Legislatíva EÚ

V Spojených štátoch amerických má sídlo množstvo globálnych korporácií a veľké množstvo firiem tam ukladá dáta alebo využívajú služby, ktoré americké gigantické spoločnosti sprostredkúvajú. Biznis sa nezaobíde bez predávania osobných údajov do Spojených štátov amerických.

Pomocou prijatia takzvaného Safe Harbor sa Európska únia snažila vytvoriť priestor pre ochranu osobných údajov, ktoré boli distribuované do Spojených štátov amerických. K tomuto sa mohli podnikatelia prihlásiť a vytvoriť tak dostatočný priestor na ochranu osobných dát v kontexte európskej legislatívy. Súdny dvor EU na základe žalôb od aktivistov toto zrušil.

Po tom ako Európska únia prijala GDPR, sa pokúsila o Privacy Shield, čo je vylepšený režim ochrany osobných údajov oproti Safe Harbor. Európsky súdny dvor zrušil Privacy Shield s odôvodnením, pretože tam chýba dostatočná ochrana osobných údajov pred sledovaním, ktoré dovoľujú americké zákony.

Správcovia osobných údajov

Po tomto rozhodnutí sa množstvo podnikateľov rozhodlo prejsť na iný režim predávania osobných údajov do krajín mimo EHP, ako napríklad štandardné zmluvné doložky alebo záväzné podnikové pravidlá. Tímto krokom sa alebo problém zo vzťahom k Spojením štátom americkým nevyriešil. Záväzné podnikové pravidlá ani štandardné zmluvné doložky nemajú nad americkú legislatívu, ktorá dáva možnosť sledovať občanov.

Európska únia sa momentálne tohto problému zbavila ladne. Ako vyplýva z rozhodnutia Súdneho dvora, tak z výkladových materiálov vychádza, že správcovia osobných údajov, ktorí predávajú osobné údaje do Spojených štátov amerických majú za úlohu analyzovať vplyv amerických zákonov na predávané osobné údaje.

V prípade, ak prídu na nedostatky ohľadom ochrany osobných údajov, ktoré sa týkajú záväzných podnikových pravidiel alebo štandardných zmluvných doložiek, musí byť odovzdávanie osobných dát do USA zastavené.

Je nutné vytvoriť vhodnú legislatívu

Ako hlavný problém môžeme identifikovať sledovanie elektronickej komunikácie, ustanovenou americkou legislatívou. Momentálne asi neexistuje bezpečná cesta na predávanie osobných dát do Spojených štatov amerických, okrem zbierania súhlasov od každého subjektu, ktorého osobné údaje sa majú odovzdať do USA. Tento spôsob v obchodnej praxi môžeme zaradiť ako nepraktický. 

Očividne Európska únia nie je schopná priniesť dobré riešenie problému. Vzniknutý problém prenáša na správcov údajov, ktorí nie sú schopní to vyriešiť, nakoľko ide o konflikt medzi americkou a európskou legislatívou. Množstvo podnikateľských subjektov, naprieč celou Európou, zaplatili veľké množstvo finančných prostriedkov za GDPR súlad.

Ostáva tak požadovať od oboch strán, či už EÚ ale aj USA, aby sa zodpovedne postavili k danému problému a nepresúvali zodpovednosť na podnikateľské subjekty. Ich úlohou je prijať legislatívne riešenie tohto problému, aby obe strany boli spokojné.

The post Predávanie osobných údajov medzi USA a EU – zlyhanie regulátorov? appeared first on Ochrana-online.sk.

Na vážnu chybu prišiel šikovný Slovák

Chybu v navigácii Waze objavil Slovák Peter Gasper. Vďaka tejto chybe bolo možné monitorovať a do istej miery aj identifikovať konkrétnych užívateľov tejto aplikácie. Google opravil túto nájdenú chybu a Peter Gasper dostal aj odmenu.

Chyba v aplikácii bola v API vo webovej verzii. V tejto verzii je možné, aby si ktokoľvek pozrel informácie z navigácie, ako napríklad: nahlásené prekážky a komplikácie v doprave. Ikonky zobrazujúce sa na mape patria momentálne cestujúcim, ktorí využívajú túto aplikáciu, ale podrobnejšie dáta o nich web neukazuje.

Používatelia tejto aplikácie majú identifikátor

Peter Gasper zistil, ako je na webe spravené zobrazovanie ikon šoférov. Prišiel na záver, že GPS lokalita bola spárovaná s unikátnym identifikátorom daného šoféra, ktorá sa nemenila.

Identifikátor nebol v priebehu času menený a aj keď na webe nebol zviditeľnený, tak šikovný Peter Gasper cez API navigácie tento identifikátor získal.

Šikovný slovenský programátor na svojom blogu ukázal, ako sa vďaka týmto identifikátorom, ktoré sa nemenia dá sledovať poloha používateľov aplikácie Waze. Aplikácia generuje identifikátory a kybernetický útočník by nemal mať spôsob, ako spárovať identifikátor s reálnou identitou osoby.

Identifikovať osobu môžeme na základe dát o polohe. Touto problematikou sa zaoberali aj vedecké štúdie. Gasper sa opiera o jednu, kde prehlasuje, že na identifikovanie totožnosti 95% ľudí stačia len 4 špecifické body záujmu na mape. Odborníci tvrdia, že pohyb každej osoby je špecifický a odlišný minimálne v detailoch od iných osôb.

Peter Gasper objavil aj ďalšiu chybu

Hackeri mohli mať k dispozícii aj druhú chybu, ktorú táto aplikácia mala. Slovák ju počas pátrania zistil.

Ak nahlásite dopravný problém alebo prekážku, tak mobilná aplikácia zobrazí vašu prezývku iba v prípade, že necháte komentár. Cez API bolo možné zistiť prezývky všetkých používateľov a dokonca aj tých, ktorí nezanechali komentár. Prezývky boli prístupné spolu s identifikátorom.

Aplikácia odosielala identifikátor a prezývku do aplikácie každého jedného šoféra, ktorý prešiel okolo prekážky alebo nehody. Pomocou API sa ale dá po mape premiestňovať virtuálne a nie je potrebné meniť svoju fyzickú polohu. Internet dáva priestor pre dohľadanie prezývok.

Stotožniť osobu je možné pomocou e-mailových adries či iných účtov a identifikovať s reálnymi osobami je možné s trochou snahy. Používatelia majú častokrát rovnakú prezývku vo viacerých účtoch. Ľudia taktiež častokrát používajú svoje skutočné meno, na čo prišiel slovák Peter Gasper.

Zbieranie dát

Potenciálni hackeri by sledovali dopravné uzly a frekventované cesty, aby mohli spárovať identifikátor a prezývky používateľov tejto služby. Stačilo by im viac počítačov a rôzne IP adresy, aby Waze nespozoroval podozrivú aktivitu.

Peter Gasper ukázal, že je možné informácie zhromažďovať automatizovanými skriptami. V databáze záznamov by sa vyskytovali aj reálne mená používateľov tejto aplikácie. Vytvorenie skriptov trvalo približne len štyri hodiny.

Príprava na útok by zabrala len niekoľko dní. Identifikovať osoby by bolo možné v priebehu pár týždňov. Podľa slovenského výskumníka mohli byť tieto chyby v systéme niekoľko rokov.  Za oznámenie tejto chyby dostal Peter Gasper od Googlu okolo 1 110 eur.

The post Chyba v aplikácii Waze umožňovala sledovať používateľov, na túto chybu prišiel Slovák appeared first on Ochrana-online.sk.

V minulosti taktiež zaznamenali vyčíňanie tohto škodlivého programu. Centrum znova zaznamenalo nárast útokov tohto softvéru. Útokom sa dokonca nevyhli ani jednotlivci.

Ako postupuje malvér Emotet

SK-CERT odporúča byť opatrný. Elektronická pošta býva využívaná Emotetom ako vstup do Vášho počítača. Úlohou je infikovať zariadenie a následne rozposlať takzvané phishingové maily kontaktom, ktoré nájde v napadnutej emailovej schránke.

Ako ďalší krok podnikne stiahnutie iného malvéru, ktorý má za úlohu ukradnúť osobné dáta. Nakoniec ransomvér zašifruje úložisko s dátami.

Ako zabezpečiť Váš počítač?

Odborníci odporúčajú, aby ste svoj softvér udržiavali aktuálny. Tento malvér sa spolieha na neaktuálnosť zariadení, do ktorých je schopný vniknúť. Aktuálne verzie softvéru sú zabezpečené a tento škodlivý program sa nevie dostať cez ochranu.

Je rozumné neotvárať obsah od neznámych alebo podozrivých osôb či už e-maily, URL odkazy alebo dokonca prílohy. Neodporúča sa povoľovanie makier v dokumentoch a buďte ostražitý v prípade správ od cudzincov, ktorí žiadajú citlivé alebo osobné údaje.

The post Slovenské národné centrum kybernetickej bezpečnosti varuje pred malwérom menom Emotet appeared first on Ochrana-online.sk.

Táto informácia sa nachádza už v samotnej „poučke” pojmu osobný údaj, ktorá hovorí: „Osobný údaj je akákoľvek informácia, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby.“

Táto časť vety nám úplne stačí na to, aby sme porozumeli, že fotografia skutočne osobných údajom je. A to najmä preto, že fyzickú osobu vieme na základe fotografie odlíšiť a identifikovať od iných osôb napriek tomu, že pri fotografií nie je uvedené žiadne meno či priezvisko. 

Avšak, je dôležité povedať, že fotografia sa už v dnešnej dobe nepovažuje za citlivý údaj. Výnimku tvoria fotografie tváre, ktoré sú spracovávané zariadením slúžiacim na snímanie biometrických údajov fyzickej osoby. 

Čo považujeme za spracúvanie osobných údajov v prípade fotografie?

V prvom rade sem neradíme nejasné a rozmazané fotografie, na ktorých danú osobu nemožno žiadnym spôsobom identifikovať.  

Spracúvanie fotografií zamestnávateľom môžeme rozdeliť na 3 zložky:

1. s propagačným cieľom,
2. s cieľom vydania zamestnaneckého preukazu,
3. s cieľom vedenia dochádzky.

Propagácia

Najčastejšie sa týka zverejňovania fotografií zamestnancov na webovej stránke zamestnávateľa, na intranete, vizitkách, firemnom časopise či na propagačných materiáloch.

Mnohé spoločnosti zverejňujú fotografie zamestnancov na svojich webových stránkach. Hlavným dôvodom je lepšia a rýchlejšia komunikácia so zákazníkom, lepšie vybavenie si daného zamestnanca (napr. pracovníka zákazníckeho servisu). Na tento účel sa však vyžaduje súhlas od zamestnanca.  

V prípade intranetu sa zverejňujú fotografie zamestnancov pre zlepšenie komunikácie medzi samotnými zamestnancami. Takisto je potrebný súhlas. 

Firemný časopis je ideálny nástroj na tvorbu firemnej kultúry v podniku, ale aj na informovanie zamestnancov o tom, čo sa v ich podniku práve deje. Ak zamestnávateľ plánuje zverejňovať fotografie zamestnancov z dôvodu jubilea, blahoželania k pracovnému úspechu či dokonca z firemnej akcie, aj v tomto prípade potrebuje súhlas.

Vydávanie zamestnaneckých preukazov

Právnym základom je oprávnený záujem prevádzkovateľa, ktorým je jednoznačná identifikácia zamestnanca pri vstupe do priestorov firmy. 

Vedenie dochádzky

Na vedenie dochádzky zamestnancov sa vo väčšine prípadov dnes už využívajú elektronické dochádzkové systémy vyhotovujúce fotografie zamestnancov pri príchode do firmy.

Zamestnávateľ má tak vyššiu kontrolu pred podvodmi zamestnancov pri evidencii ich dochádzky. V tomto konkrétnom prípade sa súhlas zamestnanca na spracúvanie jeho fotografie nevyžaduje.  

Opäť sme si povedali niečo zaujímavé o GDPR. Veríme, že budete odteraz so všetkými fotografiami narábať v súlade s týmto zákonom. 

The post GDPR a fotografia appeared first on Ochrana-online.sk.

E-mail marketing vyžaduje súhlas

E-mailový marketing je vhodnou stratégiou na získanie potenciálnych zákazníkov. Mnohé spoločnosti na získanie súhlasu so zasielaním e-mailov využívajú takzvané „opt-in” súhlasy. Funguje to tak, že zákazník potvrdí svoj súhlas v rámci webového formulára. 

Double opt-in obsahuje ešte krok navyše, keď zákazník dostane ešte potvrdzujúci e-mail s odkazom. Spoločnosť získa súhlas až keď zákazník na odkaz klikne. Tento double opt-in slúži aj ako spätná kontrola, či ide o skutočného zákazníka a nie o nejaký omyl alebo bota.

E-mail marketing podľa GDPR

Ak spoločnosť dostala súhlas so zasielaním e-mailov ešte pred tým ako vstúpilo do platnosti nariadenie GDPR, nemusí ho spätne žiadať. Dokonca aj keď sa zákazník predtým neprihlásil a vy ho požiadate o súhlas prostredníctvom e-mailu, porušíte predpisy o ochrane súkromia a elektronických komunikáciách. Spoločnosti však môžu svojim zákazníkom poskytnúť možnosť sa prihlásiť k odberu na svojich weboch alebo v aplikáciách.

E-mail marketing treba spravovať

Ukladanie súhlasov so zasielaním e-mailov je tiež dôležité. Všetky informácie by mali byť dostatočne zabezpečené tak, aby nedošlo k ich zneužitiu.

Pre spoločnosti je dôležité zahrnúť možnosť odvolania súhlasu. V prípade e-mailového marketingu to znamená, že zákazník musí mať možnosť odhlásiť z odberu v zasielaných e-mailoch. Ak sa zákazník odhlási, musí sa jeho želaniu bezodkladne vyhovieť, a preto je nutné mať spoľahlivý systém, ktorý bude manažovať súhlasy s odbermi.     

The post Ako ovplyvňuje nariadenie GDPR e-mailový marketing? appeared first on Ochrana-online.sk.

Tlačidlo „Súhlasím“

Určite poznáte pop-up okno, ktoré vás informuje o cookies a máte možnosť sa rozhodnúť či súhlasíte alebo nie. Tieto výzvy sú jednoduchým spôsobom ako získať súhlas používateľov. Zvyčajne ponúkajú aj možnosť preklikať sa k viacerým informáciám a nastaveniam toho, ako a kde sa budú údaje používateľov zdieľať. Avšak všeobecné vyhlásenie o používaní cookies s výzvou na súhlas bez presného určenia účelu nemusí byť dostačujúce. A to aj v prípade, ak je možnosť preklikať sa k podrobnejšiemu rozpisu.

Súhlasné reťazce nemusia byť v súlade

Reťazec súhlasu alebo daisybit je binárna informácia, ktorá môže byť zdieľaná cez internetový reklamný ekosystém na prenos informácie o súhlase používateľa navštevujúceho internetovú stránku. Ak však dodávateľ zhromažďuje súhlas používateľa, nedáva to nadväzujúcej reklamnej sieti právo používať alebo ukladať tieto údaje ani v prípade, že daisybit „poskytol“ povolenie. Na spracovanie týchto údajov by dodávateľ musel overiť samotný súhlas, čo je nemožné, pretože reklamný partner nemá žiadnu priamu interakciu s používateľom. V praxi to znamená, že platformy reklamných technológií nemôžu používať súhlas, ktorý sami nezbierali ani neoverovali.

Zrušenie udeleného súhlasu so spracovaním údajov

Dotknutá osoba má právo na zrušenie súhlasu, ale aj na prístup, opravu či vymazanie osobných údajov bez zbytočného odkladu. Platformy na správu súhlasu musia používateľom uľahčiť možnosť narábať so svojimi údajmi. Ak teda používateľ upraví alebo zruší súhlas prostredníctvom platformy, nastáva problém. Dodávateľ by mal zabezpečiť, že sa informácie aktualizujú vo všetkých spoločnostiach, s ktorými údaje zdieľal. V konečnom dôsledku o zákonnosti platforiem pre manažment súhlasov užívateľov rozhodnú súdy.

The post Platformy pre manažment súhlasov užívateľov a ich súlad s nariadením GDPR appeared first on Ochrana-online.sk.

Kedy môžete kontaktovať zákazníkov bez ich súhlasu?

Kontaktovať svojich zákazníkov bez súhlasu môžete len vtedy, keď si už u vás nakúpili. Sú to teda vaši aktuálni zákazníci, ktorých údaje ste si uložili po predchádzajúcom nákupe. Novinky im môžete zasielať iba v tom prípade, že súvisia s produktom, ktorý si u vás zakúpili. Hoci súhlas svojich zákazníkov nepotrebujete, no musíte ich informovať o účele použitia ich osobných údajov.   

A kedy ich súhlas na kontaktovanie potrebujete?

V prípade, že chcete rozosielať akciovú ponuku či iný reklamný leták, ktorý nesúvisí s predchádzajúcim nákupom vašich zákazníkov, potrebujete získať ich súhlas. Ten sa dáva len na konkrétny účel a podľa nariadenia GDPR je možné ho kedykoľvek odvolať, teda požiadať o ukončenie zasielania newsletterov. Taktiež zákazník môže požiadať o vymazanie svojich osobných údajov z vašej databázy, no aj požadovať informácie o tom, aké údaje o ňom zhromažďujete. Výmaz údajov však nie je možné vykonať vždy. Ako spoločnosť nemôžete vyhovieť zákazníkovi v prípade, že si u vás kúpil produkt, ktorého záručná doba neskončila.

Nový zákazník musí dať vašej spoločnosti súhlas na odber reklamných letákov, napríklad zaškrnutím políčka “Súhlasím s odberom noviniek”. Toto políčko však nemôže byť vopred zaškrtnuté. Pri ňom by sa mal nachádzať aj odkaz na podmienky ochrany osobných údajov. Vaša spoločnosť si taktiež nesmie podmieniť možnosť nakupovať u vás v e-shope tým, že zákazník vám musí dať súhlas na odoberanie newslettera.

Pri udelení súhlasu musíte informovať zákazníka o:

• vašej firme a poskytnúť mu vaše identifikačné a kontaktné údaje,
• účele spracúvania osobných údajov, ktorým je v tomto prípade odber noviniek o vašej firme emailom,
• právnom základe, v tomto prípade súhlase, vďaka ktorému budete informácie spracúvať,
• osobných údajoch, ktoré budete o danej osobe využívať, čiže meno priezvisko a mailová adresa.

The post GDPR sa dotkol aj newsletterov appeared first on Ochrana-online.sk.

Vernostné zľavy

Podľa GDPR musíte požiadať svojich zákazníkov o obnovenie súhlasu so spracovaním osobných údajov. V praxi to znamená, že podpísať súhlas musíte dať všetkým, ktorí majú vernostnú kartičku vašej firmy, no aj novým členom vášho vernostného klubu.

Na hranicu zákona sa dostávate už vtedy, keď týmto súhlasom podmieňujete čerpanie bonusov a zliav z vášho vernostného programu. Ak svojmu zákazníkovi bez podpísaného súhlasu zrušíte členstvo alebo mu neposkytnete výhody z neho plynúce, konáte protizákonne. Pokiaľ zákazník neporušil podmienky členstva a ani ho nezrušil, pôvodný súhlas so spracovaním osobných údajov platí a vy mu musíte poskytnúť výhody.

Ako sa teda máte vysporiadať s nariadením GDPR? Informujte svojich zákazníkov o zmene pravidiel vo svojich letákoch alebo im zašlite mail s odkazom na úplné znenie pravidiel ochrany osobných údajov. Môžete aj telefonicky oslovovať zákazníkov a nahrávať ich súhlasy na opätovné spracovanie, nie je to však len nákladné, ale aj zdĺhavé.

Zavádzajúce účely

Podobné vydieračské taktiky využívajú aj poskytovatelia služieb. Hotel, mobilný operátor alebo dodávateľ energií tvrdia, že potrebujú zákazníkov súhlas so spracovaním osobných údajov, aby im mohli poskytnúť službu. Sú však na omyle.

Tento druh súhlasu je kedykoľvek odvolateľný zo strany zákazníka, a preto by podľa logiky poskytovateľov služieb znamenalo odvolanie súhlasu aj odvolanie zmluvy či objednávky. Týmto tvrdením by však poskytovatelia služieb prišli o nemalé zisky.

V tomto prípade poskytovatelia služieb spracúvajú osobné údaje na iný účel ako tvrdia, pretože ide o údaje nevyhnutné na uzatvorenie a plnenie zmluvy či objednávky.

Odvolanie súhlasu

Každý zákazník alebo zamestnanec má právo odvolať svoj súhlas so spracovaním osobných údajov. Mnohokrát to však môže priniesť veľké komplikácie firmám. Napríklad zamestnanec, ktorého fotografia sa nachádza na firemnej brožúre, sa rozhodne odvolať svoj súhlas. Čo však má robiť firma, ktorá má natlačené tisícky kusov brožúry alebo letákov? Toto rozhodnutie musí jednoducho akceptovať.

Ak sa však firma chce vyhnúť podobným komplikáciám, musí hľadať iné právne základy ako spracovávať údaje či fotografie. Ak ich nenájde, musí pristúpiť k tomu, že bude žiadať dobrovoľný súhlas od svojho zamestnanca.

Firmy však mnohokrát vymýšľajú svojrázne spôsoby, napríklad dávajú podpisovať neodvolateľný súhlas svojim zamestnancom, aby mohli spracovávať ich údaje či fotografie. Samozrejme, podobné výmysly nie sú prijateľné.

The post Nepochopenie GDPR spôsobuje tieto porušenia zákona appeared first on Ochrana-online.sk.