Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2011
  6. Kontrola zaměřená na bezpečnost provozovaných webových stránek

Kontrola zaměřená na bezpečnost provozovaných webových stránek

Inspektor Úřadu provedl kontrolu společnosti, jejímž podnětem byla stížnost, ve které stěžovatel uvedl, že je registrovaným uživatelem webu www.xxx.cz. Po přihlášení k jeho účtu a následném obnovení stránky docházelo k přihlášení k náhodným účtům jiných registrovaných uživatelů tohoto webu. Tudíž stěžovatel mohl vidět objednávky a kontaktní informace těchto uživatelů. A stejně tak mohli jiní vidět jeho údaje a objednávky.

Kontrolovaný k danému případu uvedl, že došlo k softwarové chybě, ale nedošlo k úniku dat z databáze. Dále sdělil, že po přihlášení k uživatelskému účtu se vytvoří virtuální prostor, který není shodný s databází. Každý uživatel má vytvořený svůj vlastní virtuální prostor. V inkriminovanou dobu se stalo, že aplikace odpovědná za vytváření virtuálních prostorů přestala pracovat a nebyl každému vytvořen jeho vlastní nový virtuální prostor, ale byl použit již předešlý virtuální prostor vytvořený pro jiného uživatele. Z tohoto důvodu mohli uživatelé vidět účty jiných uživatelů. V uvedené době nebylo možné si nic objednávat. Objednávka byla v systému vidět, ale nedala se dokončit. Problém trval v určitý den od 12:15 do 13:30. Byl proveden restart systému, ten však problém nevyřešil, a proto byla činnost stránky v tento den ve 13:30 zastavena. V současné době je součást systému, která způsobila daný problém, ze systému odstraněna.

Kontrolovaný prostřednictvím webového rozhraní a svých webových stránek shromažďuje a zpracovává osobní údaje svých klientů. Účet klienta (uživatele) obsahuje kontaktní údaje – zejména jméno, příjmení, poštovní adresa, e-mailová adresa, dále informace o posledních objednávkách, slevách apod., tedy osobní údaje ve smyslu ustanovení § 4 písm. a) zákona č. 101/2000 Sb.

Z podané stížnosti, z vyjádření uživatelů v rámci diskuse mezi provozovatelem www.xxx.cz a uživateli na http://www.facebook.com/pages/xxx a z vyjádření kontrolovaného je zřejmé, že dne 1. října 2010 od 12:15 do 13:30 bylo možné, aby přihlášení uživatelé viděli účty jiných uživatelů.

Kontrolovaný subjekt tak jednoznačně porušil ustanovení § 13 odst. 1 zákona č. 101/2000 Sb. tím, že nepřijal taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, a to nezjištěnému počtu třetích osob (minimálně však stěžovateli).

Kontrolovaný tím spáchal správní delikt podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních údajů, za což mu v souladu s § 45 odst. 3 zákona č. 101/2000 Sb. byla uložena pokuta.