Úrad pre ochranu osobných údajov v Rakúsku dal pokutu pošte vo výške 18 miliónov eur za sledovanie politických preferencií vlastných zákazníkov. Tieto informácie následne predávala politickým stranám, ktoré kandidovali vo voľbách. Niektorí aktivisti prirovnávajú tento škandál s Facebookom, ktorý zdieľal dáta svojich používateľov.

Zdieľala informácie 3 miliónov zákazníkov?

Má ísť o zdieľanie pohlavia, veku, mena a adresy zákazníkov. Taktiež mali spracovávať informácie o politických preferenciách. Tieto údaje by pomohli lepšie cieliť politickú reklamu. Pošta sa chce voči tomuto prípadu odvolať.

Rakúska pošta sa bráni

Vyhlásila, že tieto informácie sa neviažu k určitým zákazníkom. Je možné určiť len preferencie cieľových skupín na základe týchto údajov. Taktiež prehlásila, že informácie neumožňujú určiť politické názory zákazníkov pošty. Rakúsku poštu väčšinovo vlastní štát a oznámila reorganizáciu databáz, kde sú uvedené politické preferencie.

Zisk 200 miliónov eur za databázy

Databázu zahŕňa približne jedna tretina obyvateľov Rakúska. Pošta obchoduje s týmito databázami a tvorí zisk približne 200 miliónov eur. V prípade dát s politickým zameraním tvrdí, že vznikli na základe volebných štatistík v geografických oblastiach a prieskumov verejnej mienky. Pošta sa domnieva, že na základe týchto dát nemožno zistiť volebné správanie.

The post Pošta v Rakúsku dostala pokutu za porušenie ochrany osobných údajov zákazníkov appeared first on Ochrana-online.sk.

Školácka chyba

Ľudia sú zvedavé tvory a to dokonca natoľko, že sú ochotné riskovať bezpečnosť svojich dát. Nájdené USB kľúče nemajú problém zapojiť do svojho počítača, aby zistili, čo ich majiteľ tam ukrýva. V prieskumoch tak urobí až 80 % ľudí. Riskujú tým však nielen poškodenie počítača, ale aj únik citlivých dát z databáz, ktoré podľa nariadenia GDPR musia podliehať dôkladnej ochrane.

Zničenie počítača

Nemáme na mysli len USB kľúč, ktorý obsahuje  trójskeho koňa, ale kľúč z nabitých kondenzátorov, ktoré dokážu elektrickou iskrou zničiť počítač. Pripojenie takéhoto USB kľúča, ktorý je nabitý energiou, znamená automatické zničenie počítača. O takomto prípade by vedeli rozprávať na jednej americkej univerzite, kde škoda dosiahla až 60 000 dolárov.

Únik dát

Ďalším nebezpečným kľúčom je taký, ktorý sa pri pripojení tvári ako klávesnica. Ide o USB kľúč, ktorý vyzerá na prvý pohľad úplne obyčajne, avšak vo svojom vnútri ukrýva miniatúrny počítač s procesorom aj pamäťou. Po jeho pripojení nenaskočí ako ďalší disk v položke “Tento počítač”, ale zobrazí sa ako ďalšia klávesnica, ktorú nepreveruje žiaden antivírusový softvér. Váš počítač ho preto nevyhodnotí ako hrozbu a ľahko dokáže prekonať aj skutočne sofistikovaný bezpečnostný systém. 

Po pripojení tohto zvláštneho typu USB kľúča sa spustí script, ktorý dokáže na pripojenom počítači robiť čokoľvek sa mu zachce. A toto môže slúžiť ako účinný konkurenčný boj, kedy z vášho počítača budú odoslané e-maily, ktoré by ste vy nikdy neposlali, či zaslanie vašich kontaktov konkurencii alebo odcudzenie všetkých citlivých dát z vášho počítača. 

Pozor na GDPR

Keďže v súčasnosti platí európske nariadenie GDPR o ochrane osobných údajov, mali by ste sa vystríhať podobným banálnym pochybeniam. Ak však predsa príde k bezpečnostnému incidentu vo vašej firme či organizácií, majte na pamäti, že musíte informovať Úrad na ochranu osobných údajov i dotknuté osoby. Podľa prešetrenia rozsahu úniku údajov a ostatných okolností vám spomínaný úrad môže udeliť sankcie, medzi ktorými sú aj finančné pokuty.

The post Pozor na USB kľúče, môžu vám vykradnúť databázu i zničiť počítač appeared first on Ochrana-online.sk.

V zdĺhavej správe sa uvádza, že spoločnosť Sprint zhromažďovala informácie o ľuďoch podľa podmienok nariadenia GDPR a odvoláva sa pritom na oprávnený záujem.

Nevyžiadaná pošta?

