Lze GDPR zneužít ke snadnému získání osobních údajů od vaší firmy?

Přibližně každá čtvrtá společnost předala neoprávněně osobní údaje o ženě jejímu partnerovi. Podle nedávno zveřejněné studie Jamese Pavura z Oxfordské university jen asi 40 procent společností, které byly předmětem jeho pokusu, reagovalo správně na žádost o přístup k osobním údajům jeho partnerky. Ostatní mu buď předaly její osobní údaje, nebo vůbec nereagovaly, nebo reagovaly s tím, že žádné osobní údaje nezpracovávají a přitom je evidentně zpracovávaly.

James Pavur si se souhlasem své partnerky, která mu s jeho studií pomáhala, pořídil emailovou adresu ve tvaru jméno partnerky.příjmení@gmail.com a z této adresy oslovil několik desítek firem z EU a USA se žádostí o přístup ke všem osobním údajům o partnerce. Žádost podal jménem své partnerky, partnerka o jeho žádostech věděla. Pro oslovené firmy se ale jednalo o žádost z e-mailu jeho partnerky.

James Pavur svůj pokus uskutečnil ve dvou vlnách. Ve druhé vlně použil osobní informace, které se dozvěděl v první vlně žádostí, pro případné autentizační dotazy ve druhé vlně. James nepadělal žádné dokumenty. Jeho cílem bylo ověřit, jak snadné je zjistit detailní osobní údaje jiné osoby s využitím nových povinností podle GDPR pouze na základě základních osobních údajů, které lze snadno zjistit např. z Linkedinu, telefonního seznamu apod.

Výsledek jeho studie není povzbudivý. Podařilo se mu takto jednoduše získat přibližně 60 souborů osobních informací, včetně např. detailního přehledu, kdy jeho partnerka byla ubytovaná v příslušném hotelu nebo kdy a kam jela s nejmenovanou vlakovou společností, nebo seznam nákupů z poslední doby. Dále také číslo její kreditní karty, datum jejího vydání a dokdy platí, nebo seznam všech jejích zneplatněných hesel, což umožnilo Jamesovi přístup do řady dalších online systémů, protože loginy a hesla se několikrát opakovaly.

Ze studie vyplývá, že pouze největší oslovené firmy mají zavedené interní procesy, odpovídající GDPR. Většina malých firem na jeho žádost o přístup k osobním údajům nereagovala a středně velké firmy často sice reagovaly, ale buď s nedostatečným ověřením identity, nebo s neodpovídajícími interními postupy.

Jaké byly hlavní nedostatky?

  • Některé firmy uvedly, že nezpracovávají žádné osobní údaje o partnerce Jamese, ačkoliv u těchto firem měla otevřený uživatelský účet;
  • V několika případech pracovník dané firmy zaslal všechny zpracovávané údaje, přestože nejprve požadoval heslo a James odpověděl, že heslo zapomněl;
  • V několika případech firma odpověděla, že osobní údaje partnerky byly na základě žádosti vymazány, přestože žádost nebyla o výmaz osobních údajů, ale o přístup k nim; nebo
  • V jednom případě se firma spokojila s kopií výpisu z bankovního účtu, na němž byly začerněny všechny informace s výjimkou jména partnerky Jamese a její adresy.

Podle GDPR je třeba provést odpovídající opatření k identifikaci žadatele o přístup k osobním údajům. Stejně důležité jako mít odpovídající opatření jsou také interní postupy, které tato opatření provádějí. Zaslání osobních údajů jiné osobě na základě žádosti o přístup představuje vážné porušení zabezpečení osobních údajů, které je třeba ohlásit domácímu dozorovému úřadu (v ČR je jím Úřad pro ochranu osobních údajů neboli ÚOOÚ) a v tomto případě také dotčenému subjektu údajů.

Studie Jamese Pavura byla jednou z prvních, které prověřovaly, jak je GDPR uplatňováno v praxi. Výsledky jeho studie snad pomůžou firmám v ČR ověřit si, jak by v podobném testu dopadly, a zjištěné nedostatky napravit. Nechť jeho studie slouží jako varování. Tuzemské firmy se v praxi mohou setkat s podobným jednáním jako v případě Jamese Pavura, avšak nikoliv pro účely výzkumné studie.

Reklama
Reklama

ISSN: 1213-5003 © Copyright 2019 ČTK

Reklama

13°C

Dnes je neděle 17. listopadu 2019

Očekáváme v 17:00 12°C

Celá předpověď