Sledovanie užívateľského správania na internete

Identifikátor pre inzerentov alebo IDFA je kód, ktorý sa generuje automaticky a je uložený v každom mobile od spoločnosti Apple.

Tretie strany a spoločnosť Apple majú možnosť na základe IDFA sledovať užívateľské správanie na internete, čo môže slúžiť pre účely personalizovaných cielených reklám. Podľa vyjadrenia aktivistov sú sledovače protiprávne v prípade, ak užívatelia neudelili súhlas.

Stefan Resseti, právnik tejto skupiny, sa vyjadril, že sa jedná o rozpor európskej legislatívy. Podľa smerníc Európskej únie je nutný súhlas od používateľa na inštalovanie a použitie sledovania.

Sťažnosť bola podaná na nemecké a španielske orgány

Nemecké a španielske orgány v oblasti ochrany osobných údajov dostali sťažnosť v mene nemeckých a španielských užívateľov. Na základe smernice ePrivacy dávajú možnosť udeliť sankcie pre spoločnosti, ktoré porušia zákony v oblasti ochrany osobných údajov.

GDPR má mechanizmus, ktorý vyžaduje povinnú medzinárodnú spoluprácu, čo skupina Noyb považuje za spomalenie procesu.

Noyb nie je nováčikom v oblasti aktivizmu. Max Schrems, ktorý založil túto skupinu, stál už dvakrát proti spoločnosti Facebook. Skupina Noyb vyhotovila a podala oficiálnu sťažnosť kvôli sledovacím praktikám Googlu.

Apple predložil oficiálnu odpoveď

Apple sa taktiež vyjadril k tejto kauze. Vyjadrenia hovorcov Apple hovoria o poskytovaní vysokej úrovne ochrany súkromia pre svojich zákazníkov. Taktiež sa vyjadrili, že ich postupy spĺňajú normy legislatívy na ochranu osobných údajov a smernice ePrivacy.

The post Apple čelí sťažnosti od európskych aktivistov kvôli sledovaciemu nástroju appeared first on Ochrana-online.sk.

Full Body Exposure je správa od spoločnosti CybelAngel, ktorá pôsobí v oblasti digitálnej bezpečnosti. V tejto správe bolo poukázané na nezabezpečené lekárske údaje na celom svete. Výskum prebiehal pol roka v oblasti DICOM. – medicínskeho štandardu a sieťových dátových úložísk.

Kyberzločinci by mohli zdravotnícke dáta využiť

Výskumníkom sa podarilo odhaliť približne 2 100 nechránených serverov v 67 krajinách sveta, ako napríklad Nemecko, Francúzsko, Veľká Británia alebo Spojené štáty americké. Otestované boli viac ako 4 miliardy IP adries. Zdravotnícke snímky boli spojené s metadátami, ktoré obsahovali osobné identifikačné údaje ako adresa, meno, dátum narodenia dokonca aj o dáta o diagnóze osôb, výške alebo váhe. 

Na získanie prístupu k zdravotníckym dátam nebol použitý žiadny hackerský nástroj

Výskumníci počas výskumu nepoužili žiadne hackerské nástroje a k zdravotníckym dátam sa dostali veľmi ľahko.

Spoločnosť CybelAngel varuje, že zdravotnícke snímky či osobné údaje môžu byť použité na vydieranie alebo obchodovanie. Zraniteľné servery môžu byť taktiež použité na distribúciu ransomwaru do zdravotníckych sietí.

Nie je to prvý prípad nezabezpečených zdravotníckych dát

Nejedná sa o prvý prípad, kedy výskumníci objavili veľké množstvo nezabezpečených lekárskych dát. Napríklad bezpečnostná nemecká spoločnosť Greenbone Networks našla na nezabezpečenom úložisku cez miliardu zdravotníckych snímok.

Nedostatočné zabezpečenie systémov so zdravotnýckymi údajmi vyžaduje dôkladnejšie bezpečnostné procesy na uchovávanie a zdieľanie lekárskych dát.
GDPR legislatíva umožňuje za nedostatočnú ochranu dát klientov, udeliť poskytovateľom lekárskej starostlivosti nemalé pokuty.

The post Na internete je dostupných okolo 45 miliónov lekárskych snímok appeared first on Ochrana-online.sk.

Zavedenie odosielania poštových dátových správ zadarmo

Uznesenie vlády Českej republiky zaviedlo odosielanie poštových dátových správ zadarmo. Úlohou tohto uznesenia bolo zjednodušenie elektronického styku štátnej správy a občanov počas núdzového stavu. Cieľom je obmedzenie návštev úradov občanmi.

