Úřad pro ochranu osobních údajů na základě ohlášení o porušení zabezpečení osobních údajů, které se mohlo dotknout části klientů společnosti Shoptet, a.s. (se sídlem Dvořeckého 628/8, Břevnov, 169 00 Praha 6, IČO: 28935675), vyzývá všechny klienty této společnosti, aby jako správci osobních údajů (ve smyslu GDPR) prověřili, zda u nich nedošlo k porušení zabezpečení osobních údajů spočívající v neoprávněném exportu dat. Týká se to zejména těch, kdo mají nebo v minulosti měli v rámci svých eshopů nainstalovány doplňky „Souhrnný přehled“ nebo „Pokročilé statistiky“. Úřad pro ochranu osobních údajů toto ohlášení porušení zabezpečení nyní vyhodnocuje, ale vzhledem k tomu, že mohlo dojít k porušení ochrany osobních údajů mnoha tisíc osob přistoupil k této veřejné výzvě.
Podle obecného nařízení o ochraně osobních údajů je správce povinen ohlásit porušení ochrany osobních údajů, a to bez zbytečného odkladu. Správce případ ohlásí Úřadu do 72 hodin od okamžiku, kdy se o něm dověděl. Pokud není ohlášení Úřadu učiněno do 72 hodin, musejí být současně s ním uvedeny i důvody tohoto zpoždění.
Ohlášení musí obsahovat:
a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů (pozn.: zejména ve vztahu vůči subjektům údajů);
d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
Pokud byl správcem nebo zpracovatelem jmenován pověřenec pro ochranu osobních údajů a patří mezi jeho úkoly spolupráce s dozorovým úřadem, může být vypracování ohlášení úkolem tohoto pověřence.
V případě, že by porušení zabezpečení mělo za následek vysoké riziko pro práva a svobody fyzických osob (např. by incident zahrnoval osobní údaje, z nichž by bylo možné dovodit informace o zdravotním stavu zákazníka či by hrozilo zneužití identity zákazníka), je správce povinen oznámit toto porušení subjektům údajů, a to minimálně v rozsahu informací uvedených výše pod body b), c), d).
Pro úplnost Úřad pro ochranu osobních údajů uvádí, že dopadá-li na správce osobních údajů povinnost ohlášení porušení zabezpečení osobních údajů, může založit nesplnění této povinnosti přestupek dle § 62 odst. 1 písm. a) zákona č. 110/2019 Sb., o zpracování osobních údajů.