Juridiskā uzraudzība Nr. 76 — 2024. gada oktobris.  

Kiberuzbrukumi: paaugstināts risks un mainīgs tiesiskais regulējums.

 Šoruden Francijā kiberuzbrukumu skaits, kas vērsti pret uzņēmumiem vai sabiedriskajiem pakalpojumiem, ir neskaitāms.

Pēc Boulanger, Cultura, Truffaut, Grosbill un SFR, tagad ir pienākusi Frī kārta ciest no liela kiberuzbrukuma, tieši tad, kad kiberdrošības izpratnes mēnesis tuvojas beigām.

E-pastā saviem klientiem uzņēmums norādīja, ka uzbrukuma rezultātā tika iegūta neatļauta piekļuve dažiem ar abonentu kontiem saistītajiem personas datiem, tostarp viņu pieteikšanās akreditācijas datiem, kontaktinformācijai, līguma informācijai un dažos gadījumos arī viņu IBAN. Tiek lēsts, ka pārkāpums ietekmē vairāk nekā 19 miljonus klientu.

Uzņēmums Free ir paziņojis CNIL un ANSSI par datu noplūdi.

Ja ņemam vērā arī liela mēroga uzbrukumus, kas 2024. gada sākumā bija vērsti pret divām lielām trešo pušu maksājumu organizācijām un France Travail, daži lēš, ka šodien tumšajā tīmeklī tiek pārdoti vairāk nekā 40 miljonu franču dati.

Šo uzbrukumu skaita pieaugums ir pamudinājis CNIL publicēt informatīvu lapu, lai palīdzētu iesaistītajām personām sevi aizsargāt.

Viņa jo īpaši iesaka pārbaudīt bankas kontu aktivitātes, būt modriem attiecībā uz identitātes zādzības un pikšķerēšanas riskiem, mainīt paroles un izmantot daudzfaktoru autentifikācijas procedūras.

Līdz šim CNIL reti sodīja uzņēmumus, kas bija kiberuzbrukumu upuri, par datu aizsardzības nespēju, atšķirībā no Eiropas kolēģiem.

Tomēr tā tikko ir noteikusi sankcijas kriptoaktīvu drošības uzņēmumam Ledger par nespēju pienācīgi aizsargāt savu klientu datus.

Kā vēsta laikraksts "La Lettre", kas par šo stāstu ziņoja 23. oktobrī, uzliktais naudas sods ir 750 000 eiro. CNIL šo summu nav apstiprinājusi.

Uzņēmums 2020. gadā cieta no vairākiem personas datu pārkāpumiem, kas ietekmēja daudzus klientus un potenciālos klientus.

GDPR noteikumiem tagad tiek pievienoti jauni noteikumi, kas pieprasa datu pārziņiem nodrošināt datu drošību.

Šīs ir Eiropas NIS2 direktīvas saistības, kas stājās spēkā 17. oktobrī.

Šīs direktīvas mērķis ir mazināt apdraudējumus tīkliem un informācijas sistēmām, kas sniedz būtiskus pakalpojumus galvenajās nozarēs, lai stiprinātu Eiropas Savienības drošību.

Teksta darbības joma ir plašāka salīdzinājumā ar NIS1 direktīvu, un tas īpaši attiecas uz infrastruktūru un subjektiem, kas ir būtiski iekšējā tirgus ekonomisko un sabiedrisko darbību pareizai darbībai: valsts pārvaldes iestādēm, telekomunikāciju infrastruktūrām, informācijas un komunikācijas pakalpojumiem, digitālo pakalpojumu sniedzējiem, kā arī pārtikas vai ķīmiskās rūpniecības, veselības aprūpes vai notekūdeņu attīrīšanas nozarēm.

Prasības jo īpaši attiecas uz pārvaldības un kiberrisku pārvaldības pasākumiem, administratīvās informācijas sistēmas nodalīšanu, pienākumu ziņot par jebkuru incidentu un piegādes ķēžu drošību.

Direktīva, tāpat kā GDPR, paredz incidentu paziņošanu un finansiālas sankcijas.

Lai gan pilnīgas atbilstības nodrošināšanai ir paredzēts trīs gadu periods, ātri jāievieš minimums, proti, regulētās struktūras reģistrācija ANSSI portālā “monespaceNIS2”, incidentu paziņošana un investīciju drošības risinājumos demonstrēšana.

