Poskytovatel doplňku pro webové stránky (UOOU-2063/22)
Kontrola týkající se neoprávněného stažení osobních dat z webových stránek e-shopů
Předmětem kontroly Úřadu byla část („doplněk“) služeb platformy zajišťující provozování e-shopů, která umožňuje zákazníkům platformy (provozovatelům e-shopu) vidět statistiky týkající se návštěvnosti a chování svých zákazníků, kteří e-shop navštívili. Tyto statistiky vytvářela kontrolovaná osoba z dat stažených z platformy, a následně je poskytovala provozovatelům e-shopů.
Pro zajištění fungování doplňku poskytla platforma kontrolované osobě exportní URL adresy, pomocí kterých kontrolovaná osoba mohla stahovat z platformy data týkající se konkrétního e-shopu, a na základě smlouvy uzavřené s provozovatelem e-shopu tak zajišťovala fungování doplňku a vykreslování statistik a přehledů. Aby bylo možné data stáhnout, měla kontrolovaná osoba povinnost se identifikovat. V takovém případě algoritmus vyhodnotil, že se jedná o tuto osobu, a umožnil stažení jen těch dat, ke kterým měla mít kontrolovaná osoba přístup.
Pokud následně provozovatel e-shopu ukončil smlouvu s kontrolovanou osobou a o tomto kroku neinformoval platformu, nebylo nijak zajištěno vzájemné informování platformy a kontrolované osoby, a exportní URL tak nebyla zablokována. O tom však provozovatel e-shopu nevěděl. Pokud odinstalování doplňku oznámil provozovatel e-shopu naopak pouze platformě, nedozvěděla se o tomto kroku zase kontrolovaná osoba a nadále v seznamu exportních adres tuto URL ponechávala.
Při automatickém stahování byla identifikace zajištěna automaticky, avšak při ručním zásahu (stahování) neodhalilo nastavené zabezpečení nestandardní chování pro případ, že řádek pro identifikaci zůstal prázdný. V takovém případě byla stažena všechna data ze všech URL adres, kterými kontrolovaná osoba disponovala. Stačila tedy jedna lidská chyba, když se při testování v rámci finálního přechodu na novou technologii kontrolovaná osoba v příslušném řádku neidentifikovala (ponechala jej prázdný), a došlo ke stažení dat zákazníků, kteří si již doplněk odinstalovali (ale kontrolovaná osoba o tom nevěděla a nevyřadila tak jejich exportní URL ze svého seznamu), i zákazníků, u kterých zase na druhou stranu platforma nevěděla, že s kontrolovanou osobou ukončili spolupráci, a exportní URL proto nezablokovala.
Kontrolovaná osoba ani platforma problém v danou chvíli nezjistily. Porušení zabezpečení osobních údajů ohlásila platforma až po několika týdnech od incidentu, na základě upozornění provozovatelů e-shopů, kteří v notifikacích ve svých účtech zjistili podezřelé stažení dat. Následně ohlásilo porušení zabezpečení osobních údajů několik desítek dalších provozovatelů e-shopů.
Po zjištění incidentu platforma ukončila s kontrolovanou osobou spolupráci.
Závěr: Kontrolovaná osoba při zpracování (exportu) osobních údajů zákazníků celkem 115 provozovatelů e-shopů, se kterými již měla ukončený smluvní vztah, porušila čl. 6 odst. 1 obecného nařízení, neboť pro předmětné zpracování (kterým bylo stažení osobních údajů zákazníků) neměla řádný právní titul podle čl. 6 odst. 1 GDPR. Úřad v rámci kontroly zjišťoval i to, zda byla tato neoprávněně zpracovaná data v mezidobí smazána, což kontrolovaná osoba neprodleně po incidentu učinila.
Uvedené zásadním způsobem ukazuje důležitost principu „privacy by design“, tedy principu záměrné ochrany osobních údajů, formulovaného v čl. 25 odst. 1 GDPR. Ten stanoví, že s přihlédnutím ke stavu techniky, nákladům na provedení, k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jejichž účelem je provádět zásady ochrany údajů účinným způsobem a začlenit do zpracování nezbytné záruky tak, aby splnil požadavky GDPR a ochránil práva subjektů údajů. Jinými slovy je nutno ochranu osobních údajů nastavit ještě v době před započetím zpracování osobních údajů.