Článek
Z velké realitní kanceláře M&M reality se loni dostaly rozsáhlé soubory s osobními údaji klientů k prodejcům směnek a dluhopisů skupiny Arca Capital. A to krátce před obřím krachem mateřské firmy Arca Investments. Obchodníci s cennými papíry ze spřízněné firmy Deluvis měli za úkol na poslední chvíli prodat směnky lidem, kteří získali hotovost prodejem nemovitostí.
Prodejci navíc získali i neomezený přístup do interního informačního systému M&M reality. V něm bylo množství dalších osobních dat včetně kopií občanských průkazů. O případu na základě ověřených informací a svědectví informovala redakce SZ Byznys.
Redakce SZ Byznys opakovaně nabídla majiteli M&M reality Petru Morcinkovi možnost vyjádřit se k celé věci v rozhovoru. Podnikatel nabídku odmítl. Firma jen odkázala na své dřívější prohlášení k případu.
„Nikdy jsme žádná data ani za peníze ani bezúplatně neposkytli a ani to nikdy neuděláme,“ sdělil Morcinek na začátku komunikace. Po konfrontaci s informacemi redakce SZ Byznys společnost podala hlášení o takzvaném bezpečnostním incidentu Úřadu pro ochranu osobních údajů.
Advokát Jiří Matzner, jehož kancelář se zabývá také ochranou osobních údajů, popsal v rozhovoru rozsah informačního úniku jako mimořádný.
Nikdy jsme žádná data ani za peníze, ani bezúplatně neposkytli a ani to nikdy neuděláme.
Realitní kancelář M&M reality tvrdí, že údaje o klientech nikomu nepředala. Pokud z toho budeme vycházet, je možné, že by takový únik dat víc jak rok nikdo neodhalil?
Pokud nezjistili, že se jim někdo naboural do systému, tak to svědčí o tom, že systém je nezabezpečený a mají tam obrovský bezpečnostní problém. To je první věc. Druhá věc je, že by měli hned podat trestní oznámení. Vyrozuměl jsem, že se již obrátili na Úřad pro ochranu osobních údajů s bezpečnostním incidentem. Zajímalo by mě, co v této společnosti dělal pověřenec pro ochranu osobních údajů, kterého by podle zákona ve firmě při této velikosti a množství dat měli mít.
Dějí se takovéto úniky dat běžně?
Jak jsem to pochopil z vašeho článku, tak v takovémto rozsahu se to běžně neděje. Neříkám, že tu stále neexistuje jakýsi podivný trh s databázemi. Přesně proto ale byl v roce 2019 přijatý nový zákon i evropská směrnice GDPR, aby se obchodování s informacemi omezilo. Z článku ale vyplývá, že data pravděpodobně někdo předal. Například nějaký zaměstnanec. Nebo to mohlo souviset s tím, že se tam Arca chystala vstoupit jako akcionář.
Nezískala by pak ale Arca ke klientským datům přístup jednoduše z pozice akcionáře?
I kdyby tam kapitálově vstoupili, tak by stejně k těmto datům neměli mít přístup. Tím, že se stanu akcionářem nějaké společnosti, tak to neznamená, že se hned můžu dostat k jejím klientským databázím.
Další věcí je, že obchodníci se směnkami měli přístup do interního informačního systému M&M reality, kde byly například i kopie občanských průkazů. Co to znamená z hlediska ochrany osobních údajů?
Mohl by to být trestný čin neoprávněné nakládání s osobními údaji. Ale neznám detail. Kromě Úřadu pro ochranu osobních údajů, který by měl s M&M reality zahájit správní řízení, tak si myslím, že je to i na trestní oznámení.
Jaké sankce může Úřad pro ochranu osobních údajů uložit?
Může udělit pokutu až deset milionů korun. Pokud by se informace šířily například na internetu, tak až 50 milionů.
Hrozí nějaký postih i obchodníkům se směnkami, kteří data využívali?
Ano, i jim. Zpracovávali něco, na co neměli právo.
Mohla se taková věc stát bez vědomí managementu zúčastněných firem?
Bez vědomí vrcholového managementu se to klidně mohlo stát. Standardně se většina úniků dat děje zevnitř některým ze zaměstnanců. Věřím, že M&M reality mají nějakého správce IT systémů, že mají svoje bezpečnostní pravidla. Nevím, jak byla dodržována. Z vašeho článku bych si myslel, že byla buď zcela minimální, nebo nebyla kontrolována, takže k datům mohl kdekdo.
Ale to ještě neznamená, že to museli vědět manažeři. Z hlediska těch, kteří data využívali, to už mohlo být jinak. Tam už mohl být jednoznačný pokyn ze strany vedení, aby s těmito klientskými registry z M&M reality pracovali.
Jak velkou ochranu pro osobní údaje klientů představují podmínky, které má M&M reality zveřejněné na svém webu?
Zveřejněné podmínky ochrany osobních údajů klientů M&M reality holding jsou špatné. Mimo jiné odkazují na zákon 101/2000 Sb., který už neplatí. Byl nahrazen zákonem z roku 2019.
Představují takto nastavené podmínky ochrany osobních údajů pro klienty nějaké riziko?
Podle mě je to špatně nastavené už jen proto, že údaje můžou dávat komukoliv na cokoliv ve skupině. V publikovaných podmínkách jsou vyjmenované subjekty ze skupiny a není jasné, jakému subjektu dávají klienti souhlas a k čemu. O Deluvisu nebo Arce tam ale není vůbec nic. K nim se data klientů vůbec dostat neměla.