Zavedenie odosielania poštových dátových správ zadarmo

Uznesenie vlády Českej republiky zaviedlo odosielanie poštových dátových správ zadarmo. Úlohou tohto uznesenia bolo zjednodušenie elektronického styku štátnej správy a občanov počas núdzového stavu. Cieľom je obmedzenie návštev úradov občanmi.

Úrad upozorňoval, že posielanie správ zadarmo cez dátové správy nesmie byť zneužívané. Spoločnosti aj občania by mali využívať možnosť posielať správy zadarmo rozumne.

Predseda Úradu pre ochranu osobných údajov Jiří Kaucký sa vyjadril

Dátové schránky slúžia na bezpečnú písomnú komunikáciu. Zneužívanie dátových schránok je veľmi zlé. V čase núdzového stavu je zneužitie výnimočnej bezplatnosti tejto služby neprijateľný hyenizmus, ktorý budeme dôkladne sledovať, vyhlásil Jiří Kaucký predseda Úradu pre ochranu osobných údajov.

Nevyžiadaná reklama cez dátové schránky

Pokuty boli neprávoplatne udelené 11 spoločnostiam, ktoré zneužili odosielanie poštových dátových správ zadarmo, na základe desiatok sťažností majiteľov dátových schránok. Tieto spoločnosti pracovali s tisíckami adries dátových schránok fyzických osôb. Nakladali tak, aj s osobnými údajmi.

Spoločnosti následne posielali reklamné oznámenia na rozličné produkty a služby cez dátové schránky, pričom chýbal zákaznícky alebo obdobný vzťah. Tieto spoločnosti nedisponovali žiadnym právnym dôvodom na odosielanie reklamných ponúk. Toto konanie je porušením článku 6 odst. 1 nariadenia (EU) 2016/679.
Úrad s týmito spoločnosťami začal správne riadenie. Za tieto porušenia udelil neprávoplatne 11 spoločnostiam pokutu v spoločnej výške približne 3 000 000 Kč v prepočte približne 115 000 €.

The post Úrad na ochranu osobných údajov v Česku uložil pokutu za spam appeared first on Ochrana-online.sk.

Sledovanie zamestnancov sa nemusí vyplatiť

Jednalo sa o sledovanie stoviek zamestnancov v servisnom centre v nemeckom Norimbergu. Dokonca sa jednalo aj o intímne podrobnosti a úrady prišli na záver, že boli porušené pravidlá na ochranu osobných údajov. Johannes Caspar, komisár pre ochranu osobných údajov sa vyjadril, že pokuta je vymeraná tak, aby slúžila ako odstrašujúci príklad pre spoločnosti, ktoré by chceli porušiť legislatívu. 

Nebola to najvyššia udelená pokuta

General Data Protection Regulation alebo GDPR je v platnosti od roku 2018 a jedná sa o druhú najvyššiu pokutu, aká bola udelená v rámci tejto legislatívy. 

Vo Francúzsku dostal americký gigant Google pokutu vo výške 50 miliónov eur pre pochybenie s nakladaním s osobnými údajmi používateľov.

Odevná firma bude zatvárať pobočky

Firma H&M sa vyjadrila, že na ďalší rok zavrie približne 250 pobočiek, čo predstavuje okolo 5% ich celkového počtu. V treťom štvrťroku im medziročne klesol zisk (pred zdanením) o viac ako polovicu a to na 2,37 miliardy švédskych korún.

Približne 3% zo všetkých obchodov švédskej firmy H&M sú zavreté. Počas najväčšieho vrcholu plošných karantén to bolo okolo 80%.

The post Firma H&M dostala pokutu pre sledovanie svojich zamestnancov appeared first on Ochrana-online.sk.

Osobné údaje kradol z rôznych webov

Do jeho hľadáčika sa dostali známe weby, ako napríklad Linkedin, Dropbox alebo Formspring. Z týchto webov sa mu podarilo odcudziť okolo 100 miliónov osobných údajov rôznych ľudí.

Prokuratúra sa vyjadrila, že Nikulin, ktorý pracoval z Moskvy, napadol v roku 2012 počítače týchto firiem v meste San Francisco a okolí. Podarilo sa mu nainštalovať škodlivý malware, a vďaka tomuto škodlivému programu sa mu podarilo odcudziť prihlasovacie dáta pracovníkov. Týmito dátami sa mu podarilo dostať k heslám a menám používateľov. Tieto informácie si nenechal pre seba, ale rozhodol sa ich speňažiť na ruskom fóre.

