Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2006
  6. Zpracování osobních údajů v distribuční společnosti

Zpracování osobních údajů v distribuční společnosti

Kontrolovaný zpracovává osobní údaje svých zákazníků v informačních systémech S a Px a formou písemné evidence. Od roku 2003 implementuje nový zákaznický systém. Prostřednictvím aplikace Px vede elektronické účty svých zákazníků, a to plateb za spotřebovanou komoditu. Aplikací Px umožňuje prostřednictvím webového rozhraní zákaznickou samoobsluhu pro maloodběratele: internetové prohlížení části neveřejných dat zákaznického systému. Část aplikace Px určená pro zákazníky (tzv. front-end) je k dispozici pro každého, kdo má připojení k internetu, na internetovém portálu kontrolovaného. Administrační část aplikace (tzv. back-end) se nachází pouze ve vnitřní síti kontrolovaného. Oprávnění zákazníci dostanou na žádost identifikátor k přihlašování do aplikace Px. Zákazník je doporučeným dopisem informován, že zadáním jeho čísla zákazníka (přístupového jména) a hesla získá tento přístup do zákaznického systému. V novém prostředí S byl zahájen zkušební provoz v druhé polovině prosince 2005, ke dni 21. dubna 2006 nebyl ukončen. Průměrný denní počet žádostí o přístup k účtu v Px je 16 a průměrně se denně přihlásí 18 uživatelů.

Dne 18. ledna 2006 kontrolovaný odeslal autorizační dopisy svým zákazníkům. Původce podnětu, který je zákazníkem kontrolovaného, obdržel společně s dalšími pěti zákazníky nové heslo, jehož zadání spolu s číslem zákazníka pro aplikaci Px umožňovalo po omezenou dobu (od doručení dopisů1 s chybným heslem do odstranění problému) přístup k účtu jiného zákazníka. Původce podnětu se v uvedené době přihlásil do aplikace Px a místo jeho účtu se mu otevřel správa účtů společnosti XX, a.s. (nyní je jejím nástupcem společnost YY, a.s.), v níž shlédl osobní údaj fyzické osoby ve formě e-mailové adresy. Tato e-mailová adresa obsahovala jméno a příjmení a vyplývalo z ní spojení s XX, a.s. Z výpisu z elektronického účtu společnosti XX, a.s., který původce podnětu zaslal Úřadu, vyplývá, že v aplikaci Px jsou vedeny o zákazníkovi, zejména tyto informace: číslo zákaznického účtu, stav zákaznického účtu, číslo odběrného místa, adresa odběrného místa, číslo zákazníka, jméno/název zákazníka, jeho bankovním spojením, e-mail, telefonní číslo, nastavený zákaznický účet, stav zákaznického účtu, platební způsob, bankovní spojení, adresa, údaje o smlouvách, seznam faktur a plateb, výše plateb, údaje o odečtech, apod.

Původce podnětu upozornil na incident kontrolovaného dne 24. ledna 2006. Kontrolovaný problém odstranil dne 25. ledna 2006. Příčinou incidentu byla neošetřená programová výjimka v autorizačním modulu Součástí provedených opatření byly okamžitá blokace dotčeného účtu, kontaktování dotčených zákazníků omluvným dopisem a jako preventivní opatření posílení kontrolního mechanismu.

V písemné evidenci kontrolovaného je vedeno rodné číslo zákazníka: např. ve smlouvě s původcem podnětu z roku 2004, v žádosti/smlouvě o distribuci, dodávce nebo sdružených službách dodávky komodity z roku 2005 a ve smlouvě o dodávce komodity z konce roku 2005. Součástí všech uzavřených smluv s původcem podnětu jsou i Dodací podmínky. Další ustanovení Dodacích podmínek neobsahují (mimo povinnosti oznámit změnu údajů) informace o osobních údajích (informace, poučení, souhlas se zpracováním osobních údajů).

Kontrolou bylo zjištěno porušení těchto ustanovení zákona o ochraně osobních údajů:

Kontrolovaný porušil ust. § 5 odst. 1 písm. d) Porušení této povinnosti spočívalo v tom, že jako správce nepotřebuje k naplnění stanoveného účelu při přijímání žádosti o distribuci, dodávce nebo sdružených službách nebo zřízení nového odběrného místa současně rodné číslo a datum narození oprávněných zákazníků. Jako nadbytečné bylo vyhodnoceno užívání rodného čísla.

Kontrolovaný porušil ust. § 5 odst. 2 Porušení této povinnosti kontrolovaným spočívalo v tom, že souhlas zákazníků, ve smyslu ustanovení § 5 odst. 2 zákona o ochraně osobních údajů, případně souhlas zákazníků - nositelů rodného čísla ve smyslu ustanovení § 13c odst. 1 písm. c) zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů kontrolovaný neprokázal.

Kontrolovaný porušil ust. § 13 odst. 1 zákona o ochraně osobních údajů tím, že jako správce osobních údajů svých zákazníků nepřijal taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. U kontrolovaného došlo k absenci bezpečnostních opatření přiměřených bezpečnostním rizikům vyplývajícím z povahy aplikace Px tím že vytvořil podmínky pro neoprávněný přístup k osobním údajům obsažených ve správě účtů cca 6 svých zákazníků v době od doručení dopisů s chybně přiděleným heslem zákazníkům do odstranění problému a jeho příčiny. Neoprávněný přístup byl umožněn v důsledku neošetřené programové výjimky. Skutečně došlo k incidentu, a to k přístupu ke správě účtů společnosti XX, a.s. (nyní YY, a.s.) původcem podnětu, panem T. D., a dále mohlo dojít ke správám účtů 5 fyzických osob. Základním opatřením pro bezchybný chod této aplikace, jejímž smyslem je správa a vedení zákaznických účtů jednotlivých zákazníků, je zajištění přístupu ke konkrétnímu účtu pouze oprávněným osobám.