Pravni nadzor br. 76 – listopad 2024.  

Kibernetički napadi: povećani rizik i pravni okvir koji se razvija.

 Broj kibernetičkih napada usmjerenih na tvrtke ili javne usluge u Francuskoj ove jeseni je bezbrojan.

Nakon Boulangera, Culture, Truffauta, Grosbilla i SFR-a, sada je na redu i Free da pretrpi veliki kibernetički napad, baš kad završava mjesec podizanja svijesti o kibernetičkoj sigurnosti.

U e-poruci svojim korisnicima, tvrtka je izjavila da je napad rezultirao neovlaštenim pristupom nekim osobnim podacima povezanim s računima pretplatnika, uključujući njihove pristupne podatke, kontaktne podatke, ugovorne detalje i, u nekim slučajevima, njihov IBAN. Procjenjuje se da je povreda utjecala na više od 19 milijuna korisnika.

Free je obavijestio CNIL i ANSSI o povredi podataka.

Ako uzmemo u obzir i napade velikih razmjera koji su bili usmjereni na dvije velike organizacije za plaćanje trećih strana i France Travail početkom 2024., neki procjenjuju da se danas na dark webu prodaju podaci više od 40 milijuna Francuza.

Porast broja ovih napada naveo je CNIL da objavi informativni list kako bi pomogao zainteresiranima da se zaštite.

Savjetuje, posebno, provjeru aktivnosti bankovnih računa, oprez zbog rizika od krađe identiteta i phishinga, promjenu lozinki i korištenje postupaka višefaktorske autentifikacije.

Do sada je CNIL rijetko sankcionirao tvrtke koje su bile žrtve kibernetičkih napada zbog neuspjeha u zaštiti podataka, za razliku od svojih europskih kolega.

Međutim, upravo je sankcionirala tvrtku za sigurnost kripto imovine Ledger zbog toga što nije adekvatno zaštitila podatke svojih klijenata.

Prema La Lettreu, koji je priču objavio 23. listopada, izrečena kazna iznosi 750.000 eura. CNIL nije potvrdio taj iznos.

Tvrtka je 2020. godine pretrpjela nekoliko povreda osobnih podataka, što je utjecalo na brojne kupce i potencijalne klijente.

Odredbama GDPR-a sada se dodaju nova pravila koja od kontrolora podataka zahtijevaju da osiguraju podatke.

To su obveze europske NIS2 direktive, koja je stupila na snagu 17. listopada.

Ova direktiva ima za cilj ublažiti prijetnje mrežama i informacijskim sustavima koji pružaju bitne usluge u ključnim sektorima, kako bi se ojačala sigurnost Europske unije.

Tekst proširuje svoj opseg u usporedbi s direktivom NIS1 i posebno je usmjeren na infrastrukturu i subjekte ključne za pravilno funkcioniranje gospodarskih i društvenih aktivnosti na unutarnjem tržištu: javne uprave, telekomunikacijsku infrastrukturu, informacijske i komunikacijske usluge, pružatelje digitalnih usluga, ali i sektore prehrambene ili kemijske proizvodnje, zdravstva ili pročišćavanja otpadnih voda.

Zahtjevi se posebno odnose na mjere upravljanja i upravljanja kibernetičkim rizicima, kompartmentalizaciju administrativnog informacijskog sustava, obvezu prijavljivanja svakog incidenta i sigurnost lanaca opskrbe.

Direktiva, kao i GDPR, predviđa obavještavanje o incidentima i financijskim kaznama.

Iako je planirano trogodišnje razdoblje za potpunu usklađenost, potrebno je brzo uspostaviti minimum, i to "registraciju reguliranog subjekta kod ANSSI-ja na portalu "monespaceNIS2", obavijesti o incidentima i demonstraciju ulaganja u sigurnosna rješenja".

Bez obzira na pravila i sankcije, dobro je imati na umu ljudske posljedice kršenja sigurnosti.

To je upravo učinio britanski povjerenik za informiranje (ICO) u publikaciji od 28. listopada.

Tijelo u upozorenju kontrolorima podataka naglašava ponekad razorne učinke kršenja podataka.

Spominje da je 55% odraslih u Velikoj Britaniji imalo izgubljene ili ukradene podatke, što predstavlja gotovo 30 milijuna ljudi.

Osobne i emocionalne posljedice ove situacije prečesto se zanemaruju: 301 000 žrtava prijavljuje emocionalnu patnju, dok njih 25 000 ne prima nikakvu pomoć od odgovornih organizacija.

Osim toga, 32% pogođenih saznaje za to putem medija, a ne od same organizacije, što naglašava njihov osjećaj izdaje.

ICO ističe da previše organizacija ne mjeri u potpunosti štetu i zanemaruje zaštitu osobnih podataka.

"Kada dođe do kršenja podataka, to nije samo administrativna pogreška, već neuspjeh u zaštiti nekoga."

 

        

Dana 26. rujna, CNIL (Francusko tijelo za zaštitu podataka) kaznilo je Cosmospace i Telemaque, pružatelje psihičkih usluga, s 250.000 eura, odnosno 150.000 eura, zbog toga što nisu dobili izričitu suglasnost dotičnih pojedinaca. prije obrade osjetljivih podataka u kontekstu snimljenih konzultacijskih sesija.

Također je objavila da je od lipnja 2024. izdala jedanaest novih pojednostavljenih sankcija, koje se odnose na prekršaje povezane s prekomjernim prikupljanjem podataka, nedostatkom registra, nepoštivanjem prava osoba ili nedostatkom suradnje.

Konačno, 17. listopada 2024., pozvala je Ministarstvo unutarnjih poslova i prekomorskih teritorija te Ministarstvo pravosuđa kako bi im izdala naredbu zbog lošeg vođenja datoteke za obradu kaznene evidencije.

CNIL 19. studenog organizira događaj "Air" posvećen nadzoru i njegovim etičkim implikacijama.

Debate će biti organizirane u suradnji s Nacionalnom komisijom za kontrolu obavještajnih tehnika (CNCTR).

Pariško javno tužiteljstvo objavilo je da su 18. listopada 2024., tijekom sastanka Eurojusta, belgijske i francuske pravosudne vlasti formirale zajednički istražni tim (JIT) u vezi s istragama o Telegramu.

U Francuskoj je u veljači 2024. otvorena preliminarna istraga koja je dovela do otvaranja sudske istrage, a zatim i do uhićenja Pavela Durova ovog ljeta.

Odjel za kibernetički kriminalitet Ureda javnog tužitelja u Parizu prethodno se konzultirao s raznim tužiteljstvima i istražnim službama, kao i sa svojim stranim partnerima unutar Eurojusta, o poteškoćama u dobivanju odgovora na zahtjeve.

Dana 3. listopada, Kasacijski sud poništio je presudu Žalbenog suda u Caenu i ponovio da sud mora poštovati načelo minimizacije podataka kada nalaže poslodavcu da dostavi dokaze o mogućoj diskriminaciji u plaćama u kontekstu građanskog postupka.

Osobni podaci zatraženi kao dokaz moraju biti ograničeni na ono što je strogo potrebno za postupak.

Dana 22. listopada, nevladina organizacija Noyb podnijela je pritužbu CNIL-u protiv platforme društvenih medija Pinterest..

Noyb navodi da unatoč presudi Suda Europske unije (CJEU) od 4. srpnja 2023. kojom se osuđuje ova praksa, platforma koristi osobne podatke korisnika bez traženja njihovog pristanka, na temelju svog legitimnog interesa, te da praćenje aktivira prema zadanim postavkama.

Platforma je također kritizirana zbog nepružanja informacija o trećim stranama s kojima dijeli podatke.

 

Europske institucije i tijela

Europska komisija objavila je 9. listopada izvješće o svom prvom pregledu odluke o adekvatnosti okvira za zaštitu podataka (DPF) između EU-a i Sjedinjenih Američkih Država.

Komisija zaključuje da su američke vlasti „uvele sve sastavne elemente okvira.“

To uključuje provedbu zaštitnih mjera za ograničavanje pristupa osobnim podacima od strane američkih obavještajnih službi na ono što je nužno i proporcionalno za zaštitu nacionalne sigurnosti te uspostavljanje neovisnog i nepristranog mehanizma pravne zaštite.

Izvješće sadrži preporuke kako bi se osiguralo da okvir nastavi učinkovito funkcionirati, kao što je razvoj zajedničkih smjernica o ključnim zahtjevima DPF-a.

Tijekom plenarne sjednice 8. i 9. listopada, Europski odbor za zaštitu podataka (EDPB) usvojio je mišljenje o obrađivačima i naknadnim obrađivačima, smjernice o legitimnom interesu, izjava o dodatnim postupovnim pravilima za primjenu GDPR-a i programa rada EDPB-a za razdoblje 2024.-2025.

Odbor je 4. studenog također usvojio svoje prvo izvješće o okviru za zaštitu podataka između EU-a i SAD-a, kao i izjavu o pristupu podacima od strane tijela za provedbu zakona.

Primjećuje postignuti napredak i potiče američke vlasti da razviju nove smjernice, a Europsku komisiju da prati mehanizam pravne zaštite za građane EU-a.

