- 12:30 – text jsme rozšířili o informace z tiskové zprávy T-Mobilu
- 13:30 – do textu doplněny odpovědi na dotazy Lupy
- 18:15 – doplněno vyjádření ÚOOÚ
O známé pravdě, že nejslabším článkem v zabezpečení dat bývá lidský faktor, se přesvědčil český T-Mobile. Zaměstnanec firmy před několika měsíci zkopíroval a pokoušel se prodat osobní údaje stovek tisíc klientů, zjistila MF DNES.
Únik deníku potvrdila i mluvčí operátora Martina Kemrová s tím, že nemůže prozradit žádné podrobnosti. Podle informací MF DNES ale mělo jít o data asi 1,5 milionu klientů (T-Mobile počet odmítá – s odvoláním na policejní vyšetřování – potvrdit). Podle Kemrové nešlo o citlivé údaje, ale „jen“ o fakturační kontaktní informace – tedy jména, adresy a čísla bankovních účtů.
„Charakter odcizené databáze byl čistě marketingový, nešlo o data lokalizační či provozní, ani o citlivé údaje typu hesel. Jediné nebezpečí, které by hypoteticky mohlo našim zákazníkům hrozit, je případně oslovení nevyžádanými marketingovými nabídkami,“ upřesnila pouze mluvčí T-Mobilu. Podle ní také firma získala nosiče, na kterých měl dotyčný data uložena.
Operátor zaměstnance po odhalení propustil a případ předal policii. Mluvčí tvrdí, že firma pokus o zkopírování dat odchytila v samém počátku, takže nikomu nevznikla žádná škoda. „Zatím nemáme sebemenší indikaci, že by data unikla,“ říká mluvčí. Jinými slovy: neznamená to, že data neunikla, ale jen, že o tom T-Mobile nemusí vědět.
Pomohl obchodní partner
Za krádeží údajů podle T-Mobilu stojí zaměstnanec, který s nimi běžně pracoval. „Zaměstnanec s daty pracoval po celou dobu, byla to náplň jeho práce. Stahování dat na jeho PC nebylo ničím nestandardním,“ sdělila mluvčí na dotaz Lupy.
„Šlo o člena malého týmu, který se zákaznickými daty běžně pracoval. Ihned se zjištěním podezření na trestnou činnost jsme podnikli všechny nutné kroky a součinnost Policií České republiky. Zaměstnanci byl bez prodlení zrušen pracovní poměr a bylo zahájeno vyšetřování orgánů činných v trestním řízení. Právě v souvislosti s ním bohužel nejsme oprávněni poskytovat žádné konkrétní informace,“ doplnila.
Podle MFD dotyčný zaměstnanec data úspěšně „zazálohoval“ a dokonce se je pokoušel prodat. Prozradit jej měla až jedna z firem, které údaje nabídl. Lupě to potvrdila i mluvčí Martina Kemrová: „Případ se podařilo odhalit díky spolupráci s obchodním partnerem, který nás informoval, že mu někdo nabízí k odkoupení databázi. Prošetřili jsme, zda jde o reálná data, a po zjištění že ano, jsme informovali Policii ČR,“ řekla.
Z uvedených informací to vypadá, že T-Mobile na únik skutečně přišel jen díky informaci od externí firmy. Kdyby tato společnost mlčela, nemusel by se operátor o prodeji databáze vůbec dozvědět.
Žádná souvislost s výpadkem
K úniku mělo podle MFD dojít už v dubnu, operátor ale o incidentu veřejně neinformoval – zřejmě z obavy, že by to poškodilo jeho pověst. T-Mobile také popírá, že by únik dat byl nějakým způsobem spojen s výpadkem sítě 19. dubna, jak spekulovala MFD.
„Tyto dva incidenty spolu nikterak nesouvisí, z technologického pohledu je taková spojitost naprosto vyloučena,“ potvrdila mluvčí.
„Chci zákazníky ujistit, že reálně k úniku dat nedošlo a že data našich zákazníků jsou v bezpečí,“ ujišťuje i generální ředitel firmy Milan Vašina. „Přestože jsme při důkladné kontrole celého systém neshledali systémové pochybení, znovu systém přezkoumáme a zvážíme případné zavedení dalších preventivních opatření,“ dodává.
Nikdo nic nenahlásil
Incidentem se podle informací Lupy už začal zabývat Úřad pro ochranu osobních údajů (ÚOOÚ). „V návaznosti na všechny informace, které Úřad zjistí a vyhodnotí, bude možné rozhodnout, jakým způsobem budou eventuálně probíhat navazující kontrolní a správní procesy. V případě porušení zákona o ochraně osobních údajů může Úřad pro ochranu osobních údajů uložit právnické osobě pokutu až 10 milionů Kč,“ připomíná jeho mluvčí David Pavlát.
A na jeden problém už má T-Mobile zřejmě zaděláno – podle Pavláta se totiž ÚOOÚ o úniku nedozvěděl od operátora, ale až z médií.
Podle platných zákonů přitom musí firma narušení bezpečnosti zpracování osobních dat „bez zbytečného odkladu“ nahlásit ÚOOÚ sama. To ale operátor zatím neudělal. „Dosud nebylo Úřadu pro ochranu osobních údajů oznámeno,“ potvrdil Lupě Pavlát.
Podle nového nařízení EU o ochraně osobních údajů (GDPR, platit začne od jara 2018) budou firmy muset incidenty s daty hlásit nejpozději do 72 hodin.
