Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Provozovatel rozhlasového vysílání (UOOU-02142/19)

Kontrola zabezpečení osobních údajů

Kontrola byla provedena na základě podání stěžovatele a zároveň kontrolovanou osobou zaslaného nahlášení nastalé situace v souvislosti s ochranou osobních údajů. Jejím předmětem bylo dodržování povinností stanovených obecným nařízením a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů, zejména v souvislosti se zabezpečením osobních údajů odštěpným závodem zahraniční právnické osoby.

Kontrolovaná osoba zaslala v únoru 2020 Úřadu dokument za účelem nahlášení následující nastalé situace, kde je mimo jiné uvedeno, že zaměstnanec ve výpovědní lhůtě oznámil, že jeho nadřízený měl přístup k jeho osobním údajům tím, že vstoupil do jeho PC a využíval jeho identity. Případ byl interně prošetřen a nebylo shledáno porušení zabezpečení osobních údajů. Přesto však kontrolovaná osoba preventivně přijala soubor opatření, např. Kodex chování pro administrátory a také provádí revizi interní politiky v oblasti digitálního zabezpečení.

Stěžovatel, který se v březnu 2020 obrátil na Úřad, uvedl, že někdy v období před 20. 12. 2019 došlo u kontrolované osoby k prolomení zabezpečení softwaru Office 365, používaného správcem pro interní i externí e-mailovou komunikaci, ukládání souborů a některé další činnosti. Uvedl, že útočník měl do softwaru Office 365 přístup zřejmě po dobu několika týdnů a podle jeho informací se jej nepodařilo identifikovat.

V této věci bylo Úřadu již před koncem roku 2019 doručeno Ohlášení porušení zabezpečení osobních údajů dle GDPR, ve kterém bylo ohlášeno, že mělo dojít k porušení důvěrnosti dat externím útokem u 45 subjektů údajů. V uvedeném ohlášení kontrolovaná osoba uvedla, že přijala řadu technicko-organizačních opatření, zamezujících budoucímu napadení uživatelských účtů na platformě Office 365, přičemž tato opatření byla Úřadem označena za dostačující.  

Provedenou kontrolou bylo mimo jiné ověřeno, že kontrolovaný má vypracován systém interních směrnic a procesů, které stanovují technická pravidla zabezpečení interních systémů; mimo jiné každý zaměstnanec je s interní politikou kontrolované osoby seznámen v rámci jejího intranetu.

Kontrolou nebylo zjištěno porušení povinností kontrolované osoby podle ustanovení obecného nařízení a zákona č. 110/2019 Sb.