Direct Marketing v B2B segmente a GDPR

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Obstaranie stanoviska trvalo cez dva mesiace, ale odpoveď je v zásade pozitívna a na konci dňa aplikovateľná aj u nás vďaka mechanizmu konzistentnosti (ľudskou rečou – úrady naprieč EÚ by si nemali protirečiť). Oprávnený záujem prevádzkovateľa je v tomto prípade považovaný za použiteľný právny základ a predchádzajúci súhlas nie je potrebný. Je pravdepodobné, že by sa s týmto názorom stotožnil aj náš dozorný orgán, hoci istotu by sme mali po formálnom posvätení. Pre všetkých čo rozmýšľali nad tým ako spojiť potrebu komunikácie na potenciálnych obchodných partnerov (spoznaných pri rôznych neformálnych príležitostiach) práve s aplikáciou tvrdého znenia GDPR, je práve toto potvrdením vhodnej cesty.

Voľný preklad príspevku od Sarah je:

Trvalo to 67 dní, ale som rada, že som dnes ráno dostanala oficiálnu odpoveď od tímu Office Case. Moja konkrétna otázka bola: „Odpovedzte „áno/nie“ na to, či oprávnené záujmy môžu byť vhodné (ako právny základ spracúvania osobných údajov) na posielanie marketingových e-mailov zamestnancom v právnickej osobe na ich osobné firemné e-mailové adresy (napríklad menoapriezvisko@firma.com) soft-opt in neplatí (napr. ak osoba nie je existujúcim zákazníkom). “ Odpoveď ICO je: „Ak posielate marketingový e-mail podnikateľovi, napríklad menoapriezvisko@firma.com, potom pred odoslaním marketingového e-mailu nepotrebujete predchádzajúci súhlas … Bolo by možné spoľahnúť na legitímne záujmy, ktoré oprávňujú niektorý z vašich podnikov k obchodnému marketingu“.

Netreba však opomenúť fakt, že emailová adresa obsahujúca meno a priezvisko zamestnanca v spojení s zamestnávateľom, môže byť bez akýchkoľvek problémov považovaná za osobný údaj a podlieha pravidlám nakladania s osobnými údajmi v zmysle GDPR, vrátane informačnej povinnosti, technických a organizačných opatrení ako aj uplatňovania práv dotknutých osôb. Potvrdenie oprávneného záujmu od komisára v UK je však dobrá správa pre všetkých čo využívajú túto formu marketingu v komunikácii na biznisových zákazníkov. Ani v tomto prípade by sme však nezabúdali na možnosť odhlásenia z odberu správ (unsubscribe) v každej jednej správe.

Čo by ste mali vedieť o GDPR

Od 25.5.2018 vstupuje do účinnosti nové Všeobecné nariadenie o ochrane osobných údajov (GDPR). Na Slovensku to bude implementované prostredníctvom nového Zákona o ochrane osobných údajov, ktorý bol schválený 29.11.2017.

 

Dobré správy

Toto nové nariadenie je podľa nás principiálne správne a prináša prispôsobenie súčasnej dobe a lepšiu ochranu osobných údajov ľudí. Slovenský zákon je aj teraz dosť prísny, takže ak ho spĺňate, do veľkej miery (určite však nie na 100%) spĺňate aj požiadavky GDPR. Zároveň sa, oproti súčasnému zákonu, znižuje administratívna náročnosť na organizácie – napr. už nebude potrebné vypracovať bezpečnostný projekt. Dobrou správou je aj to, že zo zoznamu osobných údajov osobitnej kategórie zmizlo rodné číslo.

 

Pokuty

Ak vás niekto straší likvidačnými pokutami, pravdepodobne chce na vás zarobiť. Pokuty sú naozaj veľké (4% z obratu až do výšky 20.000.000 Eur), no musia zohľadňovať veľkosť/obrat organizácie a veľkosť „prúseru“. Zároveň musia byť v celej EU uplatňované rovnako – teda za rovnako závažné porušenie rovnako veľká organizácia musí dostať približne rovnako veľkú pokutu v Luxembursku, v Bulharsku, či na Slovensku. Maximálna hranica pokuty je síce likvidačná, no ak sa úradníci budú riadiť zdravým rozumom (a krajiny západnej európy snáď ostatným nedovolia úplne sa ustreliť), tak by udeľovanie likvidačných pokút malo byť skôr výnimočné. Samozrejme len v prípade, že sa aj vy budete riadiť pri spracovaní osobných údajov riadiť zdravým rozumom a rešpektovať právo na ochranu osobných údajov a na ochranu súkromia ľudí. Ak si aj vypracujete potrebnú dokumentáciu (ktorá je oveľa jednoduchšia, ako prikazuje súčasný zákon) a budete dodržiavať pravidlá (ktoré sú trochu prísnejšie, ako doterajšie), tak pokutu nemáte za čo dostať.

 

Čo to znamená pre vás

V prvom rade upozorňujeme na to, že už od roku 2001 u nás platí Zákon o ochrane osobných údajov, ktorý na vás (ak spracúvate osobné údaje (ak ste právnická osoba, tak s najväčšou pravdepodobnosťou nejaké spracúvate)) kladie dosť prísne požiadavky (viac info tu). Určite vám odporúčame splniť súčasné požiadavky lebo aktuálny zákon bude účinný ešte cca pol roka.

GDPR od vás napr. vyžaduje, aby ste si zmapovali, aké údaje spracúvate, o kom, odkiaľ a akým spôsobom ich získavate (a ešte pár ďalších vecí).

Ak máte nad 250 zamestnancov, alebo spracúvate osobné údaje osobitnej kategórie (údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby), musíte to zdokumentovať v rozsahu podobnom súčasným evidenčným listom (čo nie je veľký rozsah) plus doplniť záznamy o spracovateľských činnostiach. Vyzerá to tak, že by na to mohla stačiť jedna tabuľka s rádovo 15 ridkami a jedným stĺpcom pre každý informačný systém. Dajte nám dole email a pošleme vám vzor, keď budeme mať viac informácií o tom, ako by taká dokumentácia mala konkrétnejšie vyzerať.

Vašich zamestnancov budete musieť písomne zaviazať k mlčanlivosti. Súčasný zákon vyžadoval ich špeciálne poučenie s niekoľkostranovou osnovou a protokolom. Po novom, zdá sa, bude stačiť klauzula v pracovnej zmluve. Ak pre vás spracúvajú osobné údaje externé subjekty (sprostredkovatelia), tak to s nimi musíte ošetriť zmluvne.

Ľuďom, o ktorých údaje spracúvate, budete musieť zrozumiteľne, jasne a jednoducho vysvetliť ich práva. Dôležité sú slová „zrozumiteľne, jasne a jednoducho“, takže už nebude stačiť im niekde zverejniť Copy-Paste text zo zákona. Tiež sa chystáme zverejniť vzor takéhoto poučenia.

Ak vo veľkom rozsahu spracúvate osobitné kategórie osobných údajov, alebo robíte profilovanie s právnymi následkami, alebo robíte monitorovanie verejných priestorov vo veľkom rozsahu, alebo spĺňate ďalšie podmienky, ktoré ešte upresní slovenský úrad na ochranu osobných údajov, tak budete musieť vypracovať aj Posúdenie vplyvu na ochranu osobných údajov.

 

Sledujte nás a bezplatne získate prístup k množstvu praktických zdrojov

Ako prví na Slovensku sme zverejnili vzor dokumentácie, ktorú vyžaduje doterajší (starý) zákon a do jari 2018 plánujeme tak urobiť aj pre nový zákon a GDPR.

V októbri sme zrealizovali bezplatný workshop o tomto zákone – záznam tu.

Aktuálne hľadáme financovanie na to, aby sme mohli vytvoriť sériu bezplatných videoškolení, ktoré vám vysvetlia problematiku a zrozumiteľne vás naučia, ako sa môžete sami zosúladiť s novým nariadením. Sústredíme sa hlavne na tretí sektor, no pravidlá sú pre všetkých rovnaké, takže to môže byť použiteľné aj pre firmy.

Ak máte záujem byť medzi prvými, ktorí dostanú tieto cenné materiály, zapíšte sa do nášho mailinglistu:



Pre aktuálne informácie sledujte aj náš facebook.

Skutočné riziká recyklovania hesiel (1)

V decembri roku 2016 spoločnosť Yahoo oznámila, že odhalila masívny hackerský útok, ktorý skompromitoval viac ako 1 miliardu užívateľských účtov. A to už v roku 2014 bolo v dôsledku bezpečnostného incidentu ohrozených viac ako 500 miliónov používateľov. Zatiaľ čo používatelia zvyčajne obviňujú prevádzkovateľov postihnutých webových stránok, skutočného vinníka však často nájdu v zrkadle vlastnej kúpeľne.

Mnohé incidenty sú spôsobené jedným zdanlivo nevinným spoločným faktorom: „používatelia počítačov a mobilných zariadení až v alarmujúcom rozsahu používajú svoje heslá na viacerých webových stránkach“.

Sme len ľudia a jedna vec, ktorú máme všetci spoločnú je obťiažnosť spomenúť si na trilión hesiel, ktoré používame každý deň na prihlásenie k e-mailom, bankovým účtom, obchodom s aplikáciami a zoznamkám,…

Mnohí používatelia prichádzajú s tým, čo považujú za vynikajúce riešenie. Prečo nepoužívať rovnaké heslo na všetkých stránkach alebo službách, ku ktorým pristupujú? Problém zapamätania všetkých týchto hesiel je okamžite vyriešený!

Nie tak rýchlo.

Štúdia vykonaná na 500 000 počítačoch sledovaných v priebehu troch mesiacov už v roku 2006 zistila, že každý používateľ má v priemere 25 účtov, ale iba 6,5 ​​hesiel. To znamená, že každý užívateľ použil rovnaké heslo v priemere na 4 miestach. Štúdia tiež ukázala, že sa recykluje veľké percento hesiel, ktoré sú považované za slabé. Znamená to, že ak hacker získa prístup k kombinácii používateľského mena a hesla používanej na jednej webovej stránke, existuje veľká šanca, že rovnaké informácie mu otvoria dvere k iným webovým stránkam a službám.

Hoci hackeri používajú na získanie prístupu k súkromným účtom používateľov nástroje ako keylogger či rôzny iný malware, stále je najjednoduchším spôsobom, ako získať prístup ku ktorejkoľvek skupine účtov práve cesta najmenšieho odporu. Tou sú duplicitné kombinácie prihlasovacieho mena a hesla, ktoré boli zozbierané pri prienikoch do iných webových stránok alebo služieb.

V tejto sérii článkov sa pozrieme na to, prečo je opakované používanie hesla zlý zvyk a aké môžu byť dôsledky tejto praxe. Povieme si aj čo môžu používatelia robiť, aby sa tohto zlozvyku zbavili. A spomenieme si niektoré aplikácie a služby, ktoré pomôžu vytvoriť, zapamätať si a spravovať heslá a ďalšie cenné informácie.

Prečo je teda recyklovanie hesiel zlé?

Zatiaľ čo veľká väčšina používateľov vie, že opätovné používanie hesiel je zlé, robia to naďalej. Prieskum uskutočnený vývojármi aplikácie na správu hesiel Lastpass na vzorke 2000 používateľoch internetu z USA, Nemecka, Francúzska, Nového Zélandu, Austrálie a Veľkej Británie ukázal, že:

  • 91% opýtaných vie ako nebezpečné je znovu použiť heslá, ale 61% z nich to aj tak robí (ich hlavný dôvod na zmenu hesla je zábudlivosť),
  • iba 29% respondentov z bezpečnostných dôvodov mení svoje heslá.

Respondenti, ktorí sa zúčastnili prieskumu, venovali najväčšiu pozornosť ochrane svojich online bankových účtov (69%), účtov v eshopoch (43%), prihláseniu na sociálnych sieťach (31%) a v rôznych účtov k službách  venovaným zábave (20%).

V štúdii sa tiež uvádza, že v roku 2014:

  • až 110 miliónov Američanov vo veku nad 18 rokov malo svoje osobné informácie kompromitované hackermi,
  • približne 19 ľudí sa stalo obeťami krádeže identity každú 1 minútu.
  • trvá priemerne 18 mesiacov a 200 hodín práce, kým sa odstránia následku krádeže identity.

Pomôže niektorá z týchto informácii používateľom rozmyslieť si opakované používanie jedného hesla? Určite by mala.

Ľudská nátura je vo veľkom rozsahu vinná za situáciu, ktorej teraz čelíme. Je to také ľudské, že keď sme konfrontovaní s ohromným počtom webových stránok, zariadení, aplikácií a sietí, ktoré vyžadujú prihlasovacie údaje, tak nás skôr či neskôr zasiahne únava z bezpečnosti. Tá môže zmeniť postoj k opätovnému použitiu hesla, z ktorého sa stane jednoducho cesta najmenšieho odporu.

Aj naša osobnosť nás môže ohroziť. Štúdia z dielne Lastpass poukazuje na dva vzorové typy správania používateľov:

  • Typ A sú ľudia, ktorí veria, že aj napriek recyklovaniu hesiel nie sú ohrození vďaka vlastnému organizovanému systému a proaktívnym zručnostiam.
  • Typ B sú ľudia, ktorí veria, že ich účty majú malú hodnotu pre hackerov, čo im umožňuje udržiavať príležitostný postoj k opakovanému použitiu hesla.

Chcete dostať menší šok? Preverte si svoje emailové adresy na https://haveibeenpwned.com/ a zistite, či prístup k niektorému z vašich účtov, kde adresu používate ako login nebol ohrozený. Je ľahké sledovať ako jedna kompromitovaná služba môže viesť k ďalším a veľkým dôvodom je opakované použitie hesla.

V marci tohto roka hackerská skupina známa ako „Turkish Crime Family“ tvrdila, že má prístup k 250 miliónom účtu iCloud. Hoci sa niektoré ich vyjadrenia nepotvrdili, predsa poskytli ZDNetu prístupy k 54 iCloudovým účtom, z ktorých mnohé boli potvrdené ako platné. Hackerská skupina požadovala výkupné v Bitcoinoch. Vyhrážali sa, že zresetujú milióny účtov a zároveň vzdialene povymazávajú zariadenia, ktoré sú s nimi spárované.

Apple tvrdil, že ak skupina skutočne má k dispozícii prihlasovacie informácie iCloud, tak to nebolo hacknutím serverov iCloud. „Zdá sa, že údajný zoznam e-mailových adries a hesiel bol získaný z kompromitovaných služieb tretích strán,“ uviedol Apple vo vyhlásení pre CNET. Väčšina používateľov iCloud, ktorí boli na 54 člennom zozname hackerov potvrdila pre ZDNet, že používali svoju e-mailovú adresu a heslo z iCloudu aj inde, napríklad na Facebooku, Twitteru a iných obľúbených stránkach. Avšak tri z kontaktovaných osôb uviedli, že ich prihlasovacie údaje boli použité len na iCloude.

Turkish Crime Family oznámila 10. apríla 2017 víťazstvo. Tvrdili, že ​​Apple to vzdal a vyplatil im výkupné. Podľa stavu ich peňaženky bolo výkupné v bitcoinoch skutočne zaplatené. Či už Apple platil alebo nie, neexistujú žiadne správy o zresetovaných účtoch na iCloud a vymazaných zariadeniach.

Aj keď neexistuje spôsob, ako to dokázať, opakované používanie hesla by mohlo byť jednou z príčin iCloud hacku. Jeho užívatelia, ktorí majú svoj účet chránený dvojfaktorovou autentifikáciou však môžu byť v kľúde. Hackeri by nemali mať prístup k ich účtom, keďže na prihlásenie do účtu iCloud na nedôveryhodnom počítači alebo mobilnom zariadení sú potrebné ďalšie doplňujúce informácie okrem hesla.

Opakované používanie rieši problém so zabúdaním hesiel, môže však výrazne ovplyvniť náš život. Vedome tak hackerom zľahčujeme napadnutie našich účtov.

Tento článok je prvým dielom série o recyklovaných heslách a bol vytvorený v spolupráci PIXEL PRIVACY.

Skontrolujte si nastavenia súkromia vo Windows 10

To, že výrobcovia softvéru to občas riadne preženú sa môžeme presvedčiť aj na smutnom príklade jedného zo softvérových gigantov. Hriešnikom je práve Microsoft, ktorý si svojich fanúšikov pohneval funkcionalitami novej verzie operačného systému Windows 10. Okrem toho, že si bez informovaného a aktívneho súhlasu používateľa chcel posielať celý rad privátnych dát, inštaloval aj zbytočné služby, ktoré mnohí používatelia nepotrebovali. Niektorých to viedlo až k vytvoreniu skriptu, ktorý tieto funkcie zakázal a nepotrebné súčasti odinštaloval.

Svojim prístupom si na seba Microsoft privolal zaslúženú pozornosť holandskej alternatívy nášho Úradu na ochranu osobných údajov. Dozorný orgán preveril ignorovanie požiadavky na informovaný a aktívny súhlas používateľa pre zber dát, ktorý mal Windows 10 v rozpore s požiadavkami miestneho zákona o ochrane osobných údajov automaticky zapnutý. Ak ho používateľ ručne nedeaktivoval, tak na serveri Microsoftu odchádzali z jeho zariadenia informácie o jeho polohe, reklamných preferenciách, vyhľadávaných slovách či otázkach položených virtuálnej asistentke Cortane alebo telemetrické dáta, ktoré nebolo vôbec možné úplne vypnúť. Korunu tomu všetkému Micorosoft nasadil aktualizáiou Creators Update, ktorou opätovne pozapínal všetky tieto funkcionality, aj keď ich používateľ pri prvej inštalácii cielene vypol.

Všetky najdôležitejšie informácie o tejto kauze nájdete v sumárnej správe z vyšetrovania holandského úradu a na ich internetovej stránke.

Ak si chcete preveriť, ktoré zo spomínaných nastavení máte vo svojom počítači zapnuté, tak choďte do Windows 10 menu Nastavenia (Settings) a kliknite na sekciu Súkromie (Privacy). Nájdete v nej položky ako Poloha, Kamera, Mikrofón, Notifikácie a iné. Jednoducho môžete povypínať všetko, čo nechcete do Microsoftu posielať, ale aj určiť aplikácie, ktorým povolíte prístup ku kamere, mikrofónu, kontaktom či kalendáru.

Pokročilejší používatelia môžu siahnuť po vyššie uvedenom skripte alebo iných ľahko dostupných nástrojoch.

Hrozby falošných priateľov na sociálnych sieťach

Nezriedka sa môže stať, že nás so žiadosťou o priateľstvo osloví osoba, ktorú vôbec nepoznáme. Hoci nás rozšírenie počtu priateľov môže tešiť, nemali by sme bezhlavo potvrdzovať kohokoľvek. Je dôležité uvedomiť si, že akceptovaním priateľstva získava neznáma osoba prístup širokému rozsahu údajov, ktoré o nás nemusia byť verejne známe. V prípade nekalých úmyslov, môže neznámy „priateľ“ zneužiť údaje z privátneho profilu:

  • na uhádnutie jednoduchších hesiel či odpovedí na bezpečnostné otázky k účtom na sociálnej sieti alebo na iných stránkach či službách (resetnutie prihlasovacích údajov napríklad aj k emailovým účtom – vymknúť používateľa a zneužiť účet na zasielanie spamu),
  • na to, aby sa prinajmenšom v online svete vydával za svoju obeť,
  • získanie dôveryhodnosti a následne môže následne zverejňovať príspevky s odkazmi na nebezpečné stránky, ktoré by sme my alebo naši priatelia za normálnych okolností ignorovali,
  • budovanie zoznamov emailových adries na rozosielanie spamu

V neposlednom rade, akceptovaním priateľstva neznámeho so nekalými úmyslami ohrozujeme aj svojich skutočných priateľov, keďže sa takáto neznáma osoba dostáva aj informáciám na ich profiloch zdieľaných v režime viditeľnosti „priatelia priateľov“.

V prípade, že by útočník dokázal ovládnuť profil na sociálnej sieti (uhádnuť heslo alebo resetnúť prihlasovacie údaje), riziko sa rozširuje na:

  • priateľov našich priateľov (pri profiloch so stovkami kontaktov je dopad o to výraznejší),
  • FB stránky či firemné profily, ktoré spravujeme prostredníctvom súkromných účtov,
  • účty, do ktorých sa prihlasujeme s rovnakým heslom,
  • stránky a služby, na ktoré sa prihlasujeme prostredníctvom samotného účtu na sociálnej sieti.

Ako sa chrániť?

Najdôležitejšie je byť obozretný pri akceptovaní žiadostí o priateľstvo od neznámych ľudí. Nič nepokazí, keď si so žiadateľom vymeníme zdvorilú správu o tom, či a odkiaľ sa poznáme alebo dôvodoch jeho žiadosti. Zabúdať by sme nemali ani na nastavenia súkromia nášho profilu v rámci sociálnej siete. Od nich závisí napríklad aj to, či a ako nás možno vyhľadať a kontaktovať.

Plus klasika:

  • nepoužívať jednoduché heslá,
  • nerecyklovať heslá na viacerých weboch či službách,
  • zamyslieť sa nad tým, čo všetko o sebe odhaľujem svojimi príspevkami a nad tým kto ich môže vidieť, napríklad aj v režime viditeľnosti „priatelia priateľov“. Počet ľudí, ktorým sú informácie takto dostupné môže byť až prekvapivo veľký (priatelia priateľov,…).

Tomáša z tímu Súkromie.digital k tejto téme vyspovedalo aj RTVS do rozhlasovej reportáže: Cudzinci na internete a ich žiadosti o priateľstvá

 

PIN či heslo vyzradí telefón aj prostredníctvom zabudovaných senzorov

O odpočúvaní mobilov dnes počúvame z každej strany. To, že štandardné telefonovanie prostredníctvom mobilov nie je problém kompromitovať, snáď už nikoho neprekvapí. Zariadenia ako IMSI Catcher si dnes nadšenci dokážu vyskladať z komponentov obstaraných z oficiálnych eshopov za pár stovák eur. Mobilné zariadenie však už dávno nie len akási krabička, s ktorou môžete len realizovať hovory a posielať krátke textové správy.

Dnešné mobily obsahujú celý rad senzorov ako napríklad:

  • proximity senzor, čiže snímač priblíženia,
  • svetelný senzor
  • gyroskop
  • akcelerometer
  • senzor otrasov,
  • krokomer, atď.

Na rozdiel od prístupu aplikácií ku kamere, mikrofónu, GPS, adresáru, či úložisku dát v telefóne však nie sú prístupy k týmto senzorom obmedzované oprávneniami. Aplikácie či skôr ich vývojári, k nim teda môžu voľne pristupovať a získavať dáta z ich snímačov. Využitie týchto dát s trochou kreativity a veľkou dávkou odbornosti môže viesť k niečomu, čo smelo môžeme označiť ako určitú formu odpočúvania. Rovnako ako v prípade univerzálneho odtlačku prsta schopného oklamať biometrický senzor mobilu, sa dátami zo senzorov zaoberali výskumníci z univerzitného prostredia. Títo na pôde Newcastle University zo Spojeného kráľovstva využili potenciál neregulovaného zberu dát senzormi a podarilo sa im odhaliť PINy a heslá využívané používateľmi mobilov na stránkach internetového bankovníctva svojej banky či na odomknutie samotného mobilu.

Svoje schopnosti získavať dáta demonštrovali aj videom zverejneným na Youtube:

Úspešnosť odhalenia štvorciferného PINu je priam ohromujúca, keď na prvý pokus trafili až 74% prípadov a na pokus piaty toto číslo vyletelo až na rovných 100% z použitých 50 zariadení. Odhalili pritom aj to, kde na internetovej stránke bol daný PIN vyplnený.

Keďže schopnosť pristupovať k dátam zo senzorov nie je obmedzená len na aplikácie a vývojári ju dokážu implementovať aj do podvodných internetových stránok, oslovili výskumníci aj poskytovateľov najznámejších internetových prehliadačov, aby podnikli kroky na odstránenie rizík nekontrolovaného prístupu k senzorovým dátam.

Riešením bude okresanie prístupov javascriptov v internetových prehliadačoch (na základe podnetu výskumníkov to už bolo implementované vo Firefoxe a v Safari), ale aj výslovné udeľovanie oprávnení pre aplikácie na využívanie senzorov mobilu.

Viac informácií je dostupných v odbornom článku publikovanom na International Journal of Information Security.

Bezohľadný biznis so súkromím odhalila reportáž TV Al Jazeera

Reportéri televízie Al Jazeera sa vydávali za nákupcov, ktorým by nemal nikto predať ani vysielačku s dosahom 10 metrov a nie to ešte prostriedok masového elektronického monitorovania. Vydávajúc sa za reprezentanta vlády Južného Sudánu, zástupcu iránskej tajnej služby a sprostredkovateľa úplne neznámeho zákazníka sa pokúsili nakúpiť nástroje schopné masového sledovania elektronickej komunikácie a tiež zasahovania do nej.

Prvým príkladom bol IMSI Catcher, prenosné zariadenie, ktoré sa vydáva sa bunku telekomunikačného operátora a mobilné zariadenia v jeho dosahu sa na neho preregistrujú. Je schopné sledovať aktivitu aj umiestnenie mobilov. Dokonca dokáže posielať falošné SMS správy vydávajúc sa iné osoby. Reportéri sa ho pokúsili nakúpiť pre Južný Sudán od talianského výrobcu a vývozcu. Napriek exportným obmedzeniam sa našlo riešenie cez tureckého partnera a predaj do Dubaja, odkiaľ by si už spravilo cestu až do cieľovej destinácie, zakázaného Južného Sudánu. Zástupcom dodávateľa dokonca neprekážalo ani to, že ich práve vyšetrovali za účasť na dodaní monitorovacieho zariadenia Basharovi al-Assaddovi do Sýrie.

Ďalším zariadením bol IP Interception System, schopný monitorovať internetovú prevádzku v celej cieľovej krajine, ktorý bol jeho výrobca bez váhania ochotný vyviezť do Iránu aj napriek sankciám a exportným obmedzeniam. Riešením mal byť predaj cez sesterskú spoločnosť, ktorá na papieri dodá len obyčajný systém na manažovanie sieťovej prevádzky. Obídu tak sankcie voči Iránu a všetky exportné obmedzenia. Dodanie za 4 mesiace od zaplatenia, dokumentácia bez hlavičiek a loga dodávateľa, falošné kontaktné údaje a emailové kontá. Cena? 20 miliónov eur.

Poslednou čerešničkou bolo obstaranie zariadenia IMSI Catcher, a to bez odhalenia identity koncového zákazníka. Dodávateľ z Činy sa s obmedzeniami, povoleniami ani certifikátmi absolútne neobťažoval a po krátkom váhaní bol ochotný dodať zariadenie IMSI Catcher v počte 10 kusov aj do súkromných rúk bez poznania identity koncového zákazníka. Veď na papieri to bude vlastne len WiFi Router s cenovkou 200 až 300 tisíc za kus.

Pozrite si celú reportáž Spy Merchants – Al Jazeera Investigations na YouTube:

Rok 2016 prináša najväčšie zmeny v ochrane osobných údajov za posledných 20 rokov

Pracovná skupina podľa článku 29 (A29WP), ktorá je poradným orgánom Európskej komisie v oblasti ochrany osobných údajov a súkromia zverejnila minulý týždeň svoj Akčný plán na rok 2016. Týka sa implementácie európskeho nariadenia o ochrane údajov, ktoré pre A29WP znamená aj zmenu modelu vlastného fungovania. Nový model fungovania A29WP kladie väčší dôraz na postavenie národných dozorných orgánov (DPA) a tiež vzájomnú spoluprácu medzi nimi a novou Európskou radou pre ochranu údajov (EDPB), na ktorú sa má A29WP transformovať.

A29WP identifikovala na rok 2016 štyri zásadné body, ktorým sa bude primárne venovať:

  • Zriadenie EDPB po štrukturálnej a administratívnej stránke, ktoré zahŕňa rozpočet, IT, ľudské zdroje, ale najmä nový systém zabezpečujúci tzv. „one-stop-shop“. Najmä one-stop-shop možno považovať za výhodu novej legislatívy ochrany osobných údajov, lebo umožňuje subjektom s aktivitami vo viacerých členských štátoch EÚ vybaviť všetky formality na jednom DPA v jedinom členskom štáte. To isté platí aj pre dotknuté osoby, ktorých osobné údaje sú predmetom spracúvania. Tieto sa budú môcť domáhať ochrany svojich práv na ktoromkoľvek DPA v EÚ.
  • Ďalším bodom Akčného plánu na rok 2016 je príprava samotného fungovania one-stop-shop systému. Otvorené zostávajú otázky ustanovenia Vedúcej DPA pre cezhraničné otázky spracúvania osobných údajov prevádzkovateľom informačného systému, ktorá bude koordinátorom spolupráce jednotlivých zainteresovaných DPA. Pozornosť však A29WP plánuje venovať aj spolupráci pri vynucovaní rozhodnutí a zabezpečení toho, aby bol rozhodovací proces konzistentný naprieč celou EÚ.
  • V pláne A29WP je tiež vypracovanie pravidiel pre:
    • portabilitu – možnosť vziať si svoje osobné údaje od prevádzkovateľa a preniesť ich k niekomu inému,
    • pojem „vysoké riziko“ najmä v súvislosti s oznamovaním bezpečnostných incidentov samotnej dotknutej osobe,
    • Data Protection Impact Assessment (DPIA) – hodnotenie dopadov na ochranu osobných údajov,
    • certifikáciu,
    • interný dozor nad ochranou osobných údajov u prevádzkovateľa – Data Protection Officer (u nás nazývaný aj „Zodpovedná osoba“).
  • V neposlednom rade musí A29WP meniaca sa na EDPB venovať pozornosť komunikačnej stratégii. V procese implementácie nového európskeho nariadenia o ochrane údajov bude potrebné predstaviť odbornej i laickej verejnosti nielen nové predpisy, ale aj staronovú úlohu EDPB v procese ochrany osobných údajov.

Zdá sa, že ani A29WP nemôže rozumne očakávať, že všetky plány naplní ešte tohto roku a tak termíny ohraničila rokom 2017.

Zdroj: Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR)