Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Kontrola zaměřená na bezpečnost provozovaných webových stránek

 

 
 

Inspektor Úřadu provedl kontrolu společnosti, jejímž podnětem byla stížnost, ve které stěžovatel uvedl, že je registrovaným uživatelem webu www.xxx.cz. Po přihlášení k jeho účtu a následném obnovení stránky docházelo k přihlášení k náhodným účtům jiných registrovaných uživatelů tohoto webu. Tudíž stěžovatel mohl vidět objednávky a kontaktní informace těchto uživatelů. A stejně tak mohli jiní vidět jeho údaje a objednávky.

Kontrolovaný k danému případu uvedl, že došlo k softwarové chybě, ale nedošlo k úniku dat z databáze. Dále sdělil, že po přihlášení k uživatelskému účtu se vytvoří virtuální prostor, který není shodný s databází. Každý uživatel má vytvořený svůj vlastní virtuální prostor. V inkriminovanou dobu se stalo, že aplikace odpovědná za vytváření virtuálních prostorů přestala pracovat a nebyl každému vytvořen jeho vlastní nový virtuální prostor, ale byl použit již předešlý virtuální prostor vytvořený pro jiného uživatele. Z tohoto důvodu mohli uživatelé vidět účty jiných uživatelů. V uvedené době nebylo možné si nic objednávat. Objednávka byla v systému vidět, ale nedala se dokončit. Problém trval v určitý den od 12:15 do 13:30. Byl proveden restart systému, ten však problém nevyřešil, a proto byla činnost stránky v tento den ve 13:30 zastavena. V současné době je součást systému, která způsobila daný problém, ze systému odstraněna.

Kontrolovaný prostřednictvím webového rozhraní a svých webových stránek shromažďuje a zpracovává osobní údaje svých klientů. Účet klienta (uživatele) obsahuje kontaktní údaje – zejména jméno, příjmení, poštovní adresa, e-mailová adresa, dále informace o posledních objednávkách, slevách apod., tedy osobní údaje ve smyslu ustanovení § 4 písm. a) zákona č. 101/2000 Sb.

Z podané stížnosti, z vyjádření uživatelů v rámci diskuse mezi provozovatelem www.xxx.cz a uživateli na http://www.facebook.com/pages/xxx a z vyjádření kontrolovaného je zřejmé, že dne 1. října 2010 od 12:15 do 13:30 bylo možné, aby přihlášení uživatelé viděli účty jiných uživatelů.

Kontrolovaný subjekt tak jednoznačně porušil ustanovení § 13 odst. 1 zákona č. 101/2000 Sb. tím, že nepřijal taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, a to nezjištěnému počtu třetích osob (minimálně však stěžovateli).

Kontrolovaný tím spáchal správní delikt podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních údajů, za což mu v souladu s § 45 odst. 3 zákona č. 101/2000 Sb. byla uložena pokuta.

 

Odkazy


Hesla rejstříku této stránky

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 13.12.2013 / 13.12.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém