Pokuta 1,5 milionu pro Mall za únik osobních údajů
Úřad pro ochranu osobních údajů uložil na základě závěrů kontroly pokutu ve výši 1,5 milionu korun společnosti Internet Mall, a.s. Důvodem bylo, že firma nezabezpečila osobní údaje nejméně 735 tisíc zákazníků.
„K výši sankce výrazně přispěl počet zákazníků, jejichž údaje společnost Internet Mall, a.s. dostatečně nezabezpečila. Hovoříme tu o téměř tři čtvrtě milionu lidí, jejichž údaje mohly být zneužity,“ konstatovala předsedkyně ÚOOÚ Ivana Janů.
Kontrola se zaměřila na zabezpečení dat zákazníků internetového nákupního domu Mall.cz. Úřad nakonec společnosti uložil výše zmíněnou pokutu za spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů.
Podle zjištění Úřadu došlo k odcizení části databáze záznamů o zákaznících Internet Mall, a.s. Společnost navíc nezjistila ani v průběhu času, ani na základě jí deklarované aktualizace přijatých opatření, jak k uvedenému úniku dat došlo.
Konkrétně Internet Mall, a.s. nezabezpečil osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon před neoprávněným přístupem v období minimálně od 31. prosince 2014 do srpna 2017. V důsledku toho došlo v době od 27. července do 25. srpna 2017 ke zpřístupnění uvedených osobních údajů na serveru Uložto.cz.
Tím společnost porušila povinnost stanovenou v § 13 odst. 1 zákona č. 101/2000 Sb., tedy povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
V souvislosti s výše uvedeným je třeba upozornit správce osobních údajů, že od 25. května 2018 jsou podle čl. 33 obecného nařízení o ochraně osobních údajů povinni v případech porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozví, ohlásit porušení dozorovému úřadu (s výjimkou případů, kdy je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob).
Pokud má porušení za následek vysoké riziko pro práva a svobody fyzických osob, což se ve výše popisovaném případě nastalo, je správce povinen toto porušení oznámit též dotčeným subjektům údajů (viz čl. 34 obecného nařízení o ochraně osobních údajů).
Související
Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro...
vydáno 16.04.2024
Téma: Zákony a GDPR
Pokuta byla společnosti Meta IE udělena na základě šetření její služby Facebook ze strany irského úřadu pro...
vydáno 23.05.2023
Téma: Zákony a GDPR
Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla...
vydáno 25.04.2023
Téma: Zákony a GDPR
Související dotazy
Odpovídá Mgr. Nikola Dohnalová
Obecně lze aktiva charakterizovat jako veškerý hmotný i nehmotný majetek organizace.
Ve vztahu k ochraně osobních údajů se tento pojem nejčastěji...
Odpovídá Mgr. Nikola Dohnalová
Pověřenec pro ochranu osobních údajů vykonává úkoly dle čl. 39 GDPR. Dle čl. 38 odst. 3 GDPR musí správce a zpracovatel zajistit, aby pověřenec...
Odpovídá Mgr. Nikola Dohnalová
Obecně poveřenec pro ochranu osobních údajů nenese osobní odpovědnost za nedodržování Obecného nařízení. Čl. 24 odst. 1 Obecného nařízení jasně...