Pokuta 1,5 milionu korun pro e-shop za únik osobních údajů

Pokuta 1,5 milionu korun pro e-shop za únik osobních údajů
9 September 2019

Pokuta 1,5 milionu korun pro e-shop za únik osobních údajů

Český úřad pro ochranu osobních údajů udělil v roce 2018 první velkou pokutu v hodnotě 1,5 milionu korun společnosti Internet Mall, a. s., která provozuje internetový obchod MALL.CZ. i slovenský MALL.SK.

Čeho se společnost dopustila?

Portál Mall.cz nedostatečně zajistil osobní údaje o nejméně 735 956 zákazníků. V době minimálně od 31. prosince 2014 do srpna roku 2017 neochránila jména, příjmení, e-mailové adresy, hesla i telefonní čísla klientů před neoprávněným přístupem do databáze. Z tohoto důvodu bylo možné, aby se všechny zmíněné citlivé údaje zákazníků objevily na portálu Ulož.to v době od 27. července do 25. srpna 2017. Problémem je i to, že společnost nezjistila, jak mohlo dojít k tomuto masovému úniku osobních údajů, co je tím pádem přitěžující okolností.

Jaký zákon společnost porušila?

Internetový obchod Mall.cz neporušil nařízení GDPR, protože tento bezpečnostní incident nastal ještě před platností GDPR. Společnost však porušila technické a organizační požadavky ochrany osobních údajů, které platily v zákonech ještě před samotným GDPR. Už směrnice Evropské unie z roku 1995 požadovala přiměřenou úroveň ochrany údajů s důrazem na stav techniky. Mnohé firmy v minulosti vytrvale nerespektovaly nařízení, jejichž snahou je chránit osobní údaje, avšak nerespektují je ani dnes.

Proč by pokuta mohla být vyšší?

Není proto divu, že několik společnosti dnes postihují příslušné úřady a padají při tom několik milionové pokuty. Kdyby se online obchodu Mall.cz podařil takový rozsáhlý únik údajů v době platnosti GDPR, jeho pokuta by byla zřejmě mnohem vyšší. Podle nařízení se v současnosti pokuta může pohybovat do výše 10 milionů EUR nebo 2% celosvětového ročního obratu společnosti za předchozí účetní rok. Tento obrat dosáhl Mall na Slovensku a v Česku 340 milionů eur v roce 2017. Pokuta by se tak mohla vyšplhat až na na 6,8 milionu eur.

Jak reagovat dnes při úniku osobních údajů?

Pokud by k porušení ochrany osobních údajů došlo v době platnosti evropského nařízení GDPR, společnost musí nahlásit únik těchto údajů do 72 hodin od zjištění příslušnému úřadu. Pokud by šlo o vysoké riziko pro dotčené osoby a společnost by neprovedla příslušná opatření, které by zamezily následkem incidentu, tak by společnost musela bezodkladně informovat všechny subjekty údajů.

Kontaktní formulář

Vypracování bezpečnosti dokumentace ve smyslu GDPR od 139 € s pojištěním.

osobniudaj.cz, s.r.o. Nobelova 812/4,
160 00 00 Praha 6 - Vokovice

Nezávazná cenová nabídka zdarma

od 139€ s pojištěním

Poskytli jsme služby
více než
11 500 klientům

Bezplatná cenová nabídka

Otázky a odpovědi

Vážený klient, pokud jste nenašli
to co hledáte, nevahejte
nás kontaktovat.

Kontaktovat