Teisinis stebėjimas Nr. 76 – 2024 m. spalis.  

Kibernetinės atakos: padidėjusi rizika ir besivystanti teisinė sistema.

 Šį rudenį Prancūzijoje įvykdytų kibernetinių atakų, nukreiptų prieš įmones ar viešąsias paslaugas, skaičius yra nesuskaičiuojamas.

Po „Boulanger“, „Cultura“, „Truffaut“, „Grosbill“ ir „SFR“ atakų dabar atėjo „Free“ eilė patirti didelę kibernetinę ataką, kaip tik baigiantis kibernetinio saugumo sąmoningumo mėnesiui.

El. laiške savo klientams bendrovė teigė, kad per ataką buvo gauta neteisėta prieiga prie kai kurių su abonentų paskyromis susijusių asmeninių duomenų, įskaitant jų prisijungimo duomenis, kontaktinę informaciją, sutarties duomenis ir kai kuriais atvejais jų IBAN. Manoma, kad pažeidimas paveikė daugiau nei 19 milijonų klientų.

„Free“ pranešė CNIL ir ANSSI apie duomenų saugumo pažeidimą.

Jei atsižvelgsime ir į didelio masto išpuolius, kurie 2024 m. pradžioje buvo nukreipti prieš dvi dideles trečiųjų šalių mokėjimo organizacijas ir „France Travail“, kai kurie skaičiuoja, kad šiandien tamsiajame internete parduodami daugiau nei 40 milijonų prancūzų duomenys.

Dėl šių išpuolių padažnėjimo CNIL paskelbė informacinį lapelį, kuris padėtų suinteresuotiems asmenims apsisaugoti.

Ji pataria, visų pirma, tikrinti banko sąskaitos veiklą, būti budriems dėl tapatybės vagystės ir sukčiavimo rizikos, keisti slaptažodžius ir naudoti daugiafaktorio autentifikavimo procedūras.

Iki šiol CNIL, kitaip nei jos Europos kolegos, retai bausdavo įmones, kurios tapo kibernetinių atakų aukomis, už duomenų apsaugos nesugebėjimą.

Tačiau ji ką tik skyrė sankcijas kriptovaliutų saugumo bendrovei „Ledger“ už tai, kad ji tinkamai neapsaugojo savo klientų duomenų.

Pasak „La Lettre“, kuri apie tai pranešė spalio 23 d., skirta bauda siekia 750 000 eurų. CNIL šios sumos nepatvirtino.

2020 m. bendrovė patyrė keletą asmens duomenų nutekėjimų, kurie paveikė daugybę klientų ir potencialių klientų.

Dabar prie BDAR nuostatų pridedamos naujos taisyklės, reikalaujančios duomenų valdytojams užtikrinti duomenų saugumą.

Tai yra Europos NIS2 direktyvos, įsigaliojusios spalio 17 d., įsipareigojimai.

Šia direktyva siekiama sušvelninti grėsmes tinklams ir informacinėms sistemoms, teikiančioms esmines paslaugas pagrindiniuose sektoriuose, siekiant sustiprinti Europos Sąjungos saugumą.

Teksto taikymo sritis išplėsta, palyginti su NIS1 direktyva, ir jis konkrečiai skirtas infrastruktūrai ir subjektams, būtiniems tinkamam ekonominės ir visuomeninės veiklos veikimui vidaus rinkoje: viešojo administravimo institucijoms, telekomunikacijų infrastruktūrai, informacijos ir ryšių paslaugoms, skaitmeninių paslaugų teikėjams, taip pat maisto ar chemijos gamybos, sveikatos priežiūros ar nuotekų valymo sektoriams.

Reikalavimai visų pirma susiję su valdymo ir kibernetinės rizikos valdymo priemonėmis, administracinės IS atskyrimu, pareiga pranešti apie bet kokį incidentą ir tiekimo grandinių saugumu.

Direktyvoje, kaip ir BDAR, numatytas pranešimas apie incidentus ir finansines baudas.

Nors visiškam atitikimui numatytas trejų metų laikotarpis, būtina greitai įdiegti bent vieną būtiniausią sąlygą, būtent „reguliuojamo subjekto registraciją ANSSI portale „monespaceNIS2“, pranešimus apie incidentus ir investicijų į saugumo sprendimus demonstravimą“.

Nepaisant taisyklių ir sankcijų, pravartu prisiminti saugumo pažeidimų pasekmes žmonėms.

Tai ką tik spalio 28 d. išplatintame pranešime paskelbė Britanijos informacijos komisaras (ICO).

Įspėdama duomenų valdytojus, institucija pabrėžia kartais pražūtingas duomenų saugumo pažeidimų pasekmes.

Ji mini, kad 55 % suaugusiųjų Jungtinėje Karalystėje yra praradę arba pavogę savo duomenis, o tai sudaro beveik 30 milijonų žmonių.

Asmeninės ir emocinės šios situacijos pasekmės pernelyg dažnai yra nepastebimos: 301 000 aukų praneša apie emocinį stresą, o 25 000 iš jų negauna jokios pagalbos iš atsakingų organizacijų.

Be to, 32 % nukentėjusiųjų apie tai sužino iš žiniasklaidos, o ne iš pačios organizacijos, o tai dar labiau sustiprina jų išdavystės jausmą.

ICO atkreipia dėmesį, kad per daug organizacijų iki galo neįvertina žalos ir nepaiso asmens duomenų apsaugos.

„Kai įvyksta duomenų saugumo pažeidimas, tai ne tik administracinė klaida, bet ir nesugebėjimas apsaugoti asmens.“

 

        

Rugsėjo 26 d. CNIL (Prancūzijos duomenų apsaugos tarnyba) skyrė aiškiaregystės paslaugų teikėjoms „Cosmospace“ ir „Telemaque“ atitinkamai 250 000 ir 150 000 eurų baudas už tai, kad jos negavo aiškaus atitinkamų asmenų sutikimo. prieš pradedant tvarkyti jautrius duomenis įrašytų konsultacijų metu.

Ji taip pat paskelbė, kad nuo 2024 m. birželio mėn. skyrė vienuolika naujų supaprastintų sankcijų už nusikaltimus, susijusius su pernelyg dideliu duomenų rinkimu, registro trūkumu, asmenų teisių nepaisymu ar bendradarbiavimo stoka.

Galiausiai, 2024 m. spalio 17 d., ji kreipėsi į Vidaus reikalų ir užjūrio teritorijų ministeriją bei Teisingumo ministeriją, prašydama joms sutvarkyti prastą baudžiamųjų bylų tvarkymą.

Lapkričio 19 d. CNIL organizuoja renginį „Air“, skirtą stebėjimui ir jo etinėms pasekmėms.

Debatai bus organizuojami kartu su Nacionaline žvalgybos metodų kontrolės komisija (CNCTR).

Paryžiaus prokuratūra paskelbė, kad 2024 m. spalio 18 d., per Eurojusto posėdį, Belgijos ir Prancūzijos teisminės institucijos sudarė bendrą tyrimų grupę (JIT) dėl tyrimų „Telegram“ platformoje.

Prancūzijoje 2024 m. vasarį buvo pradėtas preliminarus tyrimas, po kurio buvo pradėtas teisminis tyrimas, o šią vasarą – Pavelas Durovas.

Paryžiaus prokuratūros kibernetinių nusikaltimų skyrius anksčiau konsultavosi su įvairiomis prokuratūromis ir tyrimo tarnybomis, taip pat su užsienio partneriais Eurojuste dėl sunkumų gaunant atsakymus į prašymus.

Spalio 3 d. Kasacinis teismas panaikino Kano apeliacinio teismo sprendimą ir pakartojo, kad teismas, įpareigodamas darbdavį pateikti įrodymus apie galimą diskriminaciją darbo užmokesčio srityje civilinio proceso kontekste, privalo laikytis duomenų kiekio mažinimo principo.

Prašomi asmens duomenys, kaip įrodymai, turi būti tik tokie, kurie yra griežtai būtini procedūrai.

Spalio 22 d. nevyriausybinė organizacija „Noyb“ pateikė skundą CNIL dėl socialinės žiniasklaidos platformos „Pinterest“..

„Noyb“ nurodo, kad nepaisant 2023 m. liepos 4 d. Europos Sąjungos Teisingumo Teismo (ESTT) sprendimo, kuriuo pasmerkta ši praktika, platforma naudoja vartotojų asmens duomenis neprašydama jų sutikimo, remdamasi savo teisėtu interesu, ir kad sekimas aktyvuojamas pagal numatytuosius nustatymus.

Platforma taip pat kritikuojama dėl to, kad nepateikia informacijos apie trečiąsias šalis, su kuriomis dalijasi duomenimis.

 

Europos institucijos ir įstaigos

Spalio 9 d. Europos Komisija paskelbė pirmosios savo peržiūros ataskaitą dėl ES ir Jungtinių Valstijų duomenų apsaugos sistemos (DPF) tinkamumo sprendimo.

Komisija daro išvadą, kad JAV valdžios institucijos „įdiegė visus sistemos sudedamuosius elementus“.

Tai apima apsaugos priemonių, skirtų apriboti JAV žvalgybos tarnybų prieigą prie asmens duomenų iki to, kas būtina ir proporcinga nacionaliniam saugumui apsaugoti, įgyvendinimą, ir nepriklausomo bei nešališko teisių gynimo mechanizmo sukūrimą.

Ataskaitoje pateikiamos rekomendacijos, kaip užtikrinti, kad sistema ir toliau veiktų veiksmingai, pavyzdžiui, parengti bendras gaires dėl pagrindinių DPF reikalavimų.

Europos duomenų apsaugos valdyba (EDAV) spalio 8 ir 9 d. vykusioje plenarinėje sesijoje priėmė nuomonę dėl duomenų tvarkytojų ir vėlesnių tvarkytojų, teisėtų interesų gaires, pareiškimas dėl papildomų procedūrinių BDAR taikymo taisyklių ir EDAV darbo programos 2024–2025 m. laikotarpiui.

Lapkričio 4 d. Komitetas taip pat priėmė savo pirmąją ataskaitą dėl ES ir JAV duomenų apsaugos sistemos, taip pat pareiškimą dėl teisėsaugos institucijų prieigos prie duomenų.

Jis atkreipia dėmesį į padarytą pažangą ir ragina JAV valdžios institucijas parengti naujas gaires, o Europos Komisiją – stebėti ES piliečių teisių gynimo mechanizmą.

Spalio 4 d. sprendime byloje C-507/23 ESTT nusprendė, kad atsiprašymas gali būti tinkamas neturtinės žalos atlyginimas pagal BDAR 82 straipsnio 1 dalį, ypač kai neįmanoma atkurti iki žalos atsiradimo buvusios padėties, su sąlyga, kad ši teisių gynimo forma gali visiškai kompensuoti duomenų subjekto patirtą žalą.

 

Naujienos iš Europos Sąjungos šalių narių.

Belgijos duomenų apsaugos tarnyba (DPA) spalio 9 d. internete paskelbė savo studijų dienos apie „išmaniuosius miestus“ dokumentus.

Tikslas buvo sukurti diskusijų platformą, kurioje suinteresuotosios šalys galėtų dalytis savo patirtimi, geriausia praktika, iššūkiais, sprendimais ir „išmaniųjų miestų“ ateities vizijomis.

Mokymosi dienos ataskaita, dalyvių pasisakymai ir vaizdo įrašai pateikiami APD svetainėje.

Spalio 11 d. sprendime dėl RTL Belgium APD taip pat primena duomenų valdytojui, kad jis turi sudaryti sąlygas savo svetainės lankytojams taip pat lengvai atsisakyti slapukų, kaip ir juos priimti, o tai yra konkretus sutikimo galiojimo sąlygų taikymas.

APD taip pat sankcionuoja lankytojui rodomų mygtukų dizainą ir visų pirma remiasi Europos duomenų apsaugos valdybos darbu šiuo klausimu.

Šiuo konkrečiu atveju ryškiai oranžinis mygtukas „Priimti ir uždaryti“ ypač išsiskyrė iš likusios slapukų juostos, o APD atveju „tai yra mygtukas, į kurį pirmiausia sutelks vartotojų dėmesį“.

Atsakydama į RTL argumentą apie „meninę laisvę“, APD atkerta, kad „Duomenų valdytojai privalo užtikrinti, kad spalvos naudojimas akivaizdžiai neskatintų vartotojų sutikti su slapukų įrašymu jų naršyklėje.“

Tačiau niekas netrukdo duomenų valdytojams naudoti mygtuko spalvos, kuri panašiai paskatintų vartotojus atsisakyti slapukų įdiegimo.