Jeden z príjemcov tejto elektronickej pošty však tvrdil, že to bol jeho prvý kontakt akéhokoľvek druhu so spoločnosťou, a preto sa jednalo o nevyžiadanú poštu. Všimol si však, že URL adresa na aktualizáciu preferencií obsahuje reťazec čísel. Následnou úpravou jednej z číslic sa dostal k osobným informáciám každého zo zoznamu, na ktorý boli hromadné e-maily rozposlané.

V súčasnosti už odkaz nezobrazuje osobné informácie, ale presmerúva ľudí na tzv. Opt-out stránku, kde sa používateľ môže odhlásiť zo spomínanej služby.

Ochranca osobných údajov?

Riaditeľ firmy Sprint Education, Guy Lewis, potvrdil, že vždy predtým ako začnú aktívne spracovávať údaje svojich zákazníkov, zašlú e-maily obsahujúce informácie o zbere a spôsobe ich spracovania. Zákazníci potom môžu upraviť svoje GDPR preferencie v Preferenčnom centre. Tým sa firma snaží prezentovať ako spoločnosť, ktorá berie ochranu údajov a súkromia s najväčšou vážnosťou.

Dodal, že údaje, ktoré mohli byť zobrazené, boli a aj sú verejne dostupné. Ako príčinu tohto incidentu uviedol nepozornosť člena tímu, ktorý hromadne odosielal e-maily a a zabudol vypnúť „sledovanie klikov” pre linky odkazujúce na ich Preferenčné centrum. Hneď ako si tím túto chybu všimol odosielanie bolo zastavené. Predpokladá sa, že takýto e-mail bol doručený menej ako 250 zákazníkom. 

Udelia pokutu?

Toto zlyhanie však umožnilo niekomu prezerať údaje iných ľudí, čo by mohlo byť v rozpore s Článkom 32 nariadenia GDPR. Ako argument môže spoločnosti slúžiť aj to, že ak šlo skutočne o verejné údaje, úroveň bezpečnosti bola primeraná tomuto riziku, pretože riziko spojené s odcudzením údajov, je veľmi nízke. Zatiaľ nie je jasné, či niektorý regulačný úrad bude tento incident preverovať. 

The post Kuriozitné porušenie nariadenia GDPR appeared first on Ochrana-online.sk.

Slovenská republika novelizovala zákon na ochranu oznamovateľov, ktorý platil od roku 2015 ako Zákon číslo 307/2014 Z. z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti  a o zmene a doplnení niektorých zákonov. Samotný vznik nariadenia iniciovali najmä medzinárodné inštitúcie a dokumenty, ktoré sú pre Slovensko záväzné.

Pôvodné znenie zákona zakázal prenasledovanie alebo iný postih za podanie oznámenia ohľadom protispoločenskej činnosti. Právne tak bola zakotvená ochrana zamestnanca, ktorý v dobrej viere a vo verejnom záujme uviedol skutočnosti, ktoré významnou mierou pomohli objasneniu protispoločenskej činnosti, čiže usvedčeniu páchateľa. Tento zákon taktiež umožnil odmeniť oznamovateľa až 50 násobkom minimálnej mzdy, ak bol páchateľ právoplatne odsúdený zo spáchania trestného činu.

Novela zákona zriadila vznik Úradu na ochranu oznamovateľov. Ide o nezávislý orgán štátnej správy, ktorý pôsobí na celom území Slovenska. Jeho hlavnou náplňou práce je dohliadať na dodržiavanie zákona o ochrane oznamovateľov protispoločenských činností. Okrem toho však bude poskytovať odborné stanoviská a poradenstvo ohľadom tohto zákona, šíriť osvetu o whistleblowingu a tiež odmeňovať oznamovateľov. Predsedu úradu volí a odvoláva Národná rada Slovenskej republiky z dvoch kandidátov, ktorí boli vybraní odbornou komisiou.

Novinkou je aj poskytnutie ochrany rodinnému príslušníkovi, ak je tiež v pracovnoprávnom vzťahu k tomu istému zamestnávateľovi ako samotný oznamovateľ.

Medzi zmenami je aj predĺženie ochrany whistleblowerovi a tiež poskytnutie ochrany tomu, kto urobil oznámenie prostredníctvom médií. Dokonca zvýhodňuje podmienky na získanie finančnej odmeny za oznámenie.

The post Oznamovateľ protispoločenskej činnosti je lepšie chránený appeared first on Ochrana-online.sk.

Sankcie nie sú len finančné

Finančné pokuty za nedodržanie súladu s nariadením GDPR sa môžu vyšplhať do astronomických súm. Napriek tomu môžu byť pre spoločnosti likvidačné aj iné dôsledky z porušenia GDPR. Strata dobrého mena alebo ochromenie prevádzky dokážu niekedy spoločnosti ublížiť oveľa viac.

Zneužívanie GDPR

S príchodom GDPR sa otvorili aj nové možnosti ako ho zneužiť, pretože z nariadenia sa stal nástroj počítačovej kriminality.

Podľa GDPR musia organizácie odpovedať na žiadosti o prístup k osobným údajom bez zbytočného odkladu a najneskôr do jedného mesiaca od vašej žiadosti. Útočníci však môžu úmyselne zaplaviť váš systém týmito požiadavkami. Takýto útok kombinovaný s tradičnejšou formou DoS útoku (odopretia služby) by mohol spoločnosti poriadne uškodiť. Ich odstraňovanie v závislosti od rozsahu by mohlo zamestnať poverený personál aj na niekoľko mesiacov.

GDPR DoS útok (odopretie služby) môže byť iniciovaný kýmkoľvek. Hacktivisti, nespokojní zamestnanci či rôzne hnutia tak získali k dispozícii mocný nástroj. Hoci spoločnosti môžu ignorovať jednotlivca, ktorý by predložil tisíc žiadostí o prístup ku svojim údajom, nemôžu ignorovať tisíc jednotlivcov.

Takto postihnutej organizácií potrvá vybavenie všetkých nevyriešených prípadov. Ak by sa takéto incidenty konali vo väčšom merítku, mohli by úplne narušiť každodennú rutinu a prinútiť organizácie sústrediť všetky svoje sily na odstránenie problému.

Z tohto dôvodu je skutočne dôležité, aby boli organizácie pripravené čeliť podobným hrozbám a nepodceňovali situáciu.    

The post GDPR v boji proti kybernetickým zločinom appeared first on Ochrana-online.sk.

Kto sa s ním musí popasovať?

Nariadenie GDPR sa vás týka, ak sa vaša spoločnosť zaoberá údajmi občanov EÚ, pôsobí alebo sídli v EÚ, monitoruje správanie obyvateľov EÚ alebo ponúka produkty občanom EÚ. V podstate, ak vykonávate marketingovú činnosť alebo podnikáte v EÚ, mali by ste dodržiavať GDPR.

Je niekoľko krokov, ktoré by ste mali poznať, aby ste dodržali požiadavky GDPR:

1.GDPR tím

Budete musieť vymenovať zodpovednú osobu (DPO), bude mať na starosti váš tím GDPR, ktorý bude mať prístup ku všetkým zdrojom údajov vo vašej organizácii. K činnosti tohto tímu by malo patriť vykonávanie auditu o uchovávaní a používaní osobných údajov. Okrem toho by mal byť váš GDPR tím nápomocný pri kontrolách, pri odstraňovaní nedostatkov kontrol, pri školeniach a pri riešení narušení údajov, ktoré sa môžu vyskytnúť.

2. Identifikácia zdrojov osobných údajov

Váš tím GDPR by mal zohľadňovať všetky inventáre a aplikácie, ktoré prenášajú, spracúvajú alebo uchovávajú osobné údaje. Okrem toho by mal kategorizovať a označovať takéto zdroje. Je dôležité uvádzať zoznam činností spracovania údajov, pretože proces overenia sa tým zjednoduší.

3. Správa a zodpovednosť

Váš tím GDPR by mal školiť vašich zamestnancov a dodávateľov tretích strán o tom, ako sa nariadenie GDPR týka vašej spoločnosti. Tento tím musí tiež určovať toho, kto by mal mať prístup k osobným údajom, povahu týchto údajov, ktoré majú byť prístupné a ich použitie.

Okrem toho by ste pravidelne kontrolovať dodávateľov a dokumentovať všetky zákazky tak, aby spĺňali požiadavky stanovené GDPR.

4. Ochrana údajov a adries

Jedným z najjednoduchších spôsobov ochrany osobných údajov je vymazať údaje, ktoré už nie sú potrebné. Je však nevyhnutné, aby sa preskúmala politika vašej spoločnosti k ochrane osobných údajov, tým sa zistí, či je v súlade s GDPR. Súhlasy s ochranou osobných údajov by ste mali zaznamenávať a uchovávať, aby mohli byť preukázané ako dôkazy. Ak súhlasy musia byť aktualizované, musia byť jednoduché a transparentné.

Budete tiež musieť načrtnúť opatrenia na zvládnutie narušenia údajov. Mali by zahŕňať odhalenie skorších porušení, nahlasovanie, riadenie a vyšetrovanie. Je veľmi dôležité, aby ste prehodnotili tieto postupy narušenia údajov tak, aby zahŕňali včasné protokoly, ktoré spĺňajú oznamovacie požiadavky pre ľudí a orgány dohľadu EÚ.

5. Pravidelné hodnotenia

Mali by ste pravidelne vyhodnocovať zdroje údajov. Tiež je potrebné vykonávať technické opatrenia, ktoré dokazujú, že chránite všetky činnosti spracovania údajov vo vašej spoločnosti.

6. Dodávatelia a distribútori

Ak obdržíte potenciálnych zákazníkov alebo údaje o týchto zákazníkoch od externých strán, je vašou povinnosťou zabezpečiť, aby tieto údaje a zoznamy zákazníkov boli v súlade s GDPR skôr, než ich oslovíte. Dokonca aj vtedy, ak získate údaje od tretej strany, ich kontaktovaním porušujete GDPR.

Strašiakom sú sankcie

Nedodržanie pravidiel GDPR by vás mohlo stáť množstvo peňazí, ktoré vám vytiahnú z vrecka právne poplatky a pokuty. A čo je ešte horšie, môže to poškodiť dobré meno a značku vašej organizácie

The post 6 krokov k dodržaniu GDPR appeared first on Ochrana-online.sk.

Na aké zmeny by ste sa mali pripraviť?

Dôvodov, pre ktoré vám môžu udeliť pokutu je pomerne veľa. Preto neodporúčame zanedbať prípravu na zavedenie GDPR do praxe.

V prvom rade si musíme ujasniť, že po novom budú pod pojem “osobný údaj” spadať nie len osobné údaje ako sú meno, priezvisko, fotografia, odtlačok a podobne, ale aj technické údaje typu IP adresa, či súbory cookies. Nové pravidlá sa tak týkajú každého, kto pracuje aspoň s jedným z týchto údajov, alebo cez neho takéto údaje len prechádzajú.

Do platnosti prichádza aj niekoľko nových povinností ako napríklad: povinnosť nominácie zodpovednej osoby, prísnejšie požiadavky na súhlas pri spracovaní osobných údajov alebo povinnosť oznámiť porušenie ochrany osobných údajov jednotlivcom aj regulátorovi do 72 hodín.

Externí sprostredkovatelia dát budú niesť rovnakú zodpovednosť ako prevádzkovatelia, no zároveň budú povinní viesť zoznamy spracovateľských operácií pre každého klienta a prevádzkovateľa zvlášť. Medzi iným je sprostredkovateľ povinný informovať prevádzkovateľa o tom, že porušil ochranu osobných údajov.

Do akej výšky sa môžu jednotlivé pokuty vyšplhať?

Výška pokuty sa môže vyšplhať až do výšky 20 miliónov eur alebo do 4% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia), no všetko záleží najmä od ustanovení, ktoré boli porušené. Tieto priestupky sú rozdelené podľa vážnosti do dvoch kategórií, ktoré majú rozdielne výšky pokút.

Pokutu v maximálnej výške 10 miliónov eur, alebo 2% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia) dostanete napríklad za porušenie týchto nariadení:

• súhlas rodiča pri spracovaní osobných údajov dieťaťa,
• implementácia organizačných a technických opatrení ochrany súkromia do návrhu systému,
• spracovatelia a prevádzkovatelia musia implementovať dostatočné opatrenia pre dostatočnú bezpečnosť osobných údajov,
• spracovanie osobných údajov môže prebiehať len v súlade s inštrukciami prevádzkovateľa,
• prevádzkovateľ musí nahlásiť únik osobných údajov kompetentným autoritám do 72 hodín od zistenia úniku.

Pokutu v maximálnej výške 20 miliónov eur, alebo 4% celosvetového ročného obratu danej firmy (podľa toho, ktorá suma je vyššia) dostanete za nedodržanie týchto nariadení:

• spracovanie osobných údajov musí byť v súlade so zákonom,
• prevádzkovateľ musí vedieť preukázať, že užívateľ súhlasil so spracovaním osobných údajov,
• prevádzkovateľ musí vedieť poskytnúť transparentné informácie a dostatočnú komunikáciu pre možnosť uplatnenia práv užívateľov,
• užívateľ musí mať možnosť prehliadať, prípadne vymazať svoje osobné údaje,
• prevádzkovateľ musí užívateľom oznamovať každé schválenie, vymazanie, obmedzenie alebo spracovanie osobných údajov.

Ako sa vyhnúť pokute?

Jediný spôsob ako sa vyhnúť pokute je dôsledná príprava ešte pred zavedením nariadenia do praxe. Veľa problémov vyrieši dôkladné šifrovanie osobných údajov, keďže pri úniku zašifrovaných osobných údajov sa neukladá pokuta a nie ste ani povinný oznámiť tento únik užívateľom. Takýto únik sa netrestá, no stále je dôležité nahlásiť ho kompetentným autoritám.

V prípade, že chcete byť včas pripravený, požiadajte o bezplatnú cenovú ponuku. Ochranu osobných údajov môžeme vziať jednoducho do vlastných rúk.

The post GDPR pokuty môžu zničiť vašu firmu appeared first on Ochrana-online.sk.