Aktualitu připravili: Mgr. Michal Nulíček, LL.M., CIPP/E, Mgr. Bohuslav Lichnovský, LL.M., CIPP/E, Mgr. Filip Beneš

Britský úřad pro ochranu osobních údajů (ICO) oznámil v minulých dnech svůj záměr potrestat za bezpečnostní incidenty hotelovou síť Marriott International a leteckou společnost British Airways. Dosud nevídaná je výše oznámených pokut. V prvním případě dosahuje téměř 100 milionů liber a v druhém případě dokonce přesahuje 183 milionů liber. Oba dva případy se týkají nedostatečného zabezpečení webových stránek.

V případě letecké společnosti byli zákazníci při koupi letenky přesměrováni na podvrženou stránku. Prostřednictvím formuláře umístěného na takovém webu pak byly osobní údaje, včetně citlivých údajů o platebních kartách, poskytnuty přímo do rukou hackerů. Dle informací ICO takto unikla data více než 500 tisíc zákazníků. Uložená pokuta dosahuje přibližně 1,5 % celosvětového ročního obratu společnosti.

V druhém případě nebyl rezervační systém hotelové sítě Marriott dostatečně zabezpečen. Tato slabina umožňovala hackerům po několik let volný přístup k provedeným rezervacím, čehož hackeři využili. Celkově se jednalo o více než 339 milionů záznamů. V tomto případě se však útočníci nedostali k citlivým údajům jako v případě aerolinek.

Přestože v obou dvou případech byl bezpečnostní incident řádně nahlášen, nejednalo se o úmyslný prohřešek a společnosti s dozorovým úřadem spolupracovaly, oznámil ICO záměr udělit takto vysoké pokuty. Tyto zcela jistě odpovídají požadavkům GDPR, dle kterého mají být pokuty účinné a odrazující. Otázkou je, do jaké míry naplňují kritérium přiměřenosti, se kterým GDPR rovněž počítá.

Český Úřad pro ochranu osobních údajů zatím uložil maximální pokutu ve výši čtvrt milionu korun. V žádném z případů se nicméně nejednalo o takto rozsáhlý bezpečnostní incident. Nelze proto vyloučit, že takto vysoké pokuty mohou být v obdobných případech uděleny i ze strany českého dozorového úřadu. Správci by tak rozhodně neměli doufat v pasivitu, popř. absenci rozhodnosti na straně ÚOOÚ.


Jak bezpečně používat open source software Má podnikatel povinnost uvádět telefonní číslo na svém webu?