Aktualitu připravili: Mgr. Michal Nulíček, LL.M., CIPP/E, Mgr. Bohuslav Lichnovský, LL.M., CIPP/E, Mgr. Filip Beneš
Britský úřad pro ochranu osobních údajů (ICO) oznámil v minulých dnech svůj záměr potrestat za bezpečnostní incidenty hotelovou síť Marriott International a leteckou společnost British Airways. Dosud nevídaná je výše oznámených pokut. V prvním případě dosahuje téměř 100 milionů liber a v druhém případě dokonce přesahuje 183 milionů liber. Oba dva případy se týkají nedostatečného zabezpečení webových stránek.
V případě letecké společnosti byli zákazníci při koupi letenky přesměrováni na podvrženou stránku. Prostřednictvím formuláře umístěného na takovém webu pak byly osobní údaje, včetně citlivých údajů o platebních kartách, poskytnuty přímo do rukou hackerů. Dle informací ICO takto unikla data více než 500 tisíc zákazníků. Uložená pokuta dosahuje přibližně 1,5 % celosvětového ročního obratu společnosti.
V druhém případě nebyl rezervační systém hotelové sítě Marriott dostatečně zabezpečen. Tato slabina umožňovala hackerům po několik let volný přístup k provedeným rezervacím, čehož hackeři využili. Celkově se jednalo o více než 339 milionů záznamů. V tomto případě se však útočníci nedostali k citlivým údajům jako v případě aerolinek.
Přestože v obou dvou případech byl bezpečnostní incident řádně nahlášen, nejednalo se o úmyslný prohřešek a společnosti s dozorovým úřadem spolupracovaly, oznámil ICO záměr udělit takto vysoké pokuty. Tyto zcela jistě odpovídají požadavkům GDPR, dle kterého mají být pokuty účinné a odrazující. Otázkou je, do jaké míry naplňují kritérium přiměřenosti, se kterým GDPR rovněž počítá.
Český Úřad pro ochranu osobních údajů zatím uložil maximální pokutu ve výši čtvrt milionu korun. V žádném z případů se nicméně nejednalo o takto rozsáhlý bezpečnostní incident. Nelze proto vyloučit, že takto vysoké pokuty mohou být v obdobných případech uděleny i ze strany českého dozorového úřadu. Správci by tak rozhodně neměli doufat v pasivitu, popř. absenci rozhodnosti na straně ÚOOÚ.