Nikulin nie je neznáma osoba

V roku 2016 bol zatknutý v Prahe, pričom neskôr bol eskortovaný do USA. Súdny proces s Nikulinom bol začatý v marci, avšak bol pozastavený, nakoľko prišlo ochorenie COVID-19. Proces bol obnovený v júli.

Nikulin bol odsúdený za odcudzenie mien a hesiel používateľov, infiltráciu chránených počítačov škodlivým vírusov, za vniknutie do cudzích počítačových zariadení a neposlednom rade za sprisahanie.

The post Ruský hacker ukradol osobné údaje miliónom ľuďom a následne ich predával appeared first on Ochrana-online.sk.

Úrad pre ochranu osobných údajov v Rakúsku dal pokutu pošte vo výške 18 miliónov eur za sledovanie politických preferencií vlastných zákazníkov. Tieto informácie následne predávala politickým stranám, ktoré kandidovali vo voľbách. Niektorí aktivisti prirovnávajú tento škandál s Facebookom, ktorý zdieľal dáta svojich používateľov.

Zdieľala informácie 3 miliónov zákazníkov?

Má ísť o zdieľanie pohlavia, veku, mena a adresy zákazníkov. Taktiež mali spracovávať informácie o politických preferenciách. Tieto údaje by pomohli lepšie cieliť politickú reklamu. Pošta sa chce voči tomuto prípadu odvolať.

Rakúska pošta sa bráni

Vyhlásila, že tieto informácie sa neviažu k určitým zákazníkom. Je možné určiť len preferencie cieľových skupín na základe týchto údajov. Taktiež prehlásila, že informácie neumožňujú určiť politické názory zákazníkov pošty. Rakúsku poštu väčšinovo vlastní štát a oznámila reorganizáciu databáz, kde sú uvedené politické preferencie.

Zisk 200 miliónov eur za databázy

Databázu zahŕňa približne jedna tretina obyvateľov Rakúska. Pošta obchoduje s týmito databázami a tvorí zisk približne 200 miliónov eur. V prípade dát s politickým zameraním tvrdí, že vznikli na základe volebných štatistík v geografických oblastiach a prieskumov verejnej mienky. Pošta sa domnieva, že na základe týchto dát nemožno zistiť volebné správanie.

The post Pošta v Rakúsku dostala pokutu za porušenie ochrany osobných údajov zákazníkov appeared first on Ochrana-online.sk.

Viaceré oznámenia škole o odstránení fotografie

Príslušný orgán poslal škole oznámenie o porušený ochrany osobných údajov v septembri 2018. Škola dostala oznámenie, že môže nakladať s údajmi len v súlade s účelom, pre ktoré boli zhromaždené. Upozornenie od úradu pre školu bolo jasné a to, že musí odstrániť fotografiu zo sociálnej siete Facebook nakoľko nemá žiadny právny titul k bývalému zamestnancovi.

Reakcia školy

Odpoveď školy bola jednoznačná, poslala odkaz na svoju stránku v sociálnej sieti Facebook kde bola fotografia poškodeného z júla 2017. Škola sa bránila. Na facebooku nie je uvedené, že poškodený je stále v pracovnom pomere a nie je možné vychádzať z fotografie, označeného menom a priezviskom.

Reakcia úradu

Print screen použil úrad a zistil, že škola koná neoprávnene a protiprávne, keďže nestiahla fotografiu. Úrad vydal výzvu kde školu žiada o neodkladné napravenie protiprávneho stavu. Bohužial škola tento stav nenapravila.

Úrad vyhlásil, že zverejnenie osobných údajov bývalých zamestnancov je možné iba v prípade, že úćastník dal predchádzajúci súhlas, pričom v tomto prípade ho bývalý zamestnanec nedal.

Uloženie pokuty vo výške 10 000 CZK

Zákon o ochrane osobných údajov v Česku stanovil skutkové podstaty v oblasti ochrany osobných dát a údajov a rozlišuje medzi súkromno – právnymi a verejno – právnymi subjektmi. Maximálna výška môže dosiahnuť rekordných 10 miliónov CZK. Orgánom verejnej moci je možné udeliť pokutu do 15 000 CZK. 

Slovenská republika nerozlišuje subjekty verejnoprávnej alebo súkromnej sféry. Pravidlá platia pre všetkých rovnako. V zákone 18/2018 o ochrane osobných údajov je uvedené výška pokuty do 20 000 000 eur, ale v prípade podniku do 4% celkového svetového ročného obratu za predošlý účtovný rok.

