Právny prehľad č. 76 – október 2024.  

Kybernetické útoky: zvýšené riziko a vyvíjajúci sa právny rámec.

 Počet kybernetických útokov zameraných na podniky alebo verejné služby vo Francúzsku túto jeseň je nespočetný.

Po Boulanger, Cultura, Truffaut, Grosbill a SFR je teraz na rade aj Free, ktorý utrpel rozsiahly kybernetický útok, práve keď sa končí mesiac zameraný na zvyšovanie povedomia o kybernetickej bezpečnosti.

V e-maile adresovanom svojim zákazníkom spoločnosť uviedla, že útok viedol k neoprávnenému prístupu k niektorým osobným údajom spojeným s účtami predplatiteľov vrátane ich prihlasovacích údajov, kontaktných informácií, zmluvných údajov a v niektorých prípadoch aj ich IBAN. Odhaduje sa, že narušenie postihlo viac ako 19 miliónov zákazníkov.

Spoločnosť Free informovala CNIL a ANSSI o úniku údajov.

Ak vezmeme do úvahy aj rozsiahle útoky, ktoré boli začiatkom roka 2024 zamerané na dve hlavné platobné organizácie tretích strán a France Travail, niektorí odhadujú, že dnes sú na dark webe na predaj údaje viac ako 40 miliónov Francúzov.

Nárast týchto útokov viedol CNIL k zverejneniu informačného listu, ktorý má pomôcť dotknutým chrániť sa.

Odporúča najmä kontrolu aktivít na bankových účtoch, ostražitosť voči rizikám krádeže identity a phishingu, zmenu hesiel a používanie postupov viacfaktorového overovania.

CNIL doteraz len zriedka sankcionovala spoločnosti, ktoré sa stali obeťami kybernetických útokov, za to, že na rozdiel od svojich európskych konkurentov nechránili údaje.

Práve však sankcionovala spoločnosť Ledger, ktorá sa zaoberá bezpečnosťou kryptoaktív, za to, že dostatočne nechránila údaje svojich zákazníkov.

Podľa denníka La Lettre, ktorý o tejto udalosti informoval 23. októbra, uložená pokuta predstavuje 750 000 eur. CNIL túto sumu nepotvrdila.

Spoločnosť v roku 2020 utrpela niekoľko únikov osobných údajov, ktoré ovplyvnili početných zákazníkov a potenciálnych zákazníkov.

K ustanoveniam GDPR sa teraz pridávajú nové pravidlá, ktoré vyžadujú, aby prevádzkovatelia údajov zabezpečili údaje.

Ide o povinnosti vyplývajúce z európskej smernice NIS2, ktorá nadobudla účinnosť 17. októbra.

Cieľom tejto smernice je zmierniť hrozby pre siete a informačné systémy, ktoré poskytujú základné služby v kľúčových odvetviach, s cieľom posilniť bezpečnosť Európskej únie.

Text rozširuje svoj rozsah pôsobnosti v porovnaní so smernicou NIS1 a zameriava sa konkrétne na infraštruktúry a subjekty, ktoré sú nevyhnutné pre riadne fungovanie hospodárskych a spoločenských činností na vnútornom trhu: verejnú správu, telekomunikačné infraštruktúry, informačné a komunikačné služby, poskytovateľov digitálnych služieb, ale aj sektory potravinárskej alebo chemickej výroby, zdravotníctva alebo čistenia odpadových vôd.

Požiadavky sa týkajú najmä opatrení v oblasti riadenia a riadenia kybernetických rizík, kompartmentalizácie administratívnych informačných systémov, povinnosti hlásiť akýkoľvek incident a bezpečnosti dodávateľských reťazcov.

Smernica, podobne ako GDPR, ustanovuje oznamovanie incidentov a finančných sankcií.

Hoci sa na úplný súlad plánuje trojročné obdobie, je potrebné rýchlo zaviesť minimum, a to „registráciu regulovaného subjektu na portáli „monespaceNIS2“ v ANSSI, oznámenia o incidentoch a preukázanie investícií do bezpečnostných riešení“.

Bez ohľadu na pravidlá a sankcie je dobré pamätať na ľudské dôsledky porušenia bezpečnosti.

Toto práve urobil britský komisár pre informácie (ICO) vo svojej publikácii z 28. októbra.

Úrad vo varovaní pre prevádzkovateľov údajov zdôrazňuje niekedy ničivé následky únikov údajov.

Spomína, že 55 % dospelých v Spojenom kráľovstve malo stratené alebo ukradnuté údaje, čo predstavuje takmer 30 miliónov ľudí.

Osobné a emocionálne dôsledky tejto situácie sa príliš často prehliadajú: 301 000 obetí hlási emocionálne utrpenie, zatiaľ čo 25 000 z nich nedostáva od zodpovedných organizácií žiadnu pomoc.

