Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Obecně prospěšná společnost (UOOU-4754/21)

V nočních hodinách k došlo k neoprávněnému vstupu do prostor kontrolované osoby, během kterého byly odcizeny tři kusy počítačů.

Následnou kontrolou, zahájenou na základě podnětu, bylo zjištěno, že užívané prostory nebyly zabezpečeny kamerovými systémy ani systémem detekce pohybu. V buňkách uvnitř haly se nacházely počítače, na kterých zaměstnanci kontrolované osoby uskutečňovali registraci klientů. V oddělené místnosti serverovny se původně nacházel odcizený serverový počítač.

Jeden z odcizených notebooků obsahoval hardware s instalovaným přihlašovacím rozhraním do vzdálených databází. Po zjištěném bezpečnostním incidentu přijala společnost opatření v podobě blokace přihlašovacího protokolu do vzdálené databáze. Incident byl společností ohlášen na Policii ČR. Při šetření Policií ČR byly odcizené notebooky nalezeny.

Ve spolupráci s Policií ČR Úřad provedl analýzu nalezených počítačů. Dva notebooky nesly znaky reinstalace, nebyly v nich identifikovány soubory s osobními údaji. Ve třetím notebooku bylo velké množství osobních údajů klientů. Tyto bylo možné získat z aktuální databáze i uložených záloh databáze informačního systému. Úřad zjistil, že k souborům, které byly v odcizeném počítači, nebylo vyžadováno ověření uživatele a současně nebyly šifrované. Bylo konstatováno, že přístup k osobním údajům mohl získat každý, kdo měl po odcizení počítačů k zařízení přístup.

O vzniklém bezpečnostním incidentu společnost před provedením místního šetření neinformovala Úřad ani dotčené návštěvníky centra. Ohlášení porušení zabezpečení ve smyslu čl. 33 GDPR bylo přitom učiněno až v průběhu kontroly.

Úřad dále zjistil, že funkci pověřence pro ochranu osobních údajů u kontrolované osoby vykonával provozní ředitel kontrolované osoby. 
Úřad zjistil následující porušení: (1) nebyla přijata vhodná technická a organizační opatření k zabezpečení osobních údajů; (2) ve lhůtě nebylo nahlášeno porušení zabezpečení osobních údajů Úřadu, přičemž nebyl uveden důvod opožděného ohlášení; (3) nebylo ohlášeno porušení zabezpečení dotčeným subjektům údajů; (4) nebyl jmenován pověřenec pro ochranu osobních údajů, byť docházelo ke zpracování zvláštní kategorie osobních údajů, přičemž toto zpracování bylo rozsáhlé; (5) Úřadu nebyly sděleny kontaktní údaje na pověřence pro ochranu osobních údajů; (6) nebylo zajištěno, aby jmenovaný pověřenec pro ochranu osobních údajů nebyl ve střetu zájmů ve spojitosti s úkoly, které plní u kontrolované osoby.

Kontrolovaná osoba podala námitky proti kontrolnímu protokolu v celém rozsahu. Všechny námitky byly Úřadem shledány jako nedůvodné a ve věci bylo zahájeno správní řízení.

V této souvislosti předně Úřad doplňuje, že jakkoliv není jeho cílem trestat oběti útoků, které vynaložily adekvátní úsilí k zabezpečení osobních údajů, Úřad kategoricky stíhá porušení povinnosti nahlásit mu bezpečnostní incidenty.

Pokud dopadá na správce povinnost jmenovat pověřence pro ochranu osobních údajů, je tento povinen mimo jiné zajistit, aby byl pověřenec náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů, aby měl k dispozici zdroje nezbytné k plnění úkolů pověřence tak, aby jiné povinnosti a úkoly mu uložené nevedly ke střetu zájmů pověřence. Není-li tomu tak, může se jednat o porušení minimálně čl. 38 odst. 1, 2 a 6 GDPR.