The post Pokuta kvôli bývalému zamestnancovi – môže za to uverejnená fotografia appeared first on Ochrana-online.sk.

Školácka chyba

Ľudia sú zvedavé tvory a to dokonca natoľko, že sú ochotné riskovať bezpečnosť svojich dát. Nájdené USB kľúče nemajú problém zapojiť do svojho počítača, aby zistili, čo ich majiteľ tam ukrýva. V prieskumoch tak urobí až 80 % ľudí. Riskujú tým však nielen poškodenie počítača, ale aj únik citlivých dát z databáz, ktoré podľa nariadenia GDPR musia podliehať dôkladnej ochrane.

Zničenie počítača

Nemáme na mysli len USB kľúč, ktorý obsahuje  trójskeho koňa, ale kľúč z nabitých kondenzátorov, ktoré dokážu elektrickou iskrou zničiť počítač. Pripojenie takéhoto USB kľúča, ktorý je nabitý energiou, znamená automatické zničenie počítača. O takomto prípade by vedeli rozprávať na jednej americkej univerzite, kde škoda dosiahla až 60 000 dolárov.

Únik dát

Ďalším nebezpečným kľúčom je taký, ktorý sa pri pripojení tvári ako klávesnica. Ide o USB kľúč, ktorý vyzerá na prvý pohľad úplne obyčajne, avšak vo svojom vnútri ukrýva miniatúrny počítač s procesorom aj pamäťou. Po jeho pripojení nenaskočí ako ďalší disk v položke “Tento počítač”, ale zobrazí sa ako ďalšia klávesnica, ktorú nepreveruje žiaden antivírusový softvér. Váš počítač ho preto nevyhodnotí ako hrozbu a ľahko dokáže prekonať aj skutočne sofistikovaný bezpečnostný systém. 

Po pripojení tohto zvláštneho typu USB kľúča sa spustí script, ktorý dokáže na pripojenom počítači robiť čokoľvek sa mu zachce. A toto môže slúžiť ako účinný konkurenčný boj, kedy z vášho počítača budú odoslané e-maily, ktoré by ste vy nikdy neposlali, či zaslanie vašich kontaktov konkurencii alebo odcudzenie všetkých citlivých dát z vášho počítača. 

Pozor na GDPR

Keďže v súčasnosti platí európske nariadenie GDPR o ochrane osobných údajov, mali by ste sa vystríhať podobným banálnym pochybeniam. Ak však predsa príde k bezpečnostnému incidentu vo vašej firme či organizácií, majte na pamäti, že musíte informovať Úrad na ochranu osobných údajov i dotknuté osoby. Podľa prešetrenia rozsahu úniku údajov a ostatných okolností vám spomínaný úrad môže udeliť sankcie, medzi ktorými sú aj finančné pokuty.

The post Pozor na USB kľúče, môžu vám vykradnúť databázu i zničiť počítač appeared first on Ochrana-online.sk.

V zdĺhavej správe sa uvádza, že spoločnosť Sprint zhromažďovala informácie o ľuďoch podľa podmienok nariadenia GDPR a odvoláva sa pritom na oprávnený záujem.

Nevyžiadaná pošta?

Jeden z príjemcov tejto elektronickej pošty však tvrdil, že to bol jeho prvý kontakt akéhokoľvek druhu so spoločnosťou, a preto sa jednalo o nevyžiadanú poštu. Všimol si však, že URL adresa na aktualizáciu preferencií obsahuje reťazec čísel. Následnou úpravou jednej z číslic sa dostal k osobným informáciám každého zo zoznamu, na ktorý boli hromadné e-maily rozposlané.

V súčasnosti už odkaz nezobrazuje osobné informácie, ale presmerúva ľudí na tzv. Opt-out stránku, kde sa používateľ môže odhlásiť zo spomínanej služby.

Ochranca osobných údajov?

Riaditeľ firmy Sprint Education, Guy Lewis, potvrdil, že vždy predtým ako začnú aktívne spracovávať údaje svojich zákazníkov, zašlú e-maily obsahujúce informácie o zbere a spôsobe ich spracovania. Zákazníci potom môžu upraviť svoje GDPR preferencie v Preferenčnom centre. Tým sa firma snaží prezentovať ako spoločnosť, ktorá berie ochranu údajov a súkromia s najväčšou vážnosťou.

Dodal, že údaje, ktoré mohli byť zobrazené, boli a aj sú verejne dostupné. Ako príčinu tohto incidentu uviedol nepozornosť člena tímu, ktorý hromadne odosielal e-maily a a zabudol vypnúť „sledovanie klikov” pre linky odkazujúce na ich Preferenčné centrum. Hneď ako si tím túto chybu všimol odosielanie bolo zastavené. Predpokladá sa, že takýto e-mail bol doručený menej ako 250 zákazníkom. 

Udelia pokutu?

Toto zlyhanie však umožnilo niekomu prezerať údaje iných ľudí, čo by mohlo byť v rozpore s Článkom 32 nariadenia GDPR. Ako argument môže spoločnosti slúžiť aj to, že ak šlo skutočne o verejné údaje, úroveň bezpečnosti bola primeraná tomuto riziku, pretože riziko spojené s odcudzením údajov, je veľmi nízke. Zatiaľ nie je jasné, či niektorý regulačný úrad bude tento incident preverovať. 

The post Kuriozitné porušenie nariadenia GDPR appeared first on Ochrana-online.sk.

Kto sa s ním musí popasovať?

Nariadenie GDPR sa vás týka, ak sa vaša spoločnosť zaoberá údajmi občanov EÚ, pôsobí alebo sídli v EÚ, monitoruje správanie obyvateľov EÚ alebo ponúka produkty občanom EÚ. V podstate, ak vykonávate marketingovú činnosť alebo podnikáte v EÚ, mali by ste dodržiavať GDPR.

Je niekoľko krokov, ktoré by ste mali poznať, aby ste dodržali požiadavky GDPR:

1.GDPR tím

Budete musieť vymenovať zodpovednú osobu (DPO), bude mať na starosti váš tím GDPR, ktorý bude mať prístup ku všetkým zdrojom údajov vo vašej organizácii. K činnosti tohto tímu by malo patriť vykonávanie auditu o uchovávaní a používaní osobných údajov. Okrem toho by mal byť váš GDPR tím nápomocný pri kontrolách, pri odstraňovaní nedostatkov kontrol, pri školeniach a pri riešení narušení údajov, ktoré sa môžu vyskytnúť.

2. Identifikácia zdrojov osobných údajov

Váš tím GDPR by mal zohľadňovať všetky inventáre a aplikácie, ktoré prenášajú, spracúvajú alebo uchovávajú osobné údaje. Okrem toho by mal kategorizovať a označovať takéto zdroje. Je dôležité uvádzať zoznam činností spracovania údajov, pretože proces overenia sa tým zjednoduší.

3. Správa a zodpovednosť

Váš tím GDPR by mal školiť vašich zamestnancov a dodávateľov tretích strán o tom, ako sa nariadenie GDPR týka vašej spoločnosti. Tento tím musí tiež určovať toho, kto by mal mať prístup k osobným údajom, povahu týchto údajov, ktoré majú byť prístupné a ich použitie.

Okrem toho by ste pravidelne kontrolovať dodávateľov a dokumentovať všetky zákazky tak, aby spĺňali požiadavky stanovené GDPR.

4. Ochrana údajov a adries

Jedným z najjednoduchších spôsobov ochrany osobných údajov je vymazať údaje, ktoré už nie sú potrebné. Je však nevyhnutné, aby sa preskúmala politika vašej spoločnosti k ochrane osobných údajov, tým sa zistí, či je v súlade s GDPR. Súhlasy s ochranou osobných údajov by ste mali zaznamenávať a uchovávať, aby mohli byť preukázané ako dôkazy. Ak súhlasy musia byť aktualizované, musia byť jednoduché a transparentné.

Budete tiež musieť načrtnúť opatrenia na zvládnutie narušenia údajov. Mali by zahŕňať odhalenie skorších porušení, nahlasovanie, riadenie a vyšetrovanie. Je veľmi dôležité, aby ste prehodnotili tieto postupy narušenia údajov tak, aby zahŕňali včasné protokoly, ktoré spĺňajú oznamovacie požiadavky pre ľudí a orgány dohľadu EÚ.

5. Pravidelné hodnotenia

Mali by ste pravidelne vyhodnocovať zdroje údajov. Tiež je potrebné vykonávať technické opatrenia, ktoré dokazujú, že chránite všetky činnosti spracovania údajov vo vašej spoločnosti.

6. Dodávatelia a distribútori

Ak obdržíte potenciálnych zákazníkov alebo údaje o týchto zákazníkoch od externých strán, je vašou povinnosťou zabezpečiť, aby tieto údaje a zoznamy zákazníkov boli v súlade s GDPR skôr, než ich oslovíte. Dokonca aj vtedy, ak získate údaje od tretej strany, ich kontaktovaním porušujete GDPR.

Strašiakom sú sankcie

Nedodržanie pravidiel GDPR by vás mohlo stáť množstvo peňazí, ktoré vám vytiahnú z vrecka právne poplatky a pokuty. A čo je ešte horšie, môže to poškodiť dobré meno a značku vašej organizácie

The post 6 krokov k dodržaniu GDPR appeared first on Ochrana-online.sk.

Porušenie zabezpečenia osobných údajov

Za porušenie zabezpečenia sa podľa GDPR považuje porušenie, ktoré má za následok náhodné alebo nezákonné zničenie, stratu, zmenu alebo neoprávnené poskytnutie alebo sprístupnenie prenášaných, uložených alebo inak spracovaných osobných údajov. Za zničenie je považovaný prípad, keď osobné údaje už neexistujú, prípadne nie v podobe, ktorá je na úžitok. U poškodenia ide o to, že dáta boli pozmenené alebo nie sú úplné, správca nad nimi stratil kontrolu, prístup alebo ich jednoducho nemá v držbe. Porušenia sú tiež rozdelené na:

• porušenie dôvernosti (neoprávnené alebo náhodné poskytnutie alebo sprístupnenie údajov),
• porušenie dostupnosti (náhodná alebo neoprávnená strata prístupu alebo zničenie údajov) a
• porušenie integrity znamenajúce neoprávnené alebo náhodné pozmenenie osobných údajov.

Povinnosť ohlasovať únik dát

Povinnosťou každého  správcu, prípadne spracovateľa osobných údajov je ohlásiť prípad porušenia alebo únik údajov do 72 hodín od času, kedy zistil túto skutočnosť a to na Úrad na ochranu osobných údajov. Čo musí takéto ohlásenie obsahovať?

• opis charakteru daného prípadu porušenia bezpečnosti osobných údajov, vrátane, pokiaľ je to možné, kategórií a približného počtu dotknutých subjektov údajov a kategórií a približného množstva dotknutých záznamov osobných údajov,
• meno a kontaktné údaje povereníka pre ochranu osobných údajov alebo iného kontaktného miesta, ktoré môže poskytnúť bližšie informácie,
• opis pravdepodobných dôsledkov porušenia bezpečnosti osobných údajov,
• opis opatrení, ktoré správca prijal alebo navrhol na prijatie s cieľom vyriešiť dané porušenie zabezpečenia osobných údajov, vrátane prípadných opatrení na zmiernenie možných nepriaznivých vplyvov.

Vysoké pokuty

Výška pokút sa odvíja podľa závažnosti porušenia, ktorého sa správca údajov dopustil, a je tu mnoho okolností. Nariadenie neuvádza žiadne presné sumy, ale len maximálne sumy, ktoré môžu byť až do výšky 10 000 000 EUR a 2% z celosvetového obratu pre podniky pri menej závažných porušeniach alebo 20 000 000 EUR a 4% celkového ročného celosvetového obratu pre podniky pri závažných porušeniach povinností.

Mieru porušenie nemožno presne definovať

V nariadení GDPR sa píše, že nie je potrebné nahlasovať taký únik, kedy sa vlastne nič veľké nestalo, ale na druhú stranu nenahlásenie úniku, ktoré by mohlo zasiahnuť do súkromia ľudí, je priestupkom. Avšak to stále neznamená, že je potrebné nahlasovať každé porušenie. V istých, spravidla závažných, prípadoch, keď hrozí veľké riziko, že by sa informácie o porušení zabezpečenia mali oznámiť aj jednotlivcom, ktorých sa to týka. Posúdiť mieru rizika môžu správcovia podľa obsahu, ktorý spracúvajú.

Napríklad, či nimi uchovávané dáta neobsahujú osobitné kategórie osobných údajov, ako je napríklad zdravotný stav dotknutých osôb. Veľmi dôležitým meradlom je tiež objem spracovávaných dát. Vyhodnotenie je však na deklarantovi samotnom a nie je k tomu žiadny presný popis. Pre každého má určité riziko inú váhu a inú nebezpečnosť alebo mieru poškodenia.

The post Ohlasovanie porušenia ochrany osobných údajov appeared first on Ochrana-online.sk.