Okrem toho sa 32 % postihnutých o tom dozvie prostredníctvom médií a nie od samotnej organizácie, čo zvýrazňuje ich pocit zrady.

ICO poukazuje na to, že príliš veľa organizácií plne nemeria škody a zanedbáva ochranu osobných údajov.

„Keď dôjde k úniku údajov, nejde len o administratívnu chybu, ale o zlyhanie v ochrane niekoho.“

 

        

Francúzsky úrad na ochranu údajov (CNIL) udelil 26. septembra spoločnostiam Cosmospace a Telemaque, poskytovateľom psychických služieb, pokutu 250 000 eur a 150 000 eur za to, že nezískali výslovný súhlas dotknutých osôb. pred spracovaním citlivých údajov v kontexte nahraných konzultačných stretnutí.

Taktiež oznámila, že od júna 2024 vydala jedenásť nových zjednodušených sankcií týkajúcich sa trestných činov súvisiacich s nadmerným zhromažďovaním údajov, nedostatkom registra, nerešpektovaním práv osôb alebo nedostatkom spolupráce.

Nakoniec 17. októbra 2024 vyzvala ministerstvo vnútra a zámorských území a ministerstvo spravodlivosti, aby im vyčítali zlé vedenie spisu o spracovaní trestných záznamov.

CNIL organizuje 19. novembra podujatie „Air“ venované sledovaniu a jeho etickým dôsledkom.

Debaty budú organizované v spolupráci s Národnou komisiou pre kontrolu spravodajských techník (CNCTR).

Parížska prokuratúra oznámila, že 18. októbra 2024 počas stretnutia Eurojustu belgické a francúzske justičné orgány vytvorili spoločný vyšetrovací tím (JIT) v súvislosti s vyšetrovaniami v súvislosti s Telegramom.

Vo Francúzsku bolo vo februári 2024 začaté predbežné vyšetrovanie, ktoré viedlo k začatiu súdneho vyšetrovania a následnému zatknutiu Pavla Durova toto leto.

Oddelenie pre kybernetickú kriminalitu parížskej prokuratúry sa predtým poradilo s rôznymi prokuratúrami a vyšetrovacími službami, ako aj so svojimi zahraničnými partnermi v rámci Eurojustu, o ťažkostiach so získavaním odpovedí na žiadosti.

Kasačný súd 3. októbra zrušil rozhodnutie Odvolacieho súdu v Caen a zopakoval, že súd musí rešpektovať zásadu minimalizácie údajov, keď nariaďuje zamestnávateľovi predložiť dôkazy o možnej diskriminácii v odmeňovaní v rámci občianskoprávneho konania.

Osobné údaje požadované ako dôkaz musia byť obmedzené na to, čo je nevyhnutne potrebné pre daný postup.

Dňa 22. októbra podala mimovládna organizácia Noyb sťažnosť na CNIL proti platforme sociálnych médií Pinterest..

Noyb uvádza, že napriek rozhodnutiu Súdneho dvora Európskej únie (SDEÚ) zo 4. júla 2023, ktoré túto prax odsúdilo, platforma používa osobné údaje používateľov bez toho, aby si vyžiadala ich súhlas, na základe svojho oprávneného záujmu a že štandardne aktivuje sledovanie.

Platforma je tiež kritizovaná za to, že neposkytuje informácie o tretích stranách, s ktorými zdieľa údaje.

 

Európske inštitúcie a orgány

Európska komisia 9. októbra zverejnila správu o svojom prvom preskúmaní týkajúceho sa rozhodnutia o primeranosti rámca ochrany údajov (DPF) medzi EÚ a Spojenými štátmi.

Komisia dospela k záveru, že orgány USA „zaviedli všetky základné prvky rámca“.

To zahŕňa zavedenie záruk na obmedzenie prístupu spravodajských služieb USA k osobným údajom na to, čo je nevyhnutné a primerané na ochranu národnej bezpečnosti, a vytvorenie nezávislého a nestranného mechanizmu nápravy.

Správa obsahuje odporúčania na zabezpečenie toho, aby rámec naďalej fungoval efektívne, ako napríklad vypracovanie spoločných usmernení ku kľúčovým požiadavkám DPF.

Európsky výbor pre ochranu údajov (EDPB) počas svojho plenárneho zasadnutia 8. a 9. októbra prijal stanovisko k spracovateľom a následným spracovateľom, usmernenia k oprávnenému záujmu, vyhlásenie o dodatočných procesných pravidlách pre uplatňovanie GDPR a pracovného programu EDPB na obdobie rokov 2024 – 2025.

Výbor 4. novembra prijal aj svoju prvú správu o rámci ochrany údajov medzi EÚ a USA, ako aj vyhlásenie o prístupe orgánov činných v trestnom konaní k údajom.

Berie na vedomie dosiahnutý pokrok a nabáda orgány USA, aby vypracovali nové usmernenia, a Európsku komisiu, aby monitorovala mechanizmus nápravy pre občanov EÚ.

Súdny dvor EÚ vo svojom rozsudku C-507/23 zo 4. októbra rozhodol, že ospravedlnenie môže predstavovať primeranú náhradu nemajetkovej ujmy podľa článku 82 ods. 1 GDPR, najmä ak je návrat k situácii pred vznikom ujmy nemožný, za predpokladu, že táto forma náhrady je schopná plne kompenzovať ujmu, ktorú dotknutá osoba utrpela.

 

Správy z členských krajín Európskej únie.

Belgický úrad pre ochranu údajov (DPA) zverejnil 9. októbra online dokumenty zo svojho študijného dňa o „inteligentných mestách“.

Cieľom bolo poskytnúť diskusnú platformu, kde by zainteresované strany mohli zdieľať svoje skúsenosti, osvedčené postupy, výzvy, riešenia a vízie budúcnosti „inteligentných miest“.

Správa zo študijného dňa, intervencie účastníkov a videosekvencie sú dostupné na webovej stránke APD.

V rozhodnutí z 11. októbra týkajúcom sa spoločnosti RTL Belgium APD tiež pripomína prevádzkovateľovi údajov, že musí návštevníkom svojej webovej stránky uľahčiť odmietnutie ukladania súborov cookie rovnako ako ich prijatie, čo predstavuje konkrétne uplatnenie podmienok platnosti súhlasu.

Smernica o azylovom procese (APD) tiež schvaľuje dizajn tlačidiel zobrazovaných návštevníkovi a odkazuje najmä na prácu EDPB v tejto oblasti.

V tomto konkrétnom prípade jasne oranžové tlačidlo „Prijať a zavrieť“ obzvlášť vynikalo spomedzi zvyšku bannera so súbormi cookie a pre APD „je to tlačidlo, na ktoré sa bude primárne sústrediť pozornosť používateľov“.

V reakcii na argument RTL o „umeleckéj slobode“ APD odpovedá, že „Prevádzkovatelia údajov musia zabezpečiť, aby použitie farby zjavne nenabádalo používateľov k súhlasu s umiestnením súborov cookie do ich prehliadača.“

Nič však nebráni prevádzkovateľom údajov v používaní farby tlačidiel, ktorá by podobne nabádala používateľov k odmietnutiu umiestnenia súborov cookie.

Upozorňujeme, že rakúsky úrad na ochranu údajov (APD) prijal 28. októbra rozhodnutie v rovnakom smere týkajúce sa verejnoprávneho vysielania Österreichischer Rundfunk: nariadil spoločnosti prispôsobiť banner s cookies na svojej webovej stránke, pretože grafické zvýraznenie možnosti „prijať všetky cookies“ ruší platnosť súhlasu dotknutej osoby podľa článku 6(1)(a) GDPR.

Tieto dva prípady sú súčasťou série sťažností, ktoré podala mimovládna organizácia Noyb vo viacerých krajinách EÚ, a ďalšie rozhodnutia v tejto veci možno očakávať čoskoro.

Írsky úrad na ochranu údajov (DPA) oznámil svoje konečné rozhodnutie 24. októbra po prieskume na LinkedIn.Vyšetrovanie sa začalo po sťažnosti, ktorú pôvodne v roku 2018 podala na CNIL agentúra La Quadrature du net.

Zamerala sa na spracovanie osobných údajov spoločnosťou LinkedIn na účely behaviorálnej analýzy a cielenej reklamy používateľov a týkala sa zákonnosti, spravodlivosti a transparentnosti tohto spracovania.

Rozhodnutie zahŕňa pokarhanie, príkaz spoločnosti LinkedIn, aby zosúladila spracovanie údajov s predpismi, a administratívne pokuty v celkovej výške 310 miliónov eur.

Taliansky úrad na ochranu údajov (APD) udelil spoločnosti Postel SpA, hlavnej talianskej poštovej službe, pokutu 900 000 eur za to, že takmer rok nereagovala na známu a nahlásenú zraniteľnosť vo svojich systémoch.To umožnilo únik osobných údajov: v auguste 2023 sa spoločnosť stala terčom útoku ransomvéru, ktorý viedol k zablokovaniu jej serverov a niektorých pracovných staníc.

Informácie zverejnené na dark webe sa týkali identifikačných a kontaktných údajov, údajov o platbách, ako aj údajov týkajúcich sa odsúdení za trestné činy a priestupky, zdravotných údajov a odhaľujúcich členstvo v odboroch.