Neatkarīgi no noteikumiem un sankcijām ir labi atcerēties drošības pārkāpumu cilvēciskās sekas.

To nupat 28. oktobrī publicēja Lielbritānijas Informācijas komisārs (ICO).

Brīdinājumā datu pārziņiem iestāde uzsver datu pārkāpumu dažkārt postošās sekas.

Viņa min, ka 55 % pieaugušo Apvienotajā Karalistē ir piedzīvojuši datu zudumu vai nozagšanu, kas ir gandrīz 30 miljoni cilvēku.

Šīs situācijas personīgās un emocionālās sekas pārāk bieži tiek ignorētas: 301 000 upuru ziņo par emocionālām ciešanām, savukārt 25 000 no viņiem nesaņem nekādu palīdzību no atbildīgajām organizācijām.

Turklāt 32% cietušo par to uzzina no plašsaziņas līdzekļiem, nevis no pašas organizācijas, kas pastiprina viņu nodevības sajūtu.

ICO norāda, ka pārāk daudzas organizācijas pilnībā neizmēra nodarīto kaitējumu un atstāj novārtā personas datu aizsardzību.

"Datu noplūdes gadījumā tā nav tikai administratīva kļūda, bet gan nespēja aizsargāt kādu personu."

 

        

26. septembrī CNIL (Francijas Datu aizsardzības iestāde) piesprieda psihisko pakalpojumu sniedzējiem Cosmospace un Telemaque attiecīgi 250 000 eiro un 150 000 eiro sodu par to, ka tie nebija saņēmuši attiecīgo personu nepārprotamu piekrišanu. pirms sensitīvu datu apstrādes ierakstītu konsultāciju sesiju kontekstā.

Tā arī paziņoja, ka kopš 2024. gada jūnija ir noteikusi vienpadsmit jaunas vienkāršotas sankcijas par pārkāpumiem, kas saistīti ar pārmērīgu datu vākšanu, reģistra trūkumu, personu tiesību neievērošanu vai sadarbības trūkumu.

Visbeidzot, 2024. gada 17. oktobrī viņa aicināja Iekšlietu un aizjūras teritoriju ministriju un Tieslietu ministriju piesaukt slikto krimināllietu apstrādes datnes pārvaldību.

19. novembrī CNIL organizē pasākumu "Air", kas veltīts novērošanai un tās ētiskajām sekām.

Debates tiks organizētas sadarbībā ar Nacionālo izlūkošanas metožu kontroles komisiju (CNCTR).

Parīzes prokuratūra paziņoja, ka 2024. gada 18. oktobrī Eurojust sanāksmē Beļģijas un Francijas tiesu iestādes izveidoja kopīgu izmeklēšanas grupu (JIT) attiecībā uz izmeklēšanu Telegram platformā.

Francijā 2024. gada februārī tika uzsākta iepriekšēja izmeklēšana, kuras rezultātā tika uzsākta tiesas izmeklēšana un pēc tam šovasar tika arestēts Pāvels Durovs.

Parīzes prokuratūras kibernoziegumu nodaļa iepriekš bija konsultējusies ar dažādām prokuratūrām un izmeklēšanas dienestiem, kā arī ar saviem ārvalstu partneriem Eurojust ietvaros par grūtībām saņemt atbildes uz pieprasījumiem.

Kasācijas tiesa 3. oktobrī atcēla Kānas Apelācijas tiesas lēmumu un atkārtoti uzsvēra, ka tiesai, pieprasot darba devējam iesniegt pierādījumus par iespējamu diskrimināciju darba samaksas jomā civilprocesa kontekstā, ir jāievēro datu minimizēšanas princips.

Kā pierādījumi pieprasītajiem personas datiem jābūt ierobežotiem līdz tiem, kas ir absolūti nepieciešami procedūrai.

22. oktobrī NVO Noyb iesniedza sūdzību CNIL pret sociālo mediju platformu Pinterest..

Noyb norāda, ka, neskatoties uz Eiropas Savienības Tiesas (EST) 2023. gada 4. jūlija nolēmumu, kas nosoda šo praksi, platforma izmanto lietotāju personas datus, neprasot viņu piekrišanu, pamatojoties uz savām leģitīmajām interesēm, un ka tā pēc noklusējuma aktivizē izsekošanu.

