"K výške sankcie výrazne prispel počet zákazníkov, ktorých údaje spoločnosť Internet Mall, a.s. dostatočne nezabezpečila. Hovoríme tu o takmer tri štvrte milióna ľudí, ktorých údaje mohli byť zneužité, "konštatovala predsedníčka ÚOOÚ Ivana Janů.
Kontrola sa zamerala na zabezpečenie dát zákazníkov internetového nákupného domu MALL.sk. Úrad nakoniec spoločnosti uložil vyššie zmienenú pokutu za spáchanie priestupku podľa § 45 ods. 1 písm. h) zákona č. 101/2000 Zb. o ochrane osobných údajov.
Podľa zistení českého Úradu došlo k odcudzeniu časti databázy záznamov o zákazníkoch Internet Mall, a.s. Spoločnosť navyše nezistila ani v priebehu času, ani na základe jej deklarovanej aktualizácie prijatých opatrení, ako k uvedenému úniku dát došlo.
Konkrétne Internet Mall, a.s. nezabezpečil osobné údaje najmenej 735 956 zákazníkov v rozsahu meno, priezvisko, e-mailová adresa, heslo používateľského účtu, prípadne telefón pred neoprávneným prístupom v období minimálne od 31. decembra 2014 do augusta 2017. V dôsledku toho došlo v čase od 27. júla do 25. augusta 2017 k sprístupneniu uvedených osobných údajov na serveri Ulozto.cz.
Tým spoločnosť porušila povinnosť ustanovenú v § 13 ods. 1 zákona č. 101/2000 Zb., Teda povinnosť prijať také opatrenia, aby nemohlo dôjsť k neoprávnenému alebo náhodnému prístupu k osobným údajom, k ich zmene, zničeniu, či strate, neoprávneným prenosom, k ich inému neoprávnenému spracovaniu, ako ik inému zneužitiu osobných údajov.
V súvislosti s vyššie uvedeným je potrebné upozorniť správcu osobných údajov, že od 25. mája 2018 sú podľa čl. 33 všeobecného nariadenia o ochrane osobných údajov povinní v prípadoch porušenia bezpečnosti osobných údajov bez zbytočného odkladu a pokiaľ možno do 72 hodín od okamihu, keď sa o ňom dozvie, ohlásiť porušenie dozornému úradu (s výnimkou prípadov, keď je nepravdepodobné, že by porušenie malo za následok riziko pre práva a slobody fyzických osôb).
Ak má porušenie za následok vysoké riziko pre práva a slobody fyzických osôb, čo sa vo vyššie popisovanom prípade nastalo, je správca povinný toto porušenie oznámiť tiež dotknutým subjektom údajov (pozri čl. 34 všeobecného nariadenia o ochrane osobných údajov).
Zdroj: ÚOOÚ CZ