Český úrad na ochranu osobných údajov udelil v roku 2018 prvú veľkú pokutu v hodnote 1,5 milióna českých korún spoločnosti Internet Mall, a. s., ktorá prevádzkuje internetový obchod Mall.cz. i slovenský Mall.sk.
Čoho sa spoločnosť dopustila?
Portál Mall.cz nedostatočne zabezpečil osobné údaje o najmenej 735 956 zákazníkov. V čase minimálne od 31. decembra 2014 do augusta roku 2017 neochránila mená, priezviská, e-mailové adresy, heslá i telefónne čísla klientov pred neoprávneným prístupom do databázy. Z tohto dôvodu bolo možné, aby sa všetky spomínané citlivé údaje zákazníkov objavili na portáli Ulož.to v čase od 27. júla do 25. augusta 2017. Problémom je aj to, že spoločnosť nezistila, ako mohlo dôjsť k tomuto masovému úniku osobných údajov, čo je tým pádom priťažujúcou okolnosťou.
Aký zákon spoločnosť porušila?
Internetový obchod Mall.cz neporušil nariadenie GDPR, pretože tento bezpečnostný incident nastal ešte pred platnosťou GDPR. Spoločnosť však porušila technické a organizačné požiadavky ochrany osobných údajov, ktoré platili v zákonoch ešte pred samotným GDPR. Už smernica Európskej únie z roku 1995 požadovala primeranú úroveň ochrany údajov s dôrazom na stav techniky. Mnohé firmy v minulosti vytrvalo nerešpektovali nariadenia, ktorých snahou je chrániť osobné údaje, avšak nerešpektujú ich ani dnes.
Prečo by pokuta mohla byť vyššia?
Niet preto divu, že viaceré spoločnosti dnes sankcionujú príslušné úrady a padajú pri tom niekoľko miliónové pokuty. Keby sa online obchodu Mall.cz podaril takýto rozsiahly únik údajov v čase platnosti GDPR, jeho pokuta by bola zrejme oveľa vyššia. Podľa nariadenia sa v súčasnosti pokuta môže pohybovať do výšky 10 miliónov eur alebo 2% celosvetového ročného obratu spoločnosti za predchádzajúci účtovný rok. Tento obrat dosiahol Mall na Slovensku a v Česku 340 miliónov eur v roku 2017. Pokuta by sa tak mohla vyšplhať až na na 6,8 milióna eur.
Ako reagovať dnes pri úniku osobných údajov?
Ak by k porušeniu ochrany osobných údajov došlo v čase platnosti európskeho nariadenia GDPR, spoločnosť musí nahlásiť únik týchto údajov do 72 hodín od zistenia príslušnému úradu. Pokiaľ by šlo o vysoké riziko pre dotknuté osoby a spoločnosť by nevykonala príslušné opatrenia, ktoré by zamedzili následkom incidentu, tak by spoločnosť musela bezodkladne informovať všetky dotknuté osoby