Holandský úrad na ochranu údajov (APD) 23. októbra oznámil, že prešetril osem rekreačných parkov, ktoré používajú rozpoznávanie tváre na prístup k bazénom a ihriskám, a zistil, že všetky tieto parky porušujú zákony o ochrane súkromia z dôvodu nedostatku informácií a absencie platného súhlasu.

Pod tlakom APD sedem parkov zmenilo svoje metódy spracovania údajov.

 

Súbor programu Excel umožnil zverejnenie osobných údajov 9 483 príslušníkov a zamestnancov polície Severného Írska.

V reakcii na dve žiadosti o prístup k údajom policajný zbor poskytol súbor s údajmi, ktoré boli maskované, ale nie vymazané. Polícia, ktorá bola uznaná za zodpovednú za únik údajov, dostala od britského Úradu na ochranu údajov (DPA) rekordnú pokutu 900 000 eur.

V podobnej súvislosti ICO sankcionoval aj radu mesta Southend-on-Sea: v reakcii na žiadosť o prístup k administratívnym dokumentom rada poskytla tabuľku, ktorá stále obsahovala osobné údaje.

Orgány na ochranu údajov zo 16 jurisdikcií vrátane Austrálie, Kanady, Číny, Španielska a Spojeného kráľovstva prijali na okraji medzinárodnej konferencie orgánov na ochranu údajov spoločné vyhlásenie o technológiách „scrapingu“.

Vyhlásenie zdôrazňuje, že organizácie musia dodržiavať zákony o ochrane údajov pri používaní osobných údajov vrátane informácií z vlastných platforiem na vývoj rozsiahlych modelov jazyka umelej inteligencie (LLM).

Vyhlásenie zverejnené 28. októbra načrtáva ďalšie očakávania vrátane toho, že organizácie:

• Zavádzajú kombináciu ochranných opatrení, pravidelne ich kontrolujú a aktualizujú, aby držali krok s pokrokom v technikách a technológiách scrapingu; a
• Zabezpečujú, aby sa oprávnená extrakcia údajov na komerčné alebo spoločensky prospešné účely vykonávala v súlade so zákonom a prísnymi zmluvnými podmienkami.

V polovici októbra sa v Taliansku konalo stretnutie G7 orgánov na ochranu údajov s cieľom posilniť spoluprácu medzi orgánmi na globálnej úrovni.

Bolo prijaté vyhlásenie o úlohe orgánov pri zabezpečovaní zodpovedného používania umelej inteligencie.

Bolo tiež vydané vyhlásenie, ktoré zdôrazňuje dôležitosť robustného mechanizmu pre cezhraničné toky údajov, ktorý chráni osobné údaje na celom svete.

Austrálsky úrad pre ochranu údajov (DPA) 20. októbra zverejnil dva usmernenia týkajúce sa ochrany súkromia a umelej inteligencie:

• Sprievodca používaním komerčne dostupných produktov umelej inteligencie;
• Sprievodca vývojom a trénovaním generatívnych modelov umelej inteligencie.

Medzi kľúčovými bodmi týkajúcimi sa prvej príručky APD zdôrazňuje, že

• Povinnosti týkajúce sa ochrany osobných údajov sa vzťahujú na všetky osobné údaje vložené do systému umelej inteligencie, ako aj na výstupné údaje generované umelou inteligenciou (ak obsahujú osobné údaje).
• Ak sa systémy umelej inteligencie používajú na generovanie alebo odvodzovanie osobných údajov vrátane obrázkov, ide o zbierku osobných údajov, ktoré musia byť v súlade so zásadami ochrany údajov.

Ako osvedčený postup APD odporúča, aby organizácie nezadávali osobné údaje, a najmä citlivé informácie, do verejne dostupných generatívnych nástrojov umelej inteligencie z dôvodu významných a komplexných rizík pre súkromie, ktoré sú s tým spojené.

Interná komunikácia o TikToku zverejnená v októbri ukázala, že spoločnosť sa neobávala škodlivých účinkov aplikácie na amerických tínedžerov, hoci jej vlastný výskum poukázal na početné obavy.

Tieto dôverné dokumenty sú súčasťou viac ako dvojročného vyšetrovania, ktoré vedie 14 generálnych prokurátorov Spojených štátov.

Žaloba tvrdí, že TikTok bol navrhnutý s výslovným zámerom urobiť mladých ľudí závislými od aplikácie a že spoločnosť zavádzala verejnosť o súvisiacich rizikách.

Podľa NPR, ktoré malo prístup k dokumentom, TikTok určil presný počet zobrazení (260) potrebný na to, aby sa osoba pravdepodobne stala závislou na platforme.

Podľa štátnych vyