před 3 týdny
39
Datoví novináři Českého rozhlasu objevili bezpečnostní chybu, kvůli které vyhledávač pracovních agentur na webu ministerstva práce a sociálních věcí zveřejňoval osobní údaje více než dvou tisíc osob. Po nahlášení resort chybu opravil, věc řeší s Úřadem pro ochranu osobních údajů.
Praha 17:08 10. dubna 2024
Webový seznam agentur práce na stránkách ministerstva práce a sociálních věcí při používání aplikace omylem zasílal na počítače uživatelů více informací, než kolik stránka na první pohled ukazuje.
Šlo mimo jiné i o rodná čísla, místa narození a rodná jména takzvaných odpovědných zástupců a zástupkyň jednotlivých agentur. Únik informací se dotýká více než dvou tisícovek lidí, z nichž u více než sedmi set žen resort nezáměrně zveřejnil i rodné příjmení, odlišné od toho současného.
Sledování hostů v hotelích kritizuje Úřad pro ochranu osobních údajů. Ministerstvo si chce ‚vyjasnit detaily‘
Číst článek
Na chybu narazili novináři z datového oddělení Českého rozhlasu těsně před letošním velikonočním volnem a obratem ji ohlásili resortu. Na přelomu tohoto týdne pak společnost Asseco, která se o aplikaci od roku 2017 stará, závadu opravila.
„Skutečně se potvrdilo, že v případě tohoto konkrétního formuláře byla některá data dostupná nad rámec požadavků zákona,“ napsal serveru iROZHLAS.cz a Radiožurnálu vedoucí mediální komunikace resortu Jakub Augusta.
Zákon totiž výslovně říká, že se rodná čísla a místa narození odpovědných zástupců agentur na webu zveřejňovat nemají.
Stačilo otevřít stránku
Podle Augusty ministerstvo nepředpokládá zásadní dopady do práv osob, jejichž osobní údaje byly na webu veřejně dostupné, a to kvůli „náročnosti procesu získání přístupu k těmto informacím, vyžadujícím jisté speciální znalosti“.
Přitom osobní údaje jednotlivých zástupců agentur server ministerstva automaticky zasílal na počítače všech návštěvníků stránky při každém jejím otevření.
Informace pak byly rovnou čitelné například ve vývojářské konzoli, kterou obsahují všechny moderní prohlížeče internetových stránek. K jejímu otevření stačí stisknout na klávesnici klávesu F12 či zkratku Ctrl+Shift+I.
Podle Augusty úřad celou záležitost neformálně konzultuje s Úřadem pro ochranu osobních údajů, kterému po získání potřebných informací plánuje incident ohlásit. Ten pak může ministerstvu například nařídit, aby všechny dotčené osoby informovalo. Pokutu mu ale dát nemůže.
Jak ukazuje verze dat z webu ministerstva, kterou v dubnu 2021 zachytil archivační projekt WebArchive, v této době osobní údaje lidí veřejné nebyly. Jak dlouho chyba na stránce byla, ministerstvo neupřesnilo.
Není to poprvé
Stránka, na níž lidé žádají o příspěvek na dítě, posílá informace do USA, někdy včetně adres
Číst článek
Jak iROZHLAS.cz už dříve informoval, webový formulář pro žadatele o dávku na bydlení, který ministerstvo spustilo koncem července 2022, posílal informace o návštěvnících do reklamních systémů společnosti Google. Tehdy resort problém po zveřejnění rovněž zčásti opravil.
Opravu pak potřeboval i formulář pro žadatele o příspěvek na dítě, ten zase posílal adresy žadatelů bez jejich souhlasu mimo Evropskou unii. Důvodem byl nevhodně nastavený nástroj, kterým programátoři stránek sbírali hlášení o možných chybách.
Problémy s úniky dat se pak nevyhýbají ani jiným resortům: při startu očkování proti covid-19 zasílal rezervační web rodná čísla seniorů do zahraničí.
Nevhodně nasazené reklamní nástroje pak ohrožovaly soukromí návštěvníků a návštěvnic, kteří přišli na stránky nemocnic, neziskových organizací i úřadů.