Atkreipkite dėmesį, kad Austrijos duomenų apsaugos tarnyba (APD) spalio 28 d. priėmė tokį patį sprendimą dėl visuomeninės transliavimo bendrovės „Österreichischer Rundfunk“: ji nurodė bendrovei pritaikyti slapukų reklamjuostę savo svetainėje, nes grafinis parinkties „priimti visus slapukus“ paryškinimas panaikina suinteresuoto asmens sutikimą pagal BDAR 6 straipsnio 1 dalies a punktą.

Šios dvi bylos yra dalis skundų, kuriuos NVO „Noyb“ pateikė keliose ES šalyse, ir netrukus galima tikėtis tolesnių sprendimų šiuo klausimu.

Airijos duomenų apsaugos agentūra (DPA) galutinį sprendimą paskelbė spalio 24 d., po „LinkedIn“ apklausos.tyrimas buvo pradėtas gavus skundą, kurį CNIL iš pradžių pateikė „La Quadrature du net“ 2018 m.

Jame daugiausia dėmesio skirta „LinkedIn“ asmens duomenų tvarkymui elgsenos analizės ir tikslinės vartotojų reklamos tikslais, ir jis susijęs su šio tvarkymo teisėtumu, sąžiningumu ir skaidrumu.

Sprendime numatytas papeikimas, nurodymas „LinkedIn“ suderinti savo duomenų tvarkymą su reikalavimais ir administracinės baudos, kurių bendra suma siekia 310 mln. eurų.

Italijos duomenų apsaugos tarnyba (APD) skyrė 900 000 eurų baudą pagrindinei Italijos pašto tarnybai „Postel SpA“ už tai, kad beveik metus nereagavo į žinomą ir praneštą savo sistemų pažeidžiamumą.Tai sudarė sąlygas asmens duomenų pažeidimui: 2023 m. rugpjūtį bendrovė tapo išpirkos reikalaujančios programinės įrangos atakos taikiniu, dėl kurios buvo užblokuoti jos serveriai ir kai kurios darbo stotys.

Tamsiajame internete paskelbta informacija buvo susijusi su identifikavimo ir kontaktiniais duomenimis, mokėjimo duomenimis, taip pat su apkaltinamaisiais nuosprendžiais ir nusikaltimais susijusiais duomenimis, sveikatos duomenimis ir atskleidžiančiais narystę profesinėje sąjungoje.

Nyderlandų duomenų apsaugos tarnyba (APD) spalio 23 d. paskelbė, kad ištyrė aštuonis atostogų parkus, kurie naudoja veido atpažinimo technologiją, kad pasiektų baseinus ir žaidimų aikšteles, ir nustatė, kad visi šie parkai pažeidė privatumo įstatymus dėl informacijos trūkumo ir galiojančio sutikimo nebuvimo.

APD spaudimu septyni parkai pakeitė savo duomenų apdorojimo metodus.

 

„Excel“ failas leido atskleisti 9 483 Šiaurės Airijos policijos pareigūnų ir darbuotojų asmeninę informaciją.

Reaguodama į du prašymus suteikti prieigą prie duomenų, policijos tarnyba pateikė failą su užmaskuotais, bet neištrintais duomenimis. Policija, pripažinta atsakinga už duomenų nutekinimą, JK duomenų apsaugos tarnybos (DPA) skyrė rekordinę 900 000 eurų baudą.

Panašiu atveju ICO taip pat skyrė sankcijas Southend-on-Sea tarybai: atsakydama į prašymą leisti susipažinti su administraciniais dokumentais, taryba pateikė skaičiuoklę, kurioje vis dar buvo asmens duomenų.

Duomenų apsaugos institucijos iš 16 jurisdikcijų, įskaitant Australiją, Kanadą, Kiniją, Ispaniją ir Jungtinę Karalystę, tarptautinės duomenų apsaugos institucijų konferencijos metu priėmė bendrą pareiškimą dėl „duomenų išgavimo“ technologijų.

Pareiškime pabrėžiama, kad organizacijos, naudodamos asmeninę informaciją, įskaitant informaciją iš savo platformų, kurdamos didelius dirbtinio intelekto kalbos modelius (LLM), privalo laikytis duomenų apsaugos įstatymų.

Spalio 28 d. paskelbtame pareiškime išdėstyti kiti lūkesčiai, įskaitant tai, kad organizacijos:

• Jie taiko apsaugos priemonių derinį, reguliariai jas peržiūri ir atnaujina, kad neatsiliktų nuo duomenų išgavimo metodų ir technologijų pažangos; ir
• Jie užtikrina, kad įgaliotas duomenų išgavimas komerciniais ar socialiai naudingais tikslais būtų atliekamas laikantis įstatymų ir griežtų sutartinių sąlygų.

Spalio viduryje Italijoje vyko G7 duomenų apsaugos institucijų susitikimas, kurio tikslas – stiprinti institucijų bendradarbiavimą pasauliniu lygmeniu.

Buvo priimta deklaracija dėl valdžios institucijų vaidmens užtikrinant atsakingą dirbtinio intelekto naudojimą.

Taip pat buvo paskelbtas pareiškimas, kuriame pabrėžiama patikimo tarpvalstybinių duomenų srautų mechanizmo, kuris apsaugotų asmens duomenis visame pasaulyje, svarba.

Spalio 20 d. Australijos duomenų apsaugos agentūra (DPA) paskelbė du rekomendacinius dokumentus dėl privatumo apsaugos ir dirbtinio intelekto:

• Komercinių dirbtinio intelekto produktų naudojimo vadovas;
• Generatyvaus dirbtinio intelekto modelių kūrimo ir mokymo vadovas.

Tarp pagrindinių pirmojo vadovo punktų APD pabrėžia, kad

• Privatumo įsipareigojimai taikomi bet kokiai į dirbtinio intelekto sistemą įvedamai asmeninei informacijai, taip pat dirbtinio intelekto generuojamiems išvesties duomenims (kai juose yra asmeninės informacijos).
• Jei dirbtinio intelekto sistemos naudojamos asmeninei informacijai, įskaitant vaizdus, generuoti arba iš jos gauti, tai yra asmeninės informacijos rinkimas, kuris turi atitikti duomenų apsaugos principus.

Kaip geriausią praktiką, APD rekomenduoja organizacijoms neįvesti asmeninės informacijos, ypač neskelbtinos informacijos, į viešai prieinamus generatyvinius dirbtinio intelekto įrankius dėl didelių ir sudėtingų privatumo rizikų.

Spalio mėnesį paviešinti vidiniai „TikTok“ pranešimai parodė, kad bendrovė nesijaudino dėl žalingo programėlės poveikio Amerikos paaugliams, nors jos pačios tyrimai iškėlė daugybę abejonių.

Šie konfidencialūs dokumentai yra daugiau nei dvejus metus trukusio tyrimo, kurį atliko 14 Jungtinių Valstijų generalinių prokurorų, dalis.

Ieškinyje teigiama, kad „TikTok“ buvo sukurta turint aiškų tikslą sukelti jaunų žmonių priklausomybę nuo programėlės ir kad bendrovė klaidino visuomenę apie su ja susijusią riziką.

Pasak NPR, kuri turėjo prieigą prie dokumentų, „TikTok“ nustatė tikslų peržiūrų skaičių (260), reikalingą, kad asmuo taptų priklausomas nuo platformos.

Pasak valstijos tyrėjų, „nors tai gali atrodyti reikšminga, „TikTok“ vaizdo įrašai gali būti vos 8 sekundžių trukmės ir žiūrovai juos rodo greitai, automatiškai iš eilės. (...) Taigi, per mažiau nei 35 minutes vidutinis vartotojas greičiausiai taps priklausomas nuo platformos.“

Šiuo metu „Internet Archive“ patiria kibernetinių atakų bangą.

Pirmoji atakų serija, paviešinta spalio viduryje, susidėjo iš kelių DDoS atakų. Hakeriai taip pat atskleidė, kad gavo prieigą prie 31 milijono vartotojų duomenų.

Spalio pabaigoje organizacija vėl tapo įsilaužimo auka, šį kartą – į savo el. pašto palaikymo platformą „Zendesk“, po to, kai buvo ne kartą įspėta apie autentifikavimo žetonų vagystę.