Pokuta 1,5 milionu pro Mall za únik osobních údajů

Úřad pro ochranu osobních údajů uložil na základě závěrů kontroly pokutu ve výši 1,5 milionu korun společnosti Internet Mall, a.s. Důvodem bylo, že firma nezabezpečila osobní údaje nejméně 735 tisíc zákazníků.

„K výši sankce výrazně přispěl počet zákazníků, jejichž údaje společnost Internet Mall, a.s. dostatečně nezabezpečila. Hovoříme tu o téměř tři čtvrtě milionu lidí, jejichž údaje mohly být zneužity,“ konstatovala předsedkyně ÚOOÚ Ivana Janů.

Kontrola se zaměřila na zabezpečení dat zákazníků internetového nákupního domu Mall.cz. Úřad nakonec společnosti uložil výše zmíněnou pokutu za spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů.

Podle zjištění Úřadu došlo k odcizení části databáze záznamů o zákaznících Internet Mall, a.s. Společnost navíc nezjistila ani v průběhu času, ani na základě jí deklarované aktualizace přijatých opatření, jak k uvedenému úniku dat došlo.

Konkrétně Internet Mall, a.s. nezabezpečil osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon před neoprávněným přístupem v období minimálně od 31. prosince 2014 do srpna 2017. V důsledku toho došlo v době od 27. července do 25. srpna 2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.

Tím společnost porušila povinnost stanovenou v § 13 odst. 1 zákona č. 101/2000 Sb., tedy povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

V souvislosti s výše uvedeným je třeba upozornit správce osobních údajů, že od 25. května 2018 jsou podle čl. 33 obecného nařízení o ochraně osobních údajů povinni v případech porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozví, ohlásit porušení dozorovému úřadu (s výjimkou případů, kdy je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob).

Pokud má porušení za následek vysoké riziko pro práva a svobody fyzických osob, což se ve výše popisovaném případě nastalo, je správce povinen toto porušení oznámit též dotčeným subjektům údajů (viz čl. 34 obecného nařízení o ochraně osobních údajů).


Téma: Zákony a GDPR, Zdroj: Úřad pro ochranu osobních údajů
Štítky: Dozorový úřad, Kyberbezpečnost, Pokuty, Povinnosti správce
04.10.2018 (autor Redakce)





Související

Úřad k doporučení Komise pro volby do Evropského parlamentu

Evropská komise vydala v září doporučení, které má chránit před kybernetickými bezpečnostními incidenty a...

 vydáno 19.10.2018 
Téma: Zákony a GDPR

ÚOOÚ doplnil často kladené otázky o předávání osobních údajů do třetích zemí

Úřad pro ochranu osobních údajů doplnil časté otázky o oblast předávání osobních údajů do třetích zemí. V...

 vydáno 15.10.2018 
Téma: GDPR a procesy

Zpracování osobních údajů portálem www.znamylekar.cz

Úřad pro ochranu osobních údajů zveřejnil aktualizované informace ke zpracování osobních údajů portálem...

 vydáno 05.10.2018 
Téma: Zákony a GDPR



Související dotazy
Odpovídá Mgr. Nikola Dohnalová
Obecně lze aktiva charakterizovat jako veškerý hmotný i nehmotný majetek organizace. Ve vztahu k ochraně osobních údajů se tento pojem nejčastěji...

Odpovídá Mgr. Nikola Dohnalová
Obecně poveřenec pro ochranu osobních údajů nenese osobní odpovědnost za nedodržování Obecného nařízení. Čl. 24 odst. 1 Obecného nařízení jasně...

Odpovídá Mgr. Martin Leskovjan
Článek 83 Obecného nařízení upravuje obecné podmínky pro ukládání správních pokut. Dle tohoto ustanovení by správní pokuty měly být především...



www.helpgdpr.cz
© Copyright 2000 - 2018, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz