Pozor na falošných inšpektorov

Vynaliezavosť podvodníkov sa nezastaví pred ničím a imúnnou v tomto prípade nie je ani oblasť ochrany osobných údajov. Dôkazom je aj blog Jozefa Černeka, ktorý ako podnikateľ pôsobí v Komárne. Vo svojom blogu informoval o nezvyčajnej návšteve, ktorú hostil jeden z jeho zamestnancov. Podvodník sa vydával za inšpektora Úradu na ochranu osobných údajov SR a hrozil pokutou vo výške niekoľko tisíc eur za kamerový systém. Duchaprítomný podnikateľ si overil „inšpektora“ aj na samotnom úrade a zistil, že nehovoril pravdu. Vysvitlo, že pseudoinšpektor ponúkal okrem pokuty aj vypracovanie bezpečnostného projektu, čo z neho podľa slov podnikateľa reálne urobilo novodobého výpalníka.

Ako teda rozoznať podvodníka od skutočnej kontroly z Úradu na ochranu osobných údajov SR. V prvom rade, je veľmi nepravdepodobné, že budete prepadnutí inšpekciou bez toho, aby ste to dopredu vedeli. Z úradu dostanete najskôr oznámenie o kontrole, z ktorého sa dozviete nielen dátum, ale aj čas začatia kontroly. Od tohto postupu môže úrad upustiť pokiaľ by dopredu doručené oznámenie o kontrole mohlo viesť k zmareniu účelu kontroly alebo by výkon kontroly podstatne sťažilo. V neposlednom rade je takéto oznámenie o kontrole dôležité aj pre úrad, aby inšpekcia neprišla k prevádzkovateľovi a nenašla tam prázdnu prevádzku a štatutára na dovolenke pri mori. V oznámení o kontrole úrad požiada kontrolovanú osobu aby zabezpečila potrebné dokumenty, ktoré požadujú vidieť a tiež, aby v danom čase bol na miesto kontroly prítomný už spomínaný štatutár alebo osoba oprávnená za neho konať.

Ak by ste predsa dostali neohlásenú kontrolu a neboli ste si istí, či ide skutočne o pracovníkov Úradu na ochranu osobných údajov SR, môžete využiť viacero oprávnení, ktoré dáva kontrolovanej osobe zákon o ochrane osobných údajov. Kontrolovaný prevádzkovateľ informačného systému je oprávnený vyžadovať od kontrolného orgánu preukázanie príslušnosti k úradu. Inšpekcia je na druhej strane zo zákona povinná pred začatím kontroly preukázať sa poverením na vykonanie kontroly. Takéto poverenie je zároveň aj súčasťou kontrolného spisu. Pre vrchného inšpektora ho vydáva a podpisuje predseda úradu, kým pre radových inšpektorov ho podpisuje vrchný inšpektor. Na preukázanie príslušnosti k úradu používajú kontrolóri služobný preukaz.

Okrem týchto dokumentov možno kontrolu z úradu rozlíšiť od osamoteného podvodníka aj tým, že inšpektor nechodí nikdy na kontrolu sám. Sprevádza ho najmenej jeden ďalší pracovník úradu a nie je vylúčené ani viacčlenné zloženie kontrolného tímu. No a v neposlednom rade treba spomenúť aj fakt, že je prakticky nemožné, aby bola prevádzkovateľovi informačného systému uložená pokuta ešte v deň kontroly. Celý proces kontroly a vypracovania kontrolného protokolu, jeho prerokovanie, prípadné námietky a ich zapracovanie až po prerokovanie zápisnice, ktorým sa kontrola končí môže trvať aj pár týždňov. Po skončení kontroly je ešte potrebné ukončiť samotné konanie o ochrane osobných údajov, a až potom sa rozhoduje o uložení pokuty za zistené porušenia zákona.

S týmito informáciami sa už nemôže stať, aby ste sa nechali nachytať podvodníkom.
Nedajte im šancu a poznajte svoje práva!

Slabá ochrana údajov môže odrovnať biznis

Bez ohľadu na to, aká veľká je obchodná spoločnosť či aký podiel na trhu tvorí práve jej kus koláča na grafoch, ochrana osobných údajov je prioritnou podmienkou, najmä keď súčasťou podnikania je aj spracúvanie osobných údajov. O to viac, keď ide o citlivé údaje desiatok tisíc klientov, nehovoriac o prípade, keď klienti sú pacienti a citlivé údaje sú informácie o ich zdravotnom stave. Presvedčila sa o tom aj verejnoprávna korporácia pôsobiaca v zdravotníctve Spojeného kráľovstva NHS trust, ktorá sa po fatálnom zlyhaní v oblasti informačnej bezpečnosti ocitla zoči-voči astronomickej finančnej sankcii nebývalých rozmerov.

Úrad anglického Komisára pre informácie ohodnotil predaj starých pevných diskov s informáciami o zdravotnom stave desiatok tisíc pacientov pokutou vo výške 325 000 LIBIER, čo je takmer 404 000 EUR. Pokuta uložená inštitúciou, ktorá ešte niekoľko rokov dozadu nemala dokonca ani právo finančné sankcie ukladať, presahuje aj možnosti nášho Úradu na ochranu osobných údajov SR , ktorého strop je niekde okolo 332 000 EUR.

Pevné disky mal zničiť dodávateľ IT služieb, ale namiesto zničenia boli predané na eBay. Hoci NHS trust uisťoval komisára, že išlo len o 4 kusy diskov, pol roka po prevalení incidentu sa objavil ďalší disk, ktorý si spolu s dátami trustu zakúpil istý študent.

Tento prípad nie je iba mementom dôležitosti dodržiavania princípov ochrany osobných údajov a dôsledného uplatňovania pravidiel informačnej bezpečnosti, ale aj praktickou ukážkou zodpovednosti prevádzkovateľa informačného systému za konanie či nekonanie sprostredkovateľa, u ktorého outsourcuje určité úkony či služby. Aj v zmysle našej legislatívy zodpovedá v konečnom dôsledku prevádzkovateľ, a preto by mal byť pri výbere sprostredkovateľa obozretný a prihliadať najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti. Je potrebné pamätať aj na to, že prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

Toto však nie je koniec prípadu bezpečnostného incidentu v NHS trust a podanie odvolania na seba nenechalo dlho čakať. Nemožno totiž ani len predpokladať, že 404 000 EUR by pokutovaný prevádzkovateľ dobrovoľne zaplatil bez využitia všetkých riadnych či mimoriadnych opravných prostriedkov.

Zdroj: http://www.dailymail.co.uk/health/article-2153285/NHS-trust-fined-record-325-000-auctioning-hard-drives-filled-HIV-patients-details-online.html

Faxovať zdravotné údaje na nesprávne číslo sa nevypláca

Central London Community Healthcare Trust to schytal natvrdo od ICO (UK obdoba nášho Úradu na ochranu osobných údajov), ktorý ocenil ich vážne porušenie zákona o ochrane osobných údajov pokutou 90 000 libier. Počas troch mesiacov totiž zamestnanci Trustu odoslali 45 faxov obsahujúcich citlivé zdravotné údaje až 59 pacientov na nesprávne faxové číslo. Zlyhanie prevádzkovateľa teda spočívalo v nezaručení bezpečnosti osobných údajov spracúvaných v informačnom systéme.

Na Slovensku by takýto nezodpovedný prevádzkovateľ mohol byť sankcionovaný ešte vyššou pokutou, keďže za neprijatie primeraných personálnych, technických a organizačných opatrení môže Úrad na ochranu osobných údajov SR pokutovať v rozmedzí cca 1 666 – 332 000 EUR.

INFO: http://www.guardian.co.uk/government-computing-network/2012/may/21/central-london-community-trust-data-breach-fine-ico

Americké úrady vs. Google alebo čo je za vysokou pokutou

To, že má Google zaplatiť 25 000 dolárov pre neposkytnutie súčinnosti nie je vôbec bombastická správa. Pre giganta s takým celosvetovým obratom ide len o omrvinku. Bez ohľadu na výšku pokuty a dôvody, ktoré viedli Google k nespolupráci s americkými úradmi, je však dôležité niečo úplne iné. Reakcia, resp. dokument, ktorý vyprodukoval ohrdnutý americký úrad, ktorého žiadosti Google ignoroval. Federal Communications Commission vo svojom rozhodnutí o uložení pokuty zosumarizovala celú kauzu zbierania údajov z Wi-Fi komunikácie pri fotografovaní ulíc pre projekt Street View. O zbere dát z Wi-Fi sietí sa veľa hovorilo, ale menej sa o ňom skutočne vie. Z tohto dôvodu je práve tento dokument veľmi zaujímavým čítaním.

Uvádza sa v ňom napríklad nasledovné:
Medzi májom 2007 a májom 2010 spoločnosť Google Inc. (Google alebo spoločnosť) v rámci svojho projektu Street View zhromaždila dáta z Wi-Fi sietí v Spojených štátoch a v iných krajinách sveta. Účelom zberu dát bolo zachytiť informácie o Wi-Fi sieťach, ktoré spoločnosť môže použiť k lokalizácii užívateľov a k poskytovaniu lokalizačných služieb. Google však zbieral aj samotný obsah dát prenášaných skenovanými WI-FI sieťami (obsah internetovej komunikácie), ktoré neboli potrebné pre jeho projekt vytvorenia lokalizačnej databázy. Tieto dáta zahŕňali obsah emailov a textových správ, heslá, históriu používania internetu a ďalšie veľmi citlivé osobné informácie.

Keď európske orgány na ochranu údajov vyšetrovali snahy Google o zber Wi-Fi dát v roku 2010, spoločnosť spočiatku popierala, že zbiera aj obsah prenášaných informácií. Avšak 14. mája 2010, Google verejne priznal, že vykonával „zber vzoriek obsahu dát z otvorených (teda heslom nechránených) Wi-Fi sietí „. Uviedol však, že získal pravdepodobne len fragmenty dát. Google informoval, že za získavaním údajov je kód, ktorý bol „omylom“ zahrnutý do softvéru na zber Wi-Fi dát. Až 22. októbra 2010, Google uznal po prvýkrát, že „v niektorých prípadoch boli zachytené celé emailové správy a URL, rovnako ako aj prístupové heslá. Nakoniec Google poskytol aj dôkazy o tomto svojom konaní, a to Federálnej komunikačnej komisii v USA (Federal Communications Commission alebo Komisia).

Po zistení, že Google zbieral takéto dáta, začala Komisia skúmať, či Google svojím konaním porušil ustanovenia Communications Act z roku 1934, v platnom znení (Communications Act alebo zákon). Na základe tohto počiatočného hodnotenia, v novembri 2010 Enforcement Bureau Komisie (úrad) vydal Letter of Inquiry (LOI), ktorým začal oficiálne vyšetrovanie, či Google zhromažďovaním dát z Wi-Fi sietí porušil zákon. Záznam vytvorený v rámci tohto vyšetrovania obsahuje písomné odpovede Google na otázky úradu, kópie príslušných dokumenty a verejne dostupné informácie. Okrem toho pracovníci úradu vypočuli šesť osôb. Päť zamestnancov Google a jedného zamestnanca konzultačnej firmy, ktorú Google najal na vykonanie analýzu jeho softvéru pre zber Wi-Fi dát. Úrad tiež predvolal na vypočutie inžiniera Google, ktorý vyvinul kód používaný na zhromažďovanie a uchovávanie zozbieraných dát. Prostredníctvom právneho zástupcu, ale tento inžinier odmietol vypovedať s odvolaním sa na piaty dodatok, keďže si nechcel privodiť trestné stíhanie.

Po mnoho mesiacov, Google zámerne narúšal a preťahoval vyšetrovanie úradu tým, že nereagoval na žiadosti o vecné informácie a tým, že neposkytol certifikáciu a overovanie ich odpovedí. Úrad preto skonštatoval, že Google zjavne zámerne a opakovane porušil pokyny Komisie vydať informácie a dokumenty potrebné pre vyšetrovanie. Na základe preverenia faktov a okolností rozhodol úrad, že Google, ako držiteľ licencií vydaných Komisiou (5 aktívnych mobilných rádiolicencií), je zodpovedný za neposkytnutie súčinnosti s pokutou vo výške 25.000 dolárov.

Zároveň na základe podrobnej analýzy vytvoreného záznamu vyšetrovania a aplikovateľného práva, úrad skonštatoval, že nemôže prijať donucovacie opatrenia podľa zákona proti Google pre jej zber Wi-Fi dát. Neexistuje totiž jasný precedens použiteľný pri uplatnení ustanovení Communications Act na prenos dát cez Wi-Fi. Navyše, pretože si inžinier Google uplatnil svoje ústavné právo nevypovedať chrániac sa pred trestným stíhaním, nebolo možné zodpovedať viaceré otázky dôležité pre vyšetrovanie.

Okrem týchto vyjadrení rozvádza americký úrad všetky detaily komunikácie s Google a cituje aj vyjadrenia Google o tom, prečo nechcú alebo nemôžu vyhovieť jeho žiadostiam o informácie. Dozvedáme sa tak napríklad aj to, že svetová jednotka vo vyhľadávaní „nebude vyhľadávať v emailoch a inej komunikácii, lebo by to bola príliš zdĺhavá a zaťažujúca úloha“ .

Vecnej sankcii za zbieranie údajov Google unikol podľa zverejneného rozhodnutia o pokute len vďaka skutočnosti, že nezašifrovaná Wi-Fi komunikácia nepodlieha americkej ochrane elektronicky prepravovaných správ proti odchytávaniu.

Celý dokument je dostupný stránkach FCC a napriek možnosti odvolať sa proti výške pokuty prináša zaujímavé, ale i zábavné čítanie aj pre európske dozorné orgány na ochranu osobných údajov či telekomunikačnej prevádzky.

Pol miliónová pokuta za telemarketing

Telemarketingová spoločnosť AMERICALL z Illinois zaplatí 500 000 USD za porušenie pravidiel telemarketingového predaja z dielne Federal Trade Commission (FTC). Týmito pravidlami boli povinnosť zaradiť žiadateľa do zoznamu nevolaných (OPT-OUT – spotrebitelia, ktorých na základe ich vlastnej žiadosti marketingové spoločnosti neoslovujú), aby neboli neskôr opätovne obťažovaní marketingovými telefonátmi a tiež zákaz kontaktovať spotrebiteľov pod falošným menom. FTC je federálna inštitúcia na ochranu práv spotrebiteľov, ktorá dozerá na obchodné vzťahy so spotrebiteľmi nielen z obchodného pohľadu, ale aj z pohľadu ochrany osobných údajov či pravidiel telekomunikačnej prevádzky. Počas vyšetrovania FTC vyšlo najavo, že manuál pre pracovníkov AMERICALL obsahoval inštrukciu nezaradiť spotrebiteľa do zoznamu nevolaných, napriek jeho výslovnej požiadavke. Zistené bolo aj podvodné konanie pri zobrazovaní CallerID, ktoré podľa telemarketingových pravidiel FTC prikazuje zobraziť ako meno telemarketingovej spoločnosti alebo jej klienta, v mene ktorého v telefonáte vystupuje.

Takýto postup zabezpečil, že účty za telefonovanie sa AMERICALL vďaka polmiliónovej pokute výrazne predražia. Ako sa zdá, vysoké pokuty môžu byť cestou aj pre slovenských regulátorov, aby zabezpečili obdobne efektívny výkon práva spotrebiteľov a dotknutých osôb v prípade ich porušenia.

http://www.ftc.gov/opa/2011/12/americall.shtm