W jaki sposób doszło do naruszenia w Tauronie? Czy kodeksy postępowania to dobre zabezpieczenie przy transferze danych? Do jakiego wycieku doszło w Zoom? Czy policja zyska nowe uprawnienia, które pomogą w walce z cyberprzestępczością? Jakie zmiany planuje wprowadzić Ministerstwo Zdrowia w odniesieniu do monitoringu w szpitalach? Jaką decyzję podjęła EROD w sprawie WhatsApp Ireland? Czym powinien wyróżniać się bezpieczny komunikator? Czy UODO słusznie nałożył karę na SGGW? Jak wysoką karę otrzymał Amazon za targetowanie reklam?
MULTIMEDIA | |
---|---|
#RODOA [02.08.2021] | #RODOA [08.08.2021] |
Obejrzyj na YouTube | |
Odsłuchaj na: Spotify, Google Podcasts, RSS | |
Pobierz PDF | Pobierz PDF |
Wyciek danych z Taurona - ciąg dalszy historii wycieku
- Nagrania rozmów klientów Taurona z konsultantami pobrał internauta z Piły, który zgłosił błąd serwera Tauronowi i zażądał okupu. 5 sierpnia 2021 r. został zatrzymany przez policję
- Powodem wycieku było udostępnienie nagrań na webserwerze bez żadnego zabezpieczenia dostępu do katalogów. Infrastruktura nie była monitorowana ani testowana pod kątem bezpieczeństwa, a przynajmniej nikt nie zauważył, że dane klientów Taurona pobrać może każdy przez co najmniej miesiąc
- Z odpowiedzi rzeczniczki Tauronu wynika, że to partnerzy Taurona odpowiadali za wybór infrastruktury oraz jej bezpieczeństwo, czyli zlecanie testów bezpieczeństwa i monitoring.
- Partnerami Taurona wspomnianymi przez rzeczniczkę okazały się mało znanane spółki. Spółki te oparły swoje działania wykonywane na rzecz Taurona o usługi jeszcze jednego podwykonawcy, tworząc długi łańcuch dostaw. Takie rozwiązanie nie ułatwiło reakcji na incydent.
Źródło: https://niebezpiecznik.pl/post/to-on-pobral-dane-klientow-taurona/?similarpost=TOP10
Kodeksy postępowania jako zabezpieczenie przy transferze danych
- Głównym celem wytycznych jest wyjaśnienie artykułu 40 ust. 3 RODO, który dopuszcza stosowanie kodeksów postępowania jako odpowiednich zabezpieczeń przy przekazywaniu danych osobowych do państw trzecich. Przepis ten umożliwia bowiem podmiotom z państw trzecich stosowanie zatwierdzonych kodeksów, jako mechanizmu zabezpieczającego przekazywanie danych, o którym mowa w. 46 ust. 2 lit. e
- Nowy dokument uzupełnia Wytyczne EROD 1/2019 dotyczące kodeksów postępowania ustanawiające ogólne ramy przyjmowania kodeksów postępowania.
- Uwagi należy przesłać najpóźniej do 1 października 2021 r., korzystając z formularza dostępnego na stronie internetowej EROD: https://edpb.europa.eu/our-work-tools/documents/public-consultations/reply-form_pl?node=1917.
- Więcej informacji na temat konsultacji publicznych znajduje się na stronie EROD: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2021/guidelines-042021-codes-conduct-tools-transfers_pl
Źródło: https://uodo.gov.pl/pl/138/2122
Zoom zapłaci 85 mln dol. za naruszenia prywatności użytkowników
- Bardzo popularna podczas pandemii koronawirusa platforma Zoom zgodziła się zapłacić w ramach ugody 85 mln dolarów za naruszenia prywatności jej użytkowników oraz poprawić praktyki dotyczące cyberbezpieczeństwa swojego produktu
- Pozew zbiorowy przeciwko Zoomowi,w ramach którego zawarta została ugoda, skierowano przeciwko firmie w marcu 2020 roku, krótko po wybuchu pandemii koronawirusa
- 14 grup użytkowników zarzuciło Zoomowi, że bez ich wiedzy i zgody przekazywał prywatne dane osobowe zewnętrznym firmom, a także – przez brak właściwych działań z zakresu cyberbezpieczeństwa – umożliwił cyberprzestępcom zakłócanie prowadzonych z wykorzystaniem platformy telekonferencji.
- Aby ugoda w ramach pozwu stała się prawomocna, musi zostać zatwierdzona orzeczeniem sądu na poziomie federalnym
- Jeśli tak się stanie, użytkownicy Zooma korzystający z płatnej wersji platformy będą mogli z tytułu ugody uzyskać zwrot 15 proc. kwoty abonamentu, bądź 25 dolarów. Inni użytkownicy będą mogli z kolei otrzymać rekompensatę w wysokości 15 dolarów.
- Zoom zgodził się również na wprowadzenie pewnej bardzo istotnej zmiany w działaniu swojej usługi – każdorazowe powiadamianie użytkowników o tym, że podczas telekonferencji ktoś używa zewnętrznych narzędzi, pozwalających np. na zapis rozmowy.
- Źródło: https://www.cyberdefence24.pl/zoom-zaplaci-85-mln-dol-za-naruszenia-prywatnosci-uzytkownikow
Wykradziono dane osobowe klientów Taurona
- Touron otrzymał informację, że nieuprawnione osoby mogły wejść w posiadanie rozmów telefonicznych niektórych jego klientów, a przez to także danych osobowych obejmujących m.in. i. imię i nazwisko, datę urodzenia, adres punktu poboru energii, numer telefonu, adres e-mail, a w przypadku niektórych osób, także numer PESEL
- W przypadku firm ujawnione mogły zostać: imię i nazwisko, nazwa firmy, numer NIP, adres punktu poboru, adres korespondencyjny, e-mail, numer telefonu, imię i nazwisko pełnomocnika, REGON
- Incydent dotyczy wyłącznie niektórych rozmów telefonicznych, w których to konsultanci reprezentujący TAURON, dzwonili do klientów.
- Więcej informacji dostępnych jest na stronie Taurona https://www.tauron.pl/komunikat-dane
Źródło: https://niebezpiecznik.pl/post/wykradziono-dane-osobowe-klientow-taurona-w-tym-nagrania-rozmow/
Powstaje Centralne Biuro Zwalczania Cyberprzestępczości
- Rząd chce, by Policja zyskała nowe uprawnienia, które pomogą jej w walce z internetowymi przestępcami. W tym celu planuje powołać Centralne Biuro Zwalczania Cyberprzestępczości – poinformowali o tym na wtorkowej konferencji premier Mateusz Morawiecki i minister Mariusz Kamiński.
- CBZC ma ono tworzyć oprogramowania służące przełamywaniu różnego rodzaju zabezpieczeń, m.in. haseł czy szyfrowanej komunikacji.
- CBZC może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe (…) oraz ich używać w celu rozpoznawania, zapobiegania i zwalczania przestępstw, (…), popełnianych przy użyciu nowoczesnych technologii teleinformatycznych (…)
- Przewidziana w projekcie kontrola nad stosowaniem tworzonych narzędzi do przełamywania zabezpieczeń jest analogiczna do tej stosowanej przy zakładaniu podsłuchów.
Kamery w szpitalach: większe bezpieczeństwo, mniej intymności pacjenta
- Ministerstwo Zdrowia zmienia przepisy o monitoringu w placówkach leczniczych, Chce, by kierownik placówki decydował, gdzie umieścić kamery, o ile są niezbędne w procesie leczenia lub dla bezpieczeństwa pacjentów.
- Może on uznać, że są konieczne także w toalecie – ostrzega część prawników.
- Obecnie szpitale, które wdrożyły monitoring na salach operacyjnych, by zadbać o bezpieczeństwo, przegrywają w sądach z Rzecznikiem Praw Pacjenta. Ten zarzuca im naruszenie godności pacjentów, zwłaszcza gdy ci nie wyrazili świadomej zgody na nagrywanie.
- Zgodnie z obowiązującym art. 23a ustawy o działalności leczniczej szpital może wdrożyć monitoring w pomieszczaniach, w których są udzielane świadczenia zdrowotne oraz miejscach pobytu pacjentów, w szczególności pokojach łóżkowych, pomieszczeniach higieniczno-sanitarnych, przebieralniach, szatniach, jeżeli wynika to z przepisów odrębnych.
Źródło: https://www.prawo.pl/zdrowie/zmiany-w-przepisach-o-monitroringu-w-szpitalach,509754.html
EROD przyjmuje wiążącą decyzję w sprawie WhatsApp Ireland
- Organy nadzorcze, których sprawa dotyczy zgłosiły sprzeciwy zgodnie z art. 60 ust. 4 RODO dotyczące m.in. stwierdzonych naruszeń RODO, tego, czy konkretne dane, o których mowa, należy uznać za dane osobowe i konsekwencji z tym związanych, a także adekwatności przewidywanych środków naprawczych
- Po rozpatrzeniu sprzeciwów organów nadzorczych, których sprawa dotyczy, irlandzki organ nadzorczy nie był w stanie osiągnąć konsensusu, w związku z czym poinformował EROD, że nie zamierza się przychylać do zgłoszonych sprzeciwów
- W dniu 28 lipca 2021r. EROD przyjęła wiążącą decyzję. Decyzja ta dotyczy podstaw sprzeciwów, które uznano za „mające znaczenie dla sprawy i uzasadnione” zgodnie z wymogami z art. 4 pkt 24 RODO. EROD wkrótce formalnie dokona notyfikacji decyzji organom nadzorczym, których sprawa dotyczy
- Na stronie internetowej EROD opublikowano oświadczenie prasowe niniejszej sprawie dostępne pod linkiem: EDPB adopts Art. 65 decision regarding WhatsApp Ireland | European Data Protection Board (europa.eu)l
Źródło: https://uodo.gov.pl/pl/138/2122
Które komunikatory są bezpieczne, a które nie?
- Jesteście ciekawi jakie komunikatory są bezpieczne, a które nie? Koniecznie sprawdźcie opracowanie Kol. Marka Williamsa CISSPa z Australii: https://lnkd.in/erR3b_v
- Bezpieczny komunikator internetowy musi być godny zaufania, ponieważ to właśnie za jego pośrednictwem będziemy wysyłać wiadomości również z poufnymi informacjami
- Czym się powinien wyróżniać bezpieczny komunikator? Musicie sprawdzić to sami.
- Bezpieczny komunikator musi oferować szyfrowanie po stronie klienta (z ang. end-to-end) i dzięki temu zarówno treść wiadomości, jak i klucz używany do odszyfrowania wiadomości są niemożliwe do odczytania przez osoby trzecie.
- Bezpieczny komunikator musi oferować możliwość automatycznego usuwania wiadomości. Nie wierzcie w kopie zapasowe wiadomości przechowywane w chmurze i nie stawiajcie na ich zapis jedynie w lokalnej pamięci urządzenia.
- Idealnie byłoby, aby aplikacja oferowała dostęp do siebie jedynie po wpisaniu hasła, kodu lub przejścia przez autentykację systemem biometrycznym.
- Źródło: Linkendin oraz Jakie są bezpieczne komunikatory internetowe? Wybieramy najlepsze (antyweb.pl)
WSA oddalił skargę SGGW na decyzję Prezesa UODO. SGGW odwoływało się od kary na kwotę 50 tys. zł.
- Sprawa, którą zajmował się WSA dotyczy decyzji Prezesa UODO związanej z naruszeniem ochrony danych osobowych kandydatów na studia w SGGW z listopada 2019 roku. Doszło wówczas do kradzieży prywatnego laptopa pracownika uczelni, na którym zostały zapisane dane osobowe kandydatów na studia.
- Przed sądem uczelnia próbowała wykazać, że to nie ona była administratorem danych, jakie znajdowały się w skradzionym prywatnym komputerze jej pracownika. Jej zdaniem to pracownik był administratorem tych danych, ponieważ bez wiedzy administratora, jak i z naruszeniem wewnętrznych procedur, przetwarzał dane rekrutacyjne studentów z okresu pięciu lat na prywatnym sprzęcie.
- WSA zgodził się z UODO, iż uczelnia naruszyła szereg zasad RODO, w tym m.in. zasadę integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych
- WSA potwierdził też, że UODO prawidłowo nałożył karę na uczelnię, uwzględniając wszystkie okoliczności zawarte w art. 83 ust., 2 RODO.
Źródło: https://uodo.gov.pl/pl/138/2128
Rekordowa kara dla Amazona za targetowanie reklam niezgodnie z RODO
- 746 mln eurokaryzapłaci firma Amazon za niezgodne z prawem targetowanie reklam – zadecydował organ ochrony danych w Luksemburgu, gdzie firma ma swoją siedzibę.
- Decyzja luksemburskiego organu zapadła w wyniku skargi złożonej przez francuską organizację La Quadrature du Netw imieniu 10 tys. osób, których prawa były naruszane. Amazon ma 6 miesięcy na dostosowanie się do niej. Jeśli tego nie zrobi, poza 746 milionami euro kary zapłacił dodatkowe 746 tys. euro za każdy dzień niezgodnego z prawem przetwarzania danych swoich użytkowników.
- Decyzja w jej sprawie może mieć kapitalne znaczenie również dla procesu wytoczonego z takich samych powodów Facebookowi przez austriacką organizację noyb (na której czele stoi Max Schrems)
- Jeśli decyzja luksemburskiego organu zostanie utrzymana firmy internetowe nie będą mogły jednak targetować reklam w oparciu o dane swoich użytkowników i użytkowniczek, twierdząc, że to jest element świadczonej usługi, czy to zakupów online, medium społecznościowego czy serwisu streamingowego.
Źródło: Rekordowa kara dla Amazona za targetowanie reklam niezgodnie z RODO | Fundacja Panoptykon
Zapisz się na nasz newsletter i bądź na bieżąco z RODO aktualnościami
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.