SMART LAW
  • Blog
  • GDPR poradna
  • Ke stažení
  • O mně
  • Blog
  • GDPR poradna
  • Ke stažení
  • O mně

Pokuta 180.000 € za nedostatečné zajištění zabezpečení osobních údajů

30/7/2019

Comments

 
Picture
Francouzský dozorový úřad Commission nationale de l'informatique et des libertés (dále jen „CNIL“) uložil pokutu ve výši 180.000 € společnosti ACTIVE ASSURANCES z důvodu nesplnění povinnosti přijmout opatření požadovaná článkem 32 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“).

Co říká čl. 32 GDPR?

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, je správce povinen podle čl. 32 odst. 1 GDPR provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:
  • pseudonymizace a šifrování osobních údajů,
  • schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
  • schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
  • procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména
  • náhodné nebo protiprávní zničení osobních údajů,
  • ztráta osobních údajů,
  • pozměňování osobních údajů,
  • neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
Při posuzování rizik se nehodnotí jenom rizika představující porušení zabezpečení IT systémů. Je nutné zvážit i rizika, která představuje např. lidský faktor, fyzické prostředí, ve kterém jsou systémy umístěny, a nakonec i bezpečnost poskytovanou při zpracování nejrůznějšími subdodavateli a obchodními partnery.
Posouzení však nesmí být jednorázovým procesem. Musí se jednat o pravidelný proces vyhodnocování vnitřních i vnějších okolností, které mohou mít na míru rizika vliv. Pokud dojde ke změně rizika, správce musí zrevidovat bezpečnostní opatření a přijmout taková nová opatření, která lépe odpovídají novému stavu.
Poté, co správce nebo zpracovatel vyhodnotí bezpečnostní rizika zpracování osobních údajů, je povinen přijmout vhodná technická a organizační opatření k jejich mírnění. Čl. 32 odst. 1 GDPR obsahuje příklady možných bezpečnostních opatření. Nejedná se však o vyčerpávající výčet.

Čeho se společnost ACTIVE ASSURANCES dopustila?

V roce 2018 upozornil zákazník společnosti ACTIVE ASSURANCES francouzský dozorový úřad CNIL o tom, že přes webovou stránku společnosti má přístup k osobním údajům jiných zákazníků dané společnosti (včetně např. jejich řidičských průkazů). K těmto osobním údajům se daný zákazník dostal tak, že ve webovém prohlížeči změnil čísla nacházející se v URL adrese (na jejím konci).
CNIL na tuto skutečnost upozornil společnost ACTIVE ASSURANCES, která přislíbila nápravu. Během následující inspekce však CNIL zjistil, že společnost ACTIVE ASSURANCES svůj slib nesplnila a neprovedla dostačující nápravu. Navíc bylo zjištěno, že společnost nastavuje zákazníkům nedostatečná hesla k jejich účtům (jednalo se o datum narození příslušného zákazníka), přičemž informace o způsobu, jakým jsou tvořena hesla k účtům, byla veřejně uvedena na přihlašovací stránce. Dále CNIL zjistil, že po vytvoření účtu společnost zaslala přihlašovací údaje a heslo klientům v těle e-mailu jako prostý text.
CNIL uvedl, že při stanovení pokuty zohlednil povahu dotčených osobních údajů (mezi dokumenty se nacházely doklady totožnosti, informace týkající se některých protiprávních jednání či bankovní údaje zákazníků společnosti), jakož i počet dotčených subjektů údajů.

Zdroje:

  • ACTIVE ASSURANCES : sanction de 180 000 euros pour atteinte à la sécurité des données des clients. CNIL [online]. In CNIL, publ. 25. 7. 2019 [cit. 29. 7. 2019]. Dostupné z www: https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients.
  • NULÍČEK, M., DONÁT, J., NONNEMANN, F. et al. GDPR. Obecné nařízení o ochraně osobních údajů. Prakticky komentář. Praha: Wolters Klulwer ČR, 2017, s. 290-295. ISBN: 978-80-7552-765-3.
Comments

    Andrej Lobotka

    právník se zájmem o trestní právo, právo informačních technologií a ochranu osobních údajů. Více informací v sekci O MNĚ.

    Štítky

    All
    Advokacie
    Data Retention
    Diskriminace
    GDPR
    Internet
    Koronavirus (COVID 19)
    Kyberkriminalita
    Osobní údaje
    Poradna
    Skimming
    Soudní Dvůr EU
    Svobodný Přístup K Informacím
    Trestní Právo
    Umělá Inteligence
    Vzor

Proudly powered by Weebly