od 25. 5. 2018 jsou podle čl. 33 obecného nařízení o ochraně osobních údajů povinni v případech porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozví, ohlásit porušení dozorovému úřadu (s výjimkou případů, kdy je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob).

Pokud má porušení za následek vysoké riziko pro práva a svobody fyzických osob, což se ve výše popisovaném případě nastalo, je správce povinen toto porušení oznámit též dotčeným subjektům údajů (viz čl. 34 obecného nařízení o ochraně osobních údajů).

"K výši sankce výrazně přispěl počet zákazníků, jejichž údaje společnost Internet Mall, a.s. dostatečně nezabezpečila. Hovoříme tu o téměř tři čtvrtě milionu lidí, jejichž údaje mohly být zneužity. Úřad nakonec společnosti uložil výše zmíněnou pokutu za spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů," říká Ivana Janů, předsedkyně ÚOOÚ.

Článek Úřad pro ochranu osobních údajů ze dne 4. října 2018 - čtvrtek

Další články od Úřad pro ochranu osobních údajů

Speciální nabídka videokonferencí Yealink