Společnost zabývající se doručováním jídel a potravin (UOOU-00144/21)

Kontrola v návaznosti na zneužití údajů z platebních karet

Během roku 2024 Úřad prověřoval porušení povinností spojených se zpracováním osobních údajů na platebních kartách. Toho se měla dopustit společnost zabývající se online objednávkami a doručováním jídla. Důvodem pro provedení kontroly bylo několik stížností na zneužití osobních údajů uvedených na platebních kartách, které měli stěžovatelé uložené v systému společnosti. Údaje zneužil útočník, který jejich prostřednictvím prováděl objednávky.

ÚOOÚ shledal, že společnost nejméně v období, kdy mělo dojít k incidentům, nedisponovala dostatečnými technickými a organizačními opatřeními pro zabezpečení osobních údajů uživatelů. Konkrétně po zadání správné kombinace přístupových údajů (e-mailové adresy a hesla, u něhož nebyly kladeny nároky na obtížnost, navíc bez dvoufaktorového ověření) bylo možné získat některé osobní údaje a objednávat potraviny. Zjištěné nedostatky Úřad vyhodnotil jako porušení čl. 32 odst. 1 GDPR.

Kontrolovaná osoba využila možnosti podat proti kontrolním zjištěním uvedeným v kontrolním protokolu ve stanovené lhůtě námitky. Námitky byly v plném rozsahu zamítnuty.

Popsaný případ ilustruje vysokou důležitost spolehlivých technických opatření ve vztahu ke klientům, přičemž tato mají zabránit zneužití osobních údajů, ale i majetkové škodě.