Platforma tiek kritizēta arī par to, ka tā nesniedz informāciju par trešajām pusēm, ar kurām tā kopīgo datus.

 

Eiropas iestādes un struktūras

Eiropas Komisija 9. oktobrī publicēja ziņojumu par savu pirmo pārskatu attiecībā uz ES un Amerikas Savienoto Valstu datu aizsardzības regulējuma (DPF) atbilstības lēmumu.

Komisija secina, ka ASV iestādes "ir ieviesušas visus regulējuma elementus".

Tas ietver drošības pasākumu ieviešanu, lai ierobežotu ASV izlūkdienestu piekļuvi personas datiem līdz tādam līmenim, kas ir nepieciešams un samērīgs valsts drošības aizsardzībai, un neatkarīga un objektīva tiesiskās aizsardzības mehānisma izveidi.

Ziņojumā ir ietverti ieteikumi, lai nodrošinātu sistēmas efektīvu darbību arī turpmāk, piemēram, izstrādāt kopīgas vadlīnijas par galvenajām DPF prasībām.

Eiropas Datu aizsardzības kolēģija (EDAK) 8. un 9. oktobra plenārsesijā pieņēma atzinumu par apstrādātājiem un turpmākajiem apstrādātājiem, vadlīnijas par likumīgām interesēm, paziņojums par papildu procedūras noteikumiem VDAR piemērošanai un EDAK darba programma 2024.–2025. gadam.

4. novembrī komiteja pieņēma arī savu pirmo ziņojumu par ES un ASV datu aizsardzības regulējumu, kā arī paziņojumu par tiesībaizsardzības iestāžu piekļuvi datiem.

Viņš norāda uz panākto progresu un mudina ASV iestādes izstrādāt jaunas vadlīnijas, kā arī Eiropas Komisiju uzraudzīt ES pilsoņu tiesiskās aizsardzības mehānismu.

Savā 4. oktobra spriedumā lietā C-507/23 EST lēma, ka atvainošanās var būt atbilstoša kompensācija par morālo kaitējumu saskaņā ar VDAR 82. panta 1. punktu, jo īpaši, ja atgriešanās pie situācijas, kāda bija pirms kaitējuma, nav iespējama, ar nosacījumu, ka šāda veida kompensācija spēj pilnībā kompensēt datu subjektam nodarīto kaitējumu.

 

Ziņas no Eiropas Savienības dalībvalstīm.

Beļģijas Datu aizsardzības iestāde (DPA) 9. oktobrī tiešsaistē publicēja dokumentus no savas pētījumu dienas par "viedajām pilsētām".

Mērķis bija nodrošināt diskusiju platformu, kur ieinteresētās personas varētu dalīties pieredzē, labākajā praksē, izaicinājumos, risinājumos un vīzijās par "viedpilsētu" nākotni.

Mācību dienas ziņojums, dalībnieku intervences un videoieraksti ir pieejami APD tīmekļa vietnē.

2011. gada 11. oktobra lēmumā par RTL Belgium APD arī atgādina datu pārzinim, ka tam ir jānodrošina tikpat vienkārša tīmekļa vietnes apmeklētājiem iespēja atteikties no sīkfailu izvietošanas, cik to pieņemšana, tādējādi konkrēti piemērojot piekrišanas derīguma nosacījumus.

APD arī sankcionē apmeklētājam parādīto pogu dizainu un jo īpaši atsaucas uz EDAK darbu šajā jautājumā.

Šajā konkrētajā gadījumā spilgti oranžā poga “Pieņemt un aizvērt” īpaši izcēlās uz pārējā sīkfailu reklāmkaroga fona, un APD gadījumā “šī ir poga, uz kuru galvenokārt pievērsīsies lietotāju uzmanība”.

Atbildot uz RTL argumentu par "māksliniecisko brīvību", APD atbild, ka "Datu pārziņiem ir jānodrošina, ka krāsas izmantošana nepārprotami neveicina lietotāju piekrišanu sīkfailu ievietošanai viņu pārlūkprogrammā."

Tomēr nekas neliedz datu pārziņiem izmantot pogas krāsu, kas līdzīgi mudinātu lietotājus atteikties no sīkfailu izvietošanas.

Jāņem vērā, ka Austrijas Datu aizsardzības iestāde (APD) 28. oktobrī pieņēma tādu pašu lēmumu attiecībā uz sabiedriskās raidorganizācijas Österreichischer Rundfunk darbību: tā lika uzņēmumam pielāgot sīkfailu reklāmkarogu savā tīmekļa vietnē, jo opcijas "pieņemt visus sīkfailus" grafiskais izcelšana padara attiecīgās personas piekrišanu par spēkā neesošu saskaņā ar VDAR 6. panta 1. punkta a) apakšpunktu.

Šīs divas lietas ir daļa no sūdzību sērijas, ko NVO Noyb iesniegusi vairākās ES valstīs, un drīzumā var sagaidīt turpmākus lēmumus šajā jautājumā.

Īrijas Datu aizsardzības aģentūra (DPA) paziņoja savu galīgo lēmumu 24. oktobrī pēc LinkedIn aptaujas.izmeklēšana tika uzsākta pēc sūdzības, ko sākotnēji CNIL iesniedza La Quadrature du net 2018. gadā.

Tajā uzmanība tika pievērsta LinkedIn veiktajai personas datu apstrādei lietotāju uzvedības analīzes un mērķtiecīgas reklāmas nolūkos, un tā attiecas uz šīs apstrādes likumību, taisnīgumu un pārredzamību.

Lēmumā iekļauts rājiens, rīkojums LinkedIn nodrošināt atbilstību prasībām attiecībā uz apstrādi un administratīvie naudas sodi 310 miljonu eiro apmērā.

Itālijas Datu aizsardzības iestāde (APD) ir piespriedusi 900 000 eiro sodu Itālijas galvenajam pasta dienestam Postel SpA par to, ka tas gandrīz gadu nav reaģējis uz zināmu un ziņotu ievainojamību savās sistēmās.Tas padarīja iespējamu personas datu noplūdi: 2023. gada augustā uzņēmums kļuva par izspiedējvīrusa uzbrukuma mērķi, kā rezultātā tika bloķēti tā serveri un dažas darbstacijas.

Tumšajā tīmeklī publicētā informācija attiecās uz identifikācijas un kontaktinformāciju, maksājumu datiem, kā arī datiem par kriminālsodāmību un pārkāpumiem, veselības datiem un informāciju par piederību arodbiedrībai.

Nīderlandes Datu aizsardzības iestāde (APD) 23. oktobrī paziņoja, ka ir izmeklējusi astoņus brīvdienu parkus, kas izmanto sejas atpazīšanu, lai piekļūtu peldbaseiniem un rotaļu laukumiem, un konstatējusi, ka visi šie parki pārkāpj privātuma likumus informācijas trūkuma un derīgas piekrišanas neesamības dēļ.

APD spiediena ietekmē septiņi parki mainīja savas datu apstrādes metodes.

 

Excel fails ir ļāvis atklāt 9483 Ziemeļīrijas policijas amatpersonu un darbinieku personisko informāciju.

Atbildot uz diviem pieprasījumiem piekļūt datiem, policijas dienests sniedza failu ar maskētiem, bet nedzēstiem datiem. Atzīstot policiju par atbildīgu par noplūdi, Apvienotās Karalistes Datu aizsardzības iestāde (DPA) tai piesprieda rekordlielu 900 000 eiro lielu naudas sodu.

Līdzīgā kontekstā ICO piemēroja sankcijas arī Sautendas pie jūras domei: atbildot uz pieprasījumu par piekļuvi administratīvajiem dokumentiem, dome sniedza izklājlapu, kurā joprojām bija ietverti personas dati.

Datu aizsardzības iestādes no 16 jurisdikcijām, tostarp Austrālijas, Kanādas, Ķīnas, Spānijas un Apvienotās Karalistes, starptautiskās datu aizsardzības iestāžu konferences laikā pieņēma kopīgu paziņojumu par "nokasīšanas" tehnoloģijām.

Paziņojumā uzsvērts, ka organizācijām, izmantojot personas informāciju, tostarp informāciju no savām platformām, lielu mākslīgā intelekta valodu modeļu (LLM) izstrādei, ir jāievēro datu aizsardzības likumi.

28. oktobrī publicētajā paziņojumā ir izklāstītas citas cerības, tostarp, ka organizācijām:

• Viņi ievieš vairākus drošības pasākumus, regulāri tos pārskata un atjaunina, lai neatpaliktu no sasniegumiem datu ieguves metodēs un tehnoloģijās; un
• Tie nodrošina, ka autorizēta datu ieguve komerciāliem vai sociāli izdevīgiem mērķiem tiek veikta saskaņā ar likumu un stingriem līguma nosacījumiem.

Oktobra vidū Itālijā notika datu aizsardzības iestāžu G7 sanāksme, kuras mērķis bija stiprināt iestāžu sadarbību globālā līmenī.

Tika pieņemta deklarācija par iestāžu lomu, lai nodrošinātu, ka mākslīgais intelekts tiek izmantots atbildīgi.

Tika publicēts arī paziņojums, kurā uzsvērta stabila mehānisma nozīme pārrobežu datu plūsmām, kas aizsargā personas datus globālā mērogā.

20. oktobrī Austrālijas Datu aizsardzības aģentūra (DPA) publicēja divus norādījumus par privātuma aizsardzību un mākslīgo intelektu:

• Rokasgrāmata par komerciāli pieejamu mākslīgā intelekta produktu lietošanu;
• Ceļvedis ģeneratīvo mākslīgā intelekta modeļu izstrādē un apmācībā.

Starp galvenajiem punktiem attiecībā uz pirmo rokasgrāmatu APD uzsver, ka

• Privātuma saistības attiecas uz jebkādu personas informāciju, kas ievadīta mākslīgā intelekta sistēmā, kā arī uz mākslīgā intelekta ģenerētiem izejas datiem (ja tie satur personas informāciju).
• Ja mākslīgā intelekta sistēmas tiek izmantotas, lai ģenerētu vai secinātu personas informāciju, tostarp attēlus, tā ir personas informācijas vākšana, kurai jāatbilst datu aizsardzības principiem.

Kā labāko praksi APD iesaka organizācijām neievadīt personisko informāciju, un jo īpaši sensitīvu informāciju, publiski pieejamos ģeneratīvajos mākslīgā intelekta rīkos, ņemot vērā ar to saistītos ievērojamos un sarežģītos privātuma riskus.

Oktobrī publiskotā TikTok iekšējā komunikācija parādīja, ka uzņēmums nav noraizējies par lietotnes kaitīgo ietekmi uz amerikāņu pusaudžiem, lai gan tā paša pētījums izcēla daudzas bažas.

Šie konfidenciālie dokumenti ir daļa no vairāk nekā divus gadus ilgas izmeklēšanas, ko veica 14 Amerikas Savienoto Valstu ģenerālprokurori.

Prasībā tiek apgalvots, ka TikTok tika izstrādāts ar skaidru nolūku padarīt jauniešus atkarīgus no lietotnes, un ka uzņēmums maldināja sabiedrību par ar to saistītajiem riskiem.

Saskaņā ar NPR, kam bija piekļuve dokumentiem, sniegto informāciju TikTok noteica precīzu skatījumu skaitu (260), kas nepieciešams, lai persona, visticamāk, kļūtu atkarīga no platformas.

Saskaņā ar štata izmeklētāju teikto, "lai gan tas var šķist nozīmīgi, TikTok videoklipi var būt pat 8 sekundes gari, un skatītāji tos atskaņo ātri, automātiski pēc kārtas. (...) Tādējādi mazāk nekā 35 minūtēs vidusmēra lietotājs, visticamāk, kļūs atkarīgs no platformas."

Interneta arhīvs pašlaik piedzīvo kiberuzbrukumu vilni.

Pirmā uzbrukumu sērija, kas tika publiskota oktobra vidū, sastāvēja no vairākiem DDoS uzbrukumiem. Hakeri arī atklāja, ka ir ieguvuši piekļuvi 31 miljona lietotāju datiem.

Oktobra beigās organizācija atkal kļuva par ielaušanās upuri, šoreiz tās Zendesk e-pasta atbalsta platformā, pēc tam, kad tā atkārtoti tika brīdināta par autentifikācijas žetonu zādzību.