U svojoj presudi C-507/23 od 4. listopada, Sud EU-a presudio je da isprika može predstavljati odgovarajuću naknadu za nematerijalnu štetu prema članku 82(1) GDPR-a, posebno kada je povratak na stanje prije štete nemoguć, pod uvjetom da taj oblik naknade može u potpunosti nadoknaditi štetu koju je pretrpio ispitanik.

 

Vijesti iz zemalja članica Europske unije.

Belgijska agencija za zaštitu podataka (DPA) objavila je 9. listopada na internetu dokumente sa svog studijskog dana o "pametnim gradovima".

Cilj je bio osigurati platformu za raspravu gdje bi dionici mogli podijeliti svoja iskustva, najbolje prakse, izazove, rješenja i vizije za budućnost „pametnih gradova“.

Izvješće o danu istraživanja, intervencije sudionika i video sekvence dostupne su na mrežnoj stranici APD-a.

U odluci od 11. listopada koja se odnosi na RTL Belgium, APD također podsjeća kontrolora podataka da posjetiteljima svoje web stranice mora omogućiti jednako jednostavno odbijanje postavljanja kolačića kao što je to jednostavno prihvaćanje istih, što predstavlja konkretnu primjenu uvjeta za valjanost privole.

Direktiva o azilu također odobrava dizajn gumba koji se prikazuju posjetitelju i posebno se poziva na rad EDPB-a na tu temu.

U ovom konkretnom slučaju, jarko narančasti gumb "Prihvati i zatvori" posebno se isticao od ostatka bannera za kolačiće, a za APD je "ovo gumb na koji će se prvenstveno usmjeriti pažnja korisnika".

Kao odgovor na RTL-ov argument o "umjetničkoj slobodi", APD odgovara da „Voditelji podataka moraju osigurati da korištenje boje očito ne potiče korisnike na pristanak na postavljanje kolačića u njihov preglednik.“

Međutim, ništa ne sprječava kontrolore podataka da koriste boju gumba koja bi na sličan način potaknula korisnike da odbiju postavljanje kolačića.

Imajte na umu da je austrijsko tijelo za zaštitu podataka (APD) 28. listopada donijelo odluku u istom smjeru u vezi s javnom radiotelevizijom Österreichischer Rundfunk: naložilo je tvrtki da prilagodi banner s kolačićima na svojoj web stranici, jer grafičko isticanje opcije "prihvati sve kolačiće" poništava privolu dotične osobe prema članku 6(1)(a) GDPR-a.

Ova dva slučaja dio su niza pritužbi koje je nevladina organizacija Noyb podnijela u nekoliko zemalja EU-a, a daljnje odluke o ovom pitanju mogu se očekivati uskoro.

Irska agencija za zaštitu podataka (DPA) objavila je svoju konačnu odluku 24. listopada nakon ankete provedene na LinkedInu.Istraga je pokrenuta nakon pritužbe koju je CNIL-u izvorno podnijela La Quadrature du net 2018. godine.

Usredotočilo se na LinkedInovu obradu osobnih podataka u svrhu analize ponašanja i ciljanog oglašavanja korisnika te se odnosi na zakonitost, pravednost i transparentnost te obrade.

Odluka uključuje opomenu, nalog LinkedInu da uskladi svoju obradu podataka s propisima i administrativne kazne u ukupnom iznosu od 310 milijuna eura.

Talijanska agencija za zaštitu podataka (APD) kaznila je Postel SpA, glavnu talijansku poštansku službu, s 900.000 eura jer gotovo godinu dana nije reagirala na poznatu i prijavljenu ranjivost u svojim sustavima.To je omogućilo povredu osobnih podataka: u kolovozu 2023. tvrtka je bila meta napada ransomwarea koji je rezultirao blokiranjem njezinih servera i nekih radnih stanica.

Informacije objavljene na dark webu odnosile su se na identifikacijske i kontaktne podatke, podatke o plaćanju, kao i podatke koji se odnose na kaznene osude i prekršaje, zdravstvene podatke i otkrivanje članstva u sindikatu.

Nizozemska agencija za zaštitu podataka (APD) objavila je 23. listopada da je istražila osam parkova za odmor koji koriste prepoznavanje lica za pristup bazenima i igralištima te je utvrdila da svi ti parkovi krše zakone o privatnosti zbog nedostatka informacija i nepostojanja valjane suglasnosti.

Pod pritiskom APD-a, sedam parkova promijenilo je svoje metode obrade podataka.

 

Excel datoteka omogućila je otkrivanje osobnih podataka 9.483 službenika i zaposlenika policije Sjeverne Irske.

Kao odgovor na dva zahtjeva za pristup podacima, policijska služba je dostavila datoteku s podacima koji su maskirani, ali ne i izbrisani. Policija, koja se smatra odgovornom za curenje podataka, kažnjena je rekordnim iznosom od 900.000 eura od strane britanskog tijela za zaštitu podataka (DPA).

U sličnom kontekstu, ICO je također sankcionirao vijeće Southend-on-Sea: kao odgovor na zahtjev za pristup administrativnim dokumentima, vijeće je dostavilo proračunsku tablicu koja je još uvijek sadržavala osobne podatke.

Tijela za zaštitu podataka iz 16 jurisdikcija, uključujući Australiju, Kanadu, Kinu, Španjolsku i Ujedinjeno Kraljevstvo, usvojila su zajedničku izjavu o tehnologijama "struganja" na marginama međunarodne konferencije tijela za zaštitu podataka.

U izjavi se naglašava da se organizacije moraju pridržavati zakona o zaštiti podataka kada koriste osobne podatke, uključujući podatke s vlastitih platformi, za razvoj velikih jezičnih modela umjetne inteligencije (LLM).

U izjavi, objavljenoj 28. listopada, navedena su i druga očekivanja, uključujući da organizacije:

• Primjenjuju kombinaciju zaštitnih mjera, redovito ih pregledavaju i ažuriraju kako bi pratili napredak tehnika i tehnologija skraćivanja podataka; i
• Osiguravaju da se ovlašteno izdvajanje podataka u komercijalne ili društveno korisne svrhe provodi u skladu sa zakonom i strogim ugovornim uvjetima.

Sredinom listopada u Italiji je održan sastanak G7 tijela za zaštitu podataka s ciljem jačanja suradnje između tijela na globalnoj razini.

Usvojena je deklaracija o ulozi vlasti u osiguravanju odgovorne upotrebe umjetne inteligencije.

Također je objavljena izjava u kojoj se naglašava važnost robusnog mehanizma za prekogranični protok podataka koji štiti osobne podatke na globalnoj razini.

Dana 20. listopada, australska agencija za zaštitu podataka (DPA) objavila je dva smjernica o zaštiti privatnosti i umjetnoj inteligenciji:

• Vodič za korištenje komercijalno dostupnih proizvoda umjetne inteligencije;
• Vodič za razvoj i obuku generativnih AI modela.

Među ključnim točkama koje se odnose na prvi vodič, APD naglašava da

• Obveze privatnosti primjenjuju se na sve osobne podatke unesene u sustav umjetne inteligencije, kao i na izlazne podatke generirane umjetnom inteligencijom (kada sadrže osobne podatke).
• Ako se sustavi umjetne inteligencije koriste za generiranje ili zaključivanje o osobnim podacima, uključujući slike, to predstavlja zbirku osobnih podataka koja mora biti u skladu s načelima zaštite podataka.

Kao najbolju praksu, APD preporučuje da organizacije ne unose osobne podatke, a posebno osjetljive podatke, u javno dostupne generativne alate umjetne inteligencije zbog značajnih i složenih rizika za privatnost.

Interna komunikacija TikToka objavljena u listopadu pokazala je da tvrtka nije zabrinuta zbog štetnih učinaka aplikacije na američke tinejdžere, iako je vlastito istraživanje istaknulo brojne zabrinutosti.

Ovi povjerljivi dokumenti dio su istrage koja traje više od dvije godine, a koju provodi 14 državnih odvjetnika Sjedinjenih Država.

U tužbi se tvrdi da je TikTok dizajniran s izričitom namjerom da mlade ljude učini ovisnima o aplikaciji te da je tvrtka obmanula javnost o rizicima koji su s njom povezani.

Prema NPR-u, koji je imao pristup dokumentima, TikTok je odredio točan broj pregleda (260) potreban da bi osoba vjerojatno postala ovisna o platformi.

Prema državnim istražiteljima, "iako se to može činiti značajnim, TikTok videozapisi mogu trajati samo 8 sekundi, a gledatelji ih reproduciraju u brzom, automatskom slijedu. (...) Dakle, za manje od 35 minuta prosječni korisnik vjerojatno će postati ovisan o platformi."

Internet Archive trenutno doživljava val kibernetičkih napada.

Prva serija napada, objavljena sredinom listopada, sastojala se od nekoliko DDoS napada. Hakeri su također otkrili da su dobili pristup podacima 31 milijuna korisnika.

Krajem listopada, organizacija je ponovno bila žrtva upada, ovaj put na svoju platformu za podršku e-pošte Zendesk, nakon što je više puta upozorena na krađu autentifikacijskih tokena.