GDPR je v platnosti od 25. mája 2018. V Českej republike sa už začali rozdávať prvé pokuty za porušenia. Spoločnosť sa previnila únikom dát, ktoré sa dali voľne stiahnuť z jedného zo serverov. Úrad im za to udelil pokutu v prepočte necelých 60 000 eur.
„K výši sankce výrazně přispěl počet zákazníků, jejichž údaje společnost Internet Mall, a.s. dostatečně nezabezpečila. Hovoříme tu o téměř tři čtvrtě milionu lidí, jejichž údaje mohly být zneužity,“ uviedla predsedníčka UOOU CZ Ivana Janů.
Kontrola sa zamerala na zabezpečenie dát zákazníkov internetového nákupného domu Mall.cz. Úrad nakoniec spoločnosti uložil vyššie spomenutú pokutu za spáchanie priestupku podľa § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochrane osobných údajov (podľa CZ zákona o UOOU).
Podľa zistení Úradu došlo k odcudzeniu časti databázy záznamov o zákazníkoch Internet Mall, a.s. Menovaná spoločnosť naviac nezistila ani v priebehu času, ani na základe ich deklarovaných opatrení, ako uvedený únik dát vlastne nastal.
Konkrétne spoločnosť Internet Mall, a.s. nezabezpečila osobné údaje najmenej 735 956 zákazníkov v nasledovnom rozsahu: meno, priezvisko, e-mailová adresa, heslo užívateľského účtu, prípadne telefón – pred neoprávneným prístupom v období minimálne od 31. decembra 2014 do augusta 2017. V dôsledku toho došlo v dobe od 27. júla do 25. augusta 2017 k sprístupneniu uvedených osobných údajov na servere Uložto.cz.
Týmto menovaná spoločnosť porušila stanovenú povinnosť v § 13 odst. 1 zákona č. 101/2000 Sb., teda povinnosť prijať také opatrenia, aby nemohlo dôjsť k neoprávnenému alebo nahodnému prístupu k osobným údajom, k ich zmene, zničeniu, či strate, neoprávneným prenosom, k ich inému neoprávnenému spracovaniu, ako aj k inému zneužitiu osobných údajov.
V tejto súvislosti s vyššie uvedeným je treba upozorniť správcov osobných údajov, že od 25. mája 2018 sú podla čl. 33 všeobecného Nariadenia o ochrane osobných údajov povinní v prípadoch porušenia zabezpečenia osobných údajov a to bez zbytočného odkladu a pokiaľ možno do 72 hodín od okamihu, kedy sa o ňom dozvie, ohlásiť porušenie dozornému úradu (s výnimkou prípadov, kedy je nepravdepodobné, že by porušenie malo za následok riziko pre práva a slobody fyzických osôb).
Pokiaľ má porušenie za následok vysoké riziko pre práva a slobody fyzických osôb, čo vo vyššie popisovanom prípade nastalo, je správca povinný toto porušenie oznámiť aj dotknutým subjektom (viď čl. 34 Nariadenia o ochrane osobných údajov).
Prečítajte si aj reakciu spoločnosti Mall.cz: Reakcia spoločnosti Internet Mall, a.s. na uloženú pokutu od Úradu na ochranu osobných údajov
zdroj: UOOU.cz