Komerční pojišťovně ukradli data klientů

  • 2
Praha - Komerční pojišťovna nedokázala ochránit informace o svých klientech a údaje o půl milionu pojištěnců získal neznámý zloděj. Případ krádeže dat, k níž došlo koncem ledna, vyšetřuje policie. Pojišťovna ani její mateřská společnost o případu veřejnost neinformovala.

O situaci nebyl informován ani Úřad na ochranu osobních dat. "O případu nevíme, ale pravděpodobně se jím začneme ihned zabývat a pošleme do pojišťovny inspekci," reagoval šéf úřadu Karel Neuwirth.

Nevyloučil, že při ztrátě tak rozsáhlé databáze může úřad sáhnout až k maximální pokutě deseti milionů korun.

Z vyjádření mluvčí Komerční banky

"Komerční pojišťovně nebyla odcizena databáze klientů... ale jedna ze součástí komplikovaného hardware. Na této zálohovací součásti  byl umístěn soubor jedniček a nul, který je nečitelný bez součinnosti s nákladným a sofistikovaným dodatečným zaříze."
- celé prohlášení ZDE

Výše citované prohlášení poskytla mluvčí Komerční banky redakci iDNES ve čtvrtek ve 23 hodin, tedy tři hodiny poté, co o článku MF DNES o krádeži dat informovala Česká televize a iDNES.

Zcizení informací potvrdil šéf KB Radovan Vávra. "Ano, stalo se. Také proto jsme vyměnili ředitele pojišťovny, protože jsme v osobě pana Václava Runštuka neměli dobrého správce majetku."

Současný šéf pojišťovny Zbyněk Veselý vylučuje, že lze zcizené údaje zneužít. "Jde o soubor jedniček a nul, nečitelný bez složitého zařízení, které zůstalo v pojišťovně. Původně existovala domněnka, že jde o data klientů, ale to se nepotvrdilo," řekl.

Přestože jsou informace v zakódované podobě, Vávra připustil, že pokud bude mít pachatel potřebné zařízení, rozluští je.

"Kdyby tam bylo jen jméno a rodné číslo, už to je velký průšvih. Jsou-li tam informace o pojistkách, tak u povinného ručení to je podrobný popis aut, u majetkového popis domů a u životního zdravotní údaje," sdělil expert na informační technologie významné pojišťovny.

Případy zneužití osobních údajů

1992
František Filouš, tehdejší ředitel 3. divize federálního ministerstva vnitra, prodal osobní záznamy z centrální evidence obyvatelstva soukromé firmě Tapcom spolu s oprávněním poskytnout je deseti reklamním agenturám. Jména, adresy a rodná čísla pak byla použita například v reklamní kampani firmy Procter and Gamble.

1992
Od poloviny roku vedli úředníci ministerstva vnitra databázi údajů, které měly naprosto důvěrný charakter. Soubor obsahoval mimo jiné informace o sexuální orientaci osob, jejich rasové příslušnosti či skrytých duševních vadách.

1998
KDU-ČSL v předvolební kampani obeslala 850 tisíc důchodkyň a v dopisech je vyzývala, aby volily právě tuto stranu. Lidovci dopisy rozeslali prostřednictvím brněnské firmy MATEX. Případ zkoumala Ústřední volební komise a podle jejích tehdejších prohlášení unikly údaje z registru České správy sociálního zabezpečení.

1998
Základní škola v Hranicích zveřejnila na internetu osobní údaje žáků včetně dat narození, bydliště a doby, kdy jim končí vyučování. Šest měsíců měl kdokoli možnost tyto data na internetu najít.

1999
Bývalý správce počítačové sítě České spořitelny Jakub Vozár nabízel k prodeji data o 2,5 milionu majitelů sporožira. Za úplatu byly k mání osobní údaje klientů, výše platu, zaměstnavatel i přehled o finančních transakcích klienta. Pachatele patrně největšího obdobného případu policie dopadla za dva týdny a soud jej loni odsoudil k třem letům vězení.

2000
Některé porodnice a matriky poskytovaly pojišťovacím agentům data narození miminek. Agenti pak šli "najisto" za rodiči s nabídkou pojistek. Tyto případy se objevily například v Praze-Řeporyjích či v Olomouci.

2001
Z liberecké radnice unikaly údaje o lidech, kteří se zajímali o privatizaci bytů. Několik lidí se poté obrátilo na zastupitele s tím, že je někdo zastrašoval či se je pokoušel uplatit s cílem, aby z privatizační soutěže odstoupili.

Pokud by klient zjistil, že data byla zneužita, může žádat náhradu. Signály o zneužití pojišťovna podle Vávry nezaregistrovala, což prý potvrzuje verzi, že pachatel chtěl ukrást přístroj, a nikoliv data.

Pojišťovna KB: o nic nejde
Zástupci Komerční pojišťovny sice potvrdili, že zmizela jednotka pro zálohování dat, odmítají však sdělit, jaké informace po rozluštění kódovaných údajů může případný pachatel mít k dispozici.

Lze údaje, které poskytujete pojišťovnám, snadno zneužít?
HLASUJTE ZDE!

Šéf pojišťovny Zbyněk Veselý své tvrzení o nezneužitelnosti údajů podporuje argumentem, že "téměř čtyři měsíce od krádeže nebyl zaznamenán jediný případ pokusu zneužití dat."

"Domníváme se, že zařízení zcizil někdo uvnitř firmy nikoliv pro data, ale proto, že přístroj vypadá jako přehrávač CD. U laika to mohlo vzbudit dojem, že jde o poměrně drahou spotřební elektroniku," řekl.

Data podle něj nejsou zneužitelná a obchodní aktivity Komerční pojišťovny tak prý nejsou ohrožené. "Troufám si vyloučit, že data, ať už tam byla jakákoliv, by byla zneužita. Data nejde přečíst mimo celý soubor," tvrdí šéf pojišťovny.

Přestože podle tvrzení Veselého nic nehrozí a zcizená část zálohovací jednotky je "z hlediska obsahu bezcenná," případ vyvolal razantní personální změny.
Kromě toho, že to podle Vávry přispělo k odvolání bývalého ředitele Runštoka, museli odejít i další osoby.

"Vzhledem k závažnosti celého případu byli propuštěni tři zaměstnanci včetně ředitele provozního úseku a zároveň náměstka ředitele společnosti," uvedl  písemné odpovědi Veselý.

Vyjádření policie, který případ zcizení zálohovací jednotky vyšetřuje, se včera nepodařilo získat.

Jaká jsou dosavadní policejní zjištění odmítl Veselý komentovat. "Vyšetřování probíhá, takže takové informace může samozřejmě poskytovat pouze policie sama," řekl.

Komerční banka, mateřská společnost pojišťovny, je v současné době v závěrečné fázi privatizace. Jestli může případ zcizených informací o klientech pojišťovny nějak ovlivnit cenu banky, Vávra vylučuje. "Na privatizaci to opravdu vliv mít nemůže," řekl.

Čtyři zájemci o privatizaci Komerční banky měli podle Veselého informace o případu k dispozici. "Veškeré záležitosti, v kterých se angažují orgány činné v trestním řízení byly standardně součástí informací dodávaných do data roomu," řekl.

Únik citlivých osobních informací může firmám, které je nezvládnou ochránit, způsobit od letošního roku  nemalé problémy.

Kromě nebezpečí, že údaje se dostanou do rukou konkurence a že otřesou důvěrou klientů, se totiž správci dat vystavují postihům podle nového zákona o ochraně osobních údajů. To je i případ Komerční pojišťovny, která začátkem roku na jedné ze svých poboček přišla o zařízení obsahující zakódovaná data o půl milionu klientů.

Zákon považuje za chráněná data jméno a rodné číslo a pokud by se prokázalo, že se někomu podařilo z odcizených přístrojů tyto informace rozluštit, pojišťovně hrozí podle odborníků pokuta a série žalob od klientů. "Předchozí obdobné případy se odehrály ještě v době, kdy nový zákon neplatil. Nyní je nová situace," uvedl předseda Úřadu pro ochranu osobních údajů Karel Neuwirth.

Případ se v tomto liší od největšího veřejně známého případu úniku dat odhaleného před půldruhým rokem v České spořitelně. Správce počítačové sítě Jakub Vozár nabízel k prodeji přes anonymní email databázi sporožirových účtů včetně celé škály osobních údajů o dvou a půl milionech klientů. Policie jej dopadla během dvou týdnů a Vrchní soud v Praze jej loni v říjnu odsoudil na tři roky k vězení.

Pokud by někomu podařilo rozluštit data, jež nyní unikla z Komerční pojišťovny, a pokud by se je použil zneužít podobně jako Vozár, klienti by tentokrát měli daleko větší šanci se bránit. Podle nového zákona o ochraně osobních údajů totiž klienti mohou pojišťovnu žalovat už za samotný únik osobních dat. To v případě České spořitelny nebylo možné.

Komerční pojišťovně by navíc podle nového zákona hrozila pokuta až deset milionů korun.