Úrad upozorňoval, že posielanie správ zadarmo cez dátové správy nesmie byť zneužívané. Spoločnosti aj občania by mali využívať možnosť posielať správy zadarmo rozumne.

Predseda Úradu pre ochranu osobných údajov Jiří Kaucký sa vyjadril

Dátové schránky slúžia na bezpečnú písomnú komunikáciu. Zneužívanie dátových schránok je veľmi zlé. V čase núdzového stavu je zneužitie výnimočnej bezplatnosti tejto služby neprijateľný hyenizmus, ktorý budeme dôkladne sledovať, vyhlásil Jiří Kaucký predseda Úradu pre ochranu osobných údajov.

Nevyžiadaná reklama cez dátové schránky

Pokuty boli neprávoplatne udelené 11 spoločnostiam, ktoré zneužili odosielanie poštových dátových správ zadarmo, na základe desiatok sťažností majiteľov dátových schránok. Tieto spoločnosti pracovali s tisíckami adries dátových schránok fyzických osôb. Nakladali tak, aj s osobnými údajmi.

Spoločnosti následne posielali reklamné oznámenia na rozličné produkty a služby cez dátové schránky, pričom chýbal zákaznícky alebo obdobný vzťah. Tieto spoločnosti nedisponovali žiadnym právnym dôvodom na odosielanie reklamných ponúk. Toto konanie je porušením článku 6 odst. 1 nariadenia (EU) 2016/679.
Úrad s týmito spoločnosťami začal správne riadenie. Za tieto porušenia udelil neprávoplatne 11 spoločnostiam pokutu v spoločnej výške približne 3 000 000 Kč v prepočte približne 115 000 €.

The post Úrad na ochranu osobných údajov v Česku uložil pokutu za spam appeared first on Ochrana-online.sk.

Boli porušené pravidlá na ochranu osobných údajov?

Sťažnosť zahájila vyšetrovanie tejto aplikácie. Instagram sprístupnil informácie k účtom každému, kto sa prihlásil do aplikácie. Vyšetrovanie sa zameriava na možnosť nastavenia užívateľského profilu a či tento proces spĺňa pravidlá na ochranu dát.

Regulátor v samostatnom vyšetrovaní zistuje či je Facebook oprávnený nakladať s osobnými dátami detí a mladistvých, a či má dostatočné zabezpečenie na ochranu mladistvých a detí v aplikácií Instagram.

V Írsku sídli veľa amerických technologických firiem. Dohľad nad ochranou osobných dát ľudí v EÚ má DPC (Írska komisia na ochranu dát). Táto komisia je oprávnená udeľovať pokuty za nedodržanie legislatívy GDPR. General Data Protection Regulation začali v EÚ platiť v roku 2018.

Pokuta za porušenie nariadení nie je nízka

Graham Doyle člen írskej komisie pre agentúru Reuters uviedol, že úrad si vytipoval  oblasti, kde môžu byť potencionálne zdroje nezrovnalostí.Graham Doyle vyhlásil, vyšetrovanie tohto incidentu sa začalo v septembri.

GDPR alebo aj legislatíva na ochranu osobných údajov, dáva priestor na udelenie pokuty za porušenie až 20 miliónov eur alebo 4% z globálnych tržieb firmy v závislosti, ktorá zo súm bude vyššia.

The post Údajné porušenie zákona na ochranu osobných údajov v službe Instagram appeared first on Ochrana-online.sk.

Legislatíva EÚ

V Spojených štátoch amerických má sídlo množstvo globálnych korporácií a veľké množstvo firiem tam ukladá dáta alebo využívajú služby, ktoré americké gigantické spoločnosti sprostredkúvajú. Biznis sa nezaobíde bez predávania osobných údajov do Spojených štátov amerických.

Pomocou prijatia takzvaného Safe Harbor sa Európska únia snažila vytvoriť priestor pre ochranu osobných údajov, ktoré boli distribuované do Spojených štátov amerických. K tomuto sa mohli podnikatelia prihlásiť a vytvoriť tak dostatočný priestor na ochranu osobných dát v kontexte európskej legislatívy. Súdny dvor EU na základe žalôb od aktivistov toto zrušil.

Po tom ako Európska únia prijala GDPR, sa pokúsila o Privacy Shield, čo je vylepšený režim ochrany osobných údajov oproti Safe Harbor. Európsky súdny dvor zrušil Privacy Shield s odôvodnením, pretože tam chýba dostatočná ochrana osobných údajov pred sledovaním, ktoré dovoľujú americké zákony.

Správcovia osobných údajov

Po tomto rozhodnutí sa množstvo podnikateľov rozhodlo prejsť na iný režim predávania osobných údajov do krajín mimo EHP, ako napríklad štandardné zmluvné doložky alebo záväzné podnikové pravidlá. Tímto krokom sa alebo problém zo vzťahom k Spojením štátom americkým nevyriešil. Záväzné podnikové pravidlá ani štandardné zmluvné doložky nemajú nad americkú legislatívu, ktorá dáva možnosť sledovať občanov.

Európska únia sa momentálne tohto problému zbavila ladne. Ako vyplýva z rozhodnutia Súdneho dvora, tak z výkladových materiálov vychádza, že správcovia osobných údajov, ktorí predávajú osobné údaje do Spojených štátov amerických majú za úlohu analyzovať vplyv amerických zákonov na predávané osobné údaje.

V prípade, ak prídu na nedostatky ohľadom ochrany osobných údajov, ktoré sa týkajú záväzných podnikových pravidiel alebo štandardných zmluvných doložiek, musí byť odovzdávanie osobných dát do USA zastavené.

Je nutné vytvoriť vhodnú legislatívu

Ako hlavný problém môžeme identifikovať sledovanie elektronickej komunikácie, ustanovenou americkou legislatívou. Momentálne asi neexistuje bezpečná cesta na predávanie osobných dát do Spojených štatov amerických, okrem zbierania súhlasov od každého subjektu, ktorého osobné údaje sa majú odovzdať do USA. Tento spôsob v obchodnej praxi môžeme zaradiť ako nepraktický. 

Očividne Európska únia nie je schopná priniesť dobré riešenie problému. Vzniknutý problém prenáša na správcov údajov, ktorí nie sú schopní to vyriešiť, nakoľko ide o konflikt medzi americkou a európskou legislatívou. Množstvo podnikateľských subjektov, naprieč celou Európou, zaplatili veľké množstvo finančných prostriedkov za GDPR súlad.

Ostáva tak požadovať od oboch strán, či už EÚ ale aj USA, aby sa zodpovedne postavili k danému problému a nepresúvali zodpovednosť na podnikateľské subjekty. Ich úlohou je prijať legislatívne riešenie tohto problému, aby obe strany boli spokojné.

The post Predávanie osobných údajov medzi USA a EU – zlyhanie regulátorov? appeared first on Ochrana-online.sk.

Na vážnu chybu prišiel šikovný Slovák

Chybu v navigácii Waze objavil Slovák Peter Gasper. Vďaka tejto chybe bolo možné monitorovať a do istej miery aj identifikovať konkrétnych užívateľov tejto aplikácie. Google opravil túto nájdenú chybu a Peter Gasper dostal aj odmenu.

Chyba v aplikácii bola v API vo webovej verzii. V tejto verzii je možné, aby si ktokoľvek pozrel informácie z navigácie, ako napríklad: nahlásené prekážky a komplikácie v doprave. Ikonky zobrazujúce sa na mape patria momentálne cestujúcim, ktorí využívajú túto aplikáciu, ale podrobnejšie dáta o nich web neukazuje.

Používatelia tejto aplikácie majú identifikátor

Peter Gasper zistil, ako je na webe spravené zobrazovanie ikon šoférov. Prišiel na záver, že GPS lokalita bola spárovaná s unikátnym identifikátorom daného šoféra, ktorá sa nemenila.

Identifikátor nebol v priebehu času menený a aj keď na webe nebol zviditeľnený, tak šikovný Peter Gasper cez API navigácie tento identifikátor získal.

Šikovný slovenský programátor na svojom blogu ukázal, ako sa vďaka týmto identifikátorom, ktoré sa nemenia dá sledovať poloha používateľov aplikácie Waze. Aplikácia generuje identifikátory a kybernetický útočník by nemal mať spôsob, ako spárovať identifikátor s reálnou identitou osoby.

Identifikovať osobu môžeme na základe dát o polohe. Touto problematikou sa zaoberali aj vedecké štúdie. Gasper sa opiera o jednu, kde prehlasuje, že na identifikovanie totožnosti 95% ľudí stačia len 4 špecifické body záujmu na mape. Odborníci tvrdia, že pohyb každej osoby je špecifický a odlišný minimálne v detailoch od iných osôb.

Peter Gasper objavil aj ďalšiu chybu

Hackeri mohli mať k dispozícii aj druhú chybu, ktorú táto aplikácia mala. Slovák ju počas pátrania zistil.

Ak nahlásite dopravný problém alebo prekážku, tak mobilná aplikácia zobrazí vašu prezývku iba v prípade, že necháte komentár. Cez API bolo možné zistiť prezývky všetkých používateľov a dokonca aj tých, ktorí nezanechali komentár. Prezývky boli prístupné spolu s identifikátorom.

Aplikácia odosielala identifikátor a prezývku do aplikácie každého jedného šoféra, ktorý prešiel okolo prekážky alebo nehody. Pomocou API sa ale dá po mape premiestňovať virtuálne a nie je potrebné meniť svoju fyzickú polohu. Internet dáva priestor pre dohľadanie prezývok.

Stotožniť osobu je možné pomocou e-mailových adries či iných účtov a identifikovať s reálnymi osobami je možné s trochou snahy. Používatelia majú častokrát rovnakú prezývku vo viacerých účtoch. Ľudia taktiež častokrát používajú svoje skutočné meno, na čo prišiel slovák Peter Gasper.

Zbieranie dát

Potenciálni hackeri by sledovali dopravné uzly a frekventované cesty, aby mohli spárovať identifikátor a prezývky používateľov tejto služby. Stačilo by im viac počítačov a rôzne IP adresy, aby Waze nespozoroval podozrivú aktivitu.

Peter Gasper ukázal, že je možné informácie zhromažďovať automatizovanými skriptami. V databáze záznamov by sa vyskytovali aj reálne mená používateľov tejto aplikácie. Vytvorenie skriptov trvalo približne len štyri hodiny.

Príprava na útok by zabrala len niekoľko dní. Identifikovať osoby by bolo možné v priebehu pár týždňov. Podľa slovenského výskumníka mohli byť tieto chyby v systéme niekoľko rokov.  Za oznámenie tejto chyby dostal Peter Gasper od Googlu okolo 1 110 eur.

The post Chyba v aplikácii Waze umožňovala sledovať používateľov, na túto chybu prišiel Slovák appeared first on Ochrana-online.sk.

Obeťou phishingového útoku sa môže stať skoro každý

Hackeri sa zameriavajú hlavne na ľudí, ktorí pracujú na diaľku. Vyplýva to z pandémie korony a trendu tzv. Home officu. Organizácie či zamestnanci nie sú častokrát dostatočne pripravení čeliť týmto útokom.

Útočníci majú zvyčajne prepracované metódy ako získať citlivé údaje od svojich obetí. Dôležité je neotvárať podozrivé e-maily, prílohy a odkazy. Častokrát sa stáva, že útočník vytvorí identický web známej spoločnosti a po zadaní prihlasovacích alebo bankových údajov tieto dáta odcudzí.

Aké značky spoločností zneužívajú útočníci

Q3 Brand Phishing Report je názov správy, v ktorej sa hovorí, že najčastejšie sa vydávajú páchatelia za spoločnosť Microsoft. Za spoločnosť Microsoft sa hackeri falošne vydávali až v 19% percentách phishingových útokov.

Po prvýkrát sa do top 10 dostalo aj DHL, pričom obsadilo hneď druhé miesto. Za týmto trendom môžeme vidieť zvýšený dopyt po zásielkových službách a kybernetický páchatelia sa toho chopili.

Hackeri najčastejšie používajú značky technologických spoločností, následne bankových inštitúcií a sociálnych sietí.

Zoznam najčastejšie zneužívaných značiek pri phishingových útokoch v 3. štvrť roku 2020:

• Microsoft – 19%
• DHL – 9%
• Google – 9%
• Paypal – 6%
• Netflix – 6%
• Facebook – 5%
• Apple – 5%
• WhatsApp – 5%
• Amazon – 4%
• Instagram – 4%

Najčastejší spôsob šírenia phishingu:

V 3Q 2020 sa šíril phishing najviac pomocou e-mailu, ako druhý následoval webový phishing. E-mailový phishing bol najviac zneužívaný pod značkou Microsoft, DHL a Apple.

44% všetkých phishingových útokov v 3 štvrťroku 2020 – e-mailový phishing

• Microsoft
• DHL
• Apple

12% všetkých phishingových útokov v 3 štvrťroku 2020 – mobilný phishing

• WhatsApp
• PayPal
• Facebook

Ako hackeri zneužívali značku Microsoft na vylákanie citlivých údajov?

Check point objavil phishingové e-maily, ktoré mali za úlohu ukradnúť prihlasovacie údaje od účtov Microsoft. Úlohou e-mailu bolo to, aby obeť klikla na škodlivý odkaz a ten ju presmeruje na falošnú prihlasovaciu stránku, ktorá vyzerá ako od spoločnosti Microsoft.

The post Pri phishingových útokoch sa páchatelia vydávajú za zamestancov známych spoločností appeared first on Ochrana-online.sk.

V minulosti taktiež zaznamenali vyčíňanie tohto škodlivého programu. Centrum znova zaznamenalo nárast útokov tohto softvéru. Útokom sa dokonca nevyhli ani jednotlivci.

Ako postupuje malvér Emotet

SK-CERT odporúča byť opatrný. Elektronická pošta býva využívaná Emotetom ako vstup do Vášho počítača. Úlohou je infikovať zariadenie a následne rozposlať takzvané phishingové maily kontaktom, ktoré nájde v napadnutej emailovej schránke.

Ako ďalší krok podnikne stiahnutie iného malvéru, ktorý má za úlohu ukradnúť osobné dáta. Nakoniec ransomvér zašifruje úložisko s dátami.

Ako zabezpečiť Váš počítač?

Odborníci odporúčajú, aby ste svoj softvér udržiavali aktuálny. Tento malvér sa spolieha na neaktuálnosť zariadení, do ktorých je schopný vniknúť. Aktuálne verzie softvéru sú zabezpečené a tento škodlivý program sa nevie dostať cez ochranu.

Je rozumné neotvárať obsah od neznámych alebo podozrivých osôb či už e-maily, URL odkazy alebo dokonca prílohy. Neodporúča sa povoľovanie makier v dokumentoch a buďte ostražitý v prípade správ od cudzincov, ktorí žiadajú citlivé alebo osobné údaje.

The post Slovenské národné centrum kybernetickej bezpečnosti varuje pred malwérom menom Emotet appeared first on Ochrana-online.sk.

Pokuty za nedodržiavanie GDPR v číslach

• V krajinách EÚ bolo do konca augusta udelených stovky pokút vo výške presahujúcej 490 miliónov eur.

• Za rok 2020 pribudlo v EÚ 122 pokút v hodnote okolo 60 miliónov eur.

• Najviac pokút bolo uložených v Španielsku a to 122 v celkovej hodnote okolo 60 miliónov eur.

• U našich susedov v Česku, bolo za rok 2020 ku koncu augusta, udelených 11 pokút. Pokuty dosahovali výšku 19 300 eur.

Najčastejšie dôvody na udelenie pokút v rámci EÚ

• 80 udelených pokút v hodnote 335 miliónov eur bolo za nedostatočné organizačné a technické opatrenia na zabezpečenie dát.

• 150 udelených pokút v hodnote 128 miliónov eur bolo za nedostatočný právny základ na spracovanie osobných údajov.

• 61 uložených pokút vo výške 17 miliónov eur bolo za nedodržiavanie všeobecných princípov nakladania s osobnými dátami.

• 40  uložených pokút vo výške 9 miliónov eur bolo za nedostatočné plnenie práv subjektov osobných údajov.

• 20 udelených pokút vo výške 568 tisíc eur bolo pre nedostatočné plnenie informačných povinností.

Výška pokuty, ktorú môže subjekt dostať je nemalá. Tento fakt vedie k zvyšovaniu štandardov získavania, spracovania a ochrany osobných údajov. Legislatívu GDPR jednoznačne netreba brať na ľahkú váhu.

The post Pokuty udelené v Európe za porušenie legislatívy GDPR ku koncu augusta 2020 appeared first on Ochrana-online.sk.

Je možné, aby prevádzkovateľ poveril na spracovanie osobných dát sprostredkovateľa. Poverenie sa nadobúda osobitnou zmluvou.

Na základe európskeho nariadenia, sa spracovanie účtovníctva externým spôsobom v pozícii sprostredkovateľa musí ošetriť špeciálnou zmluvou, ktorá sa uzatvára medzi prevádzkovateľom a sprostredkovateľom. Táto zmluva sa nazýva sprostredkovateľská. Súhlas danej osoby, ktorej sa spracúvajú osobné údaje externým účtovníkom, sa nevyžaduje.

Ak sa uzavrie sprostredkovateľská zmluva, externá účtovnícka jednotka môže začať spracúvať osobné dáta zamestnancov prevádzkovateľa. Zmluva určuje rozsah a podmienky spracúvania osobných údajov a taktiež sú dôležité pokyny prevádzkovateľa.

Externý účtovník si nesmie sám určiť účel spracúvania osobných dát, určuje ho prevádzkovateľ. Účel je vedenie účtovníctva a spracovanie účtovných dokladov alebo aj mzdová agenda.

Externý účtovník a jeho základné povinnosti podľa legislatívy GDPR

GDPR vymedzuje množstvo povinností externého účtovníka v úlohe sprostredkovateľa. Tieto nasledujúce povinnosti môžeme definovať ako najdôležitejšie:

• Povinnosťou je ochraňovať spracúvané osobné dáta

Či už má prevádzkovateľ alebo sprostredkovateľ (externý účtovník) za úlohu ochraňovať osobné dáta v kontexte legislatívy GDPR, je dôležité sa zamerať na riziká, ktoré sa spájajú so spracovaním osobných dát ako napríklad – neoprávnený prístup k dátam, zničenie údajov, prípadná zmena alebo iné.

• Povinnosťou je mať dokumentáciu o spracovateľských činnostiach

Ak zamestnávateľ zamestnáva cez 250 pracovníkov a využíva externého účtovníka, musia sa vytvoriť záznamy o spracovateľských činnostiach, ktoré spravil v mene daného zamestnávateľa. Ak sa vykonáva účtovnícka agenda aj pre viacerých takýchto podnikateľských jednotiek, tak sa záznamy musia viesť pre každého jedného zvlášť.

V prípade menšieho počtu pracovníkov nie je povinnosť ich viesť, ale externý účtovník môže viesť záznamy dobrovoľne. Môže mu to uľahčovať orientáciu pri spracúvaní osobných dát. Taktiež môže táto dokumentácia slúžiť pri preukazovaní vykonávania svojich povinností. Vedenie záznamov o spracovateľskej činnosti je nutné evidovať v písomnej, ale aj elektronickej forme. Ak nastane kontrola od Úradu na ochranu osobných údajov SR je nutné, aby externý účtovník predložil dané záznamy.

• Povinnosťou je oboznámiť prevádzkovateľa pri porušení ochrany osobných údajov

Európske nariadenie zaviedlo povinnosť pre sprostredkovateľov oznámiť bezpečnostné narušenie prevádzkovateľovi. To znamená, že ak sa externý účtovník dozvie o incidente, ktorý porušuje ochranu osobných údajov, s ktorými nakladá, musí to okamžite ako sa o tom dozvie, oznámiť prevádzkovateľovi. Oznámenie by malo obsahovať aké porušenie nastalo, akých osobných dát sa to dotýka a podobne.

• Povinnosťou je kooperovať s Úradom na ochranu osobných údajov SR

Povinnosťou externého účtovníka je na vyžiadanie dozorného orgánu spolupracovať. Dozorný orgán je v tomto prípade Úrad na ochranu osobných údajov SR.

• Povinnosťou je vrátiť alebo odstrániť osobné údaje prevádzkovateľa

Ak nastane situácia skončenia poskytovania externých účtovníckych služieb, externý účtovník je povinný zlikvidovať kópie a originály osobných údajov, prípadne ich odovzdať prevádzkovateľovi. Ukončenie spolupráce je nutné vopred určiť v sprostredkovateľskej zmluve.

• Povinnosťou je zachovanie mlčanlivosti

Úlohou externého účtovníka je dodržiavať mlčanlivosť o osobných dátach, s ktorými pracuje. Toto mlčanie musí pretrvávať aj po skončení spolupráce s prevádzkovateľom.

 Za porušenie povinností hrozia nemalé sankcie

Zákon o ochrane osobných údajov ukladá za porušenie nariadení pokuty. V prípade sprostredkovateľa sú dotknutí aj externí účtovníci.

V prípade ak si externý účtovník nesplní povinnosť viesť záznamy o sprostredkovateľských činnostiach, neoznámi prevádzkovateľovi bezpečnostný incident ohľadom ochrany osobných dát, či nezachová povinnosť mlčania, úrad mu môže uložiť sankciu do výšky 10 000 000 eur alebo ak sa jedná o podnik do 2% celkového svetového ročného obratu za predchádzajúci účtovný rok v závislosti, ktorá suma je vyššia.

The post Externé vedenie účtovníctva v súvislosti s GDPR časť 2. appeared first on Ochrana-online.sk.