Izraelska armia celem ataku phishingowego

  

Czy uchodząca za jedną z lepiej wyszkolonych sił zbrojnych może być podatna na atak cybernetyczny? Okazuje się, że z użyciem przebiegłej socjotechniki jest to możliwe. Izraelska armia stała się ostatnio celem ataku phishingowego.

Podstęp polegał w tym przypadku na wysyłce na telefony izraelskich żołnierzy zdjęć atrakcyjnych dziewczyn, które miały szukać partnera w celach matrymonialnych.

Aby nawiązać kontakt z przedstawicielką płci pięknej, posiadacz telefonu musiał pobrać specjalną aplikację. Jej instalacja powodowała uruchomienie szpiegującego oprogramowania i przejęcie kontroli nad urządzeniem. W ten sposób atakujący uzyskali dostęp do danych z telefonu takich jak zdjęcia, lokalizacja i kontakty.

Ofiarami ataku, którego przeprowadzenie przypisuje się palestyńskiej grupie Hamas, stało się kilkudziesięciu izraelskich żołnierzy.

Czytaj dalej

Czy Amerykanie doczekają się agencji federalnej ds. ochrony danych osobowych?

  

Tak zakłada nowy projekt ustawy przedstawiony przez senator z Partii Demokratycznej.

Federal Data Protection Agency byłaby niezależną agencją federalną zajmującą się wyłącznie sprawami ochrony danych osobowych konsumentów i stojącą na straży ich prywatności. Jego nadrzędnym celem ma być zapewnienie, aby organizacje przestrzegały uczciwych i przejrzystych praktyk w tych obszarach.

Jak wynika z tekstu projektu, jednym z zadań agencji jest ograniczenie zbierania, ujawniania i przypadków nielegalnego wykorzystania danych osobowych.

Nowe prawo objęłoby zarówno podmioty publiczne, jak i firmy prywatne. Amerykański Kongres miałby wyposażyć agencję w konkretne narzędzia przymusu prawnego, które umożliwiłyby skuteczną realizację jej celów ustawowych.

Nowy projekt ustawy jest odpowiedzią na pogłębiający się kryzys prywatności, o którym coraz więcej mówi się w Stanach Zjednoczonych. Przejawia się on m.in. w gromadzeniu na masową skalę danych osobowych konsumentów przez prywatne firmy. Niejednokrotnie są one później wykorzystywane z naruszeniem prywatności konsumentów, w tym także do celów, o których jednostki nie mają nawet mglistego pojęcia.

Nie od dziś wiadomo, że firmy z Doliny Krzemowej dość luźno podchodzą do ochrony prywatności swoich użytkowników. Ich modele biznesowe bazują na szerokim korzystaniu z danych osobowych. Nie mają one ekonomicznego interesu w ograniczaniu ich przetwarzania i profilowania użytkowników, w tym dla celów spersonalizowanej reklamy.

Kilkukrotnie pisałem już na ten temat na łamach bloga:

https://abcrodo.kalata.eu/2018/04/11/co-ujawnil-ceo-facebooka-przed-amerykanskim-kongresem/

https://abcrodo.kalata.eu/2019/07/29/na-facebooku-bez-zmian-rekordowa-kara-za-naduzywanie-danych-osobowych-uzytkownikow/

https://abcrodo.kalata.eu/2019/01/24/pierwsze-kary-pieniezne-za-naruszenia-rodo/

Omawiany projekt ustawy zyskał już poparcie wśród wielu organizacji, w tym m.in. Electronic Privacy Information Center, Public Citizen oraz Consumer Federation of America.

Niektórzy wskazują, że po reformie RODO sytuacja prawna firm europejskich jest trudniejsza niż tych zza oceanu. Reforma prawa ochrony danych osobowych w USA, coraz bardziej oczekiwana przez różne środowiska, mogłaby wyrównać szanse.

Czy i w jakim kształcie nowe regulacje zostaną przyjęte, niebawem się przekonamy.

Dla zainteresowanych tekst nowej ustawy jest dostępny tutaj.

RODO vs. ochrona przed nieuczciwymi algorytmami

  

Szybki rozwój technologii opartych na sztucznej inteligencji, uczeniu maszynowym i skomplikowanych algorytmach sprawia, że dane osobowe stają się paliwem dla rozwoju gospodarki w XXI wieku.

Czy RODO zapewnia ochronę danych adekwatną do skali zagrożeń związanych z rozwojem technologicznym? Z takim pytaniem zwróciła się do Europejskiej Rady Ochrony Danych (EROD) jedna z posłanek do Parlamentu Europejskiego, Sophie i’nt Veld. Chodziło konkretnie o tzw. nieuczciwe algorytmy, których zastosowanie może prowadzić do negatywnych skutków dla jednostki, np. naruszenie jej prawa do równego traktowania.

W odpowiedzi na powyższe zapytanie EROD stwierdziła, że każde przetwarzanie danych z użyciem algorytmów podlega pod regulacje RODO.

Czytaj dalej

Czy Indie będą mieć własne RODO?

  

Dla administratorów danych z Unii Europejskiej Indie są państwem trzecim w rozumieniu przepisów RODO. Transfer danych osobowych do tego kraju wymaga spełnienia szczególnych wymogów opisanych w Rozdziale 5 rozporządzenia.

Do tej pory Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni poziom ochrony danych osobowych w odniesieniu do Indii, co ułatwiłoby procedurę przekazywania danych osobowych do tego kraju.

Już wkrótce Indie mogą doczekać się kompleksowej ustawy o ochronie danych osobowych. Dnia 11 grudnia indyjski minister elektroniki i technologii informacyjnych przedstawił zaktualizowany projekt ustawy o ochronie danych osobowych w niższej izbie indyjskiego parlamentu.

Czy to znaczy, że Indie będą mieć swój odpowiednik RODO?

Czytaj dalej

Upoważnienie do przetwarzania danych – kiedy aktualizować?

  

Każdy pracownik firmy, który w ramach wykonywanych obowiązków uzyskuje dostęp do danych osobowych, powinien posiadać upoważnienie do przetwarzania danych osobowych.

Z reguły upoważnienie takie jest udzielane zaraz po nawiązaniu stosunku pracy.

Zakres upoważnienia do przetwarzania danych

Upoważnienie powinno określać zakres danych osobowych, które pracownik będzie mógł przetwarzać w toku czynności wykonywanych na rzecz pracodawcy. Ponieważ RODO nie narzuca konkretnej treści upoważnienia, w praktyce wymóg ten jest realizowany poprzez odniesienie się do kategorii osób, których dane dotyczą (np. klienci, pracownicy, dostawcy), konkretnych czynności przetwarzania danych osobowych lub zbiorów danych.

Czytaj dalej

Wskazanie błędnej podstawy prawnej przetwarzania danych osobowych narusza RODO

  

Jednym z elementów obowiązku informacyjnego administratora jest podanie osobie, której dane dotyczą, podstawy prawnej przetwarzania jej danych osobowych.

Oznacza to, że obecnie nie wystarczy już wskazanie konkretnych celów przetwarzania danych, ale konieczne jest uzupełnienie ich o podstawę prawną, którą – w zależności od okoliczności – może być np. zgoda, przepis ustawy lub unijnego rozporządzenia.

Wybór właściwej podstawy prawnej jest bardzo istotny, o czym przekonała się niedawno jedna z międzynarodowych korporacji. W ramach postępowania prowadzonego przez grecki organ nadzorczy stwierdzono, że spółka ta niezgodnie z zasadami RODO przetwarzała dane osobowe swoich pracowników na podstawie art. 6 ust. 1 lit. a RODO (tj. zgody), podczas gdy przetwarzanie miało na celu wykonywanie czynności bezpośrednio związanych z wykonywaniem umowy o pracę.

Czytaj dalej

Przetwarzanie przez bank danych osobowych klienta, który nie dostał kredytu

  

Wyrok Naczelnego Sądu Administracyjnego nakazujący usunięcie przez bank i Biuro Informacji Kredytowej (BIK) informacji o zapytaniach kredytowych klienta, potwierdza znaczenie jednej z podstawowych zasad rządzących przetwarzaniem danych osobowych, tj. zgodności z prawem.

Przetwarzanie danych jest dopuszczalnie wyłącznie w przypadku, gdy istnieje ku temu ważna podstawa prawna. Jeżeli do zawarcia umowy z klientem nie dojdzie, podstawa ta może po prostu zniknąć, co pociągnie za sobą istotne konsekwencje.

W trakcie rozmów przed zawarciem umowy, firma często zbiera pewne dane osobowe na temat swojego klienta. Wystarczy, że potencjalny klient „zostawi” na stronie internetowej firmy swoje imię i nazwisko, adres e-mail czy numer telefonu w celu kontaktu ze strony konsultanta i już w tym momencie rozpoczyna się przetwarzanie jego danych osobowych.

Jednak z różnych powodów do skorzystania z oferty i zawarcia umowy może nie dojść. W takim przypadku powstaje zasadnicze pytanie, czy firma może w dalszym ciągu przetwarzać dane osobowe takiego niedoszłego klienta.

Czytaj dalej

Facebook znów na cenzurowanym

  

W ramach ugody zawartej z Amerykańską Federalną Komisją Handlu (FTC), Facebook musi zapłacić rekordowe 5 mld dolarów kary. Powodem są powtarzające się naruszenia prywatności użytkowników serwisu społecznościowego.

Portal CNN podał, że to najwyższa kara w historii FTC, niemniej jej wysokość odpowiada wysokości miesięcznych przychodów serwisu Facebook. Za zatwierdzeniem ugody zagłosowało 3 członków Komisji, którzy reprezentowali Partię Republikańską. Dwóch członków reprezentujących demokratów sprzeciwiło się. Uznali oni, że sankcje nałożone na Facebooka są zbyt łagodne.

Czytaj dalej

Nowy Prezes UODO

  

Z dniem 16 maja 2019 r. oficjalne rozpoczęła się kadencja Jana Nowaka na stanowisku Prezesa Urzędu Ochrony Danych Osobowych.

Jan Nowak od 2008 r. był Dyrektorem Biura Generalnego Inspektora Ochrony Danych Osobowych. Po przemianowaniu urzędu w związku z reformą RODO zajmował stanowisko Dyrektora Urzędu Ochrony Danych Osobowych.

W jednym z pierwszych wywiadów udzielonych jako Prezes UODO, dla dziennika Rzeczpospolita, Jan Nowak stwierdził, że ma pomysł na rozwój urzędu i wzmocnienie jego roli, aby jeszcze skuteczniej chronić dane osobowe obywateli. Podkreślił, że rolą urzędu po jego przewodnictwem będzie wspieranie podmiotów, które zbierają i wykorzystują dane osobowe, jednak „bez pobłażania dla tych, którzy lekceważą obowiązujące prawo”.

Według nowego Prezesa UODO, mimo dużej pracy, jaka została do tej pory wykonana, proces dostosowania krajowych przepisów do RODO tak naprawdę dopiero się rozpoczął.

Źródła: Nie będę robił rewolucji, Rzeczpospolita, 27 maja 2019 r.

Aktualizacja formularza zgłoszenia naruszenia ochrony danych osobowych

  

Prezes Urzędu Ochrony Danych Osobowych planuje modyfikację formularza zgłoszenia naruszenia ochrony danych osobowych.

Zmiana będzie polegać na rozszerzeniu formularza o pytania dotyczące działania złośliwego oprogramowania oraz zgłaszania zdarzeń i zagrożeń teleinformatycznych Zespołowi CERT Polska. Jest to działający w strukturach NASK (Naukowej i Akademickiej Sieci Komputerowej) zespół reagowania na incydenty w obszarze cyberbezpieczeństwa.

Zaktualizowany formularz ma ułatwić administratorom zgłaszanie naruszeń ochrony danych osobowych, które zaistniały w wyniku działania złośliwego oprogramowania, złamania zabezpieczeń informatycznych czy oszustw komputerowych.

Aktualny wzór formularza jest dostępny na stronie Urzędu Ochrony Danych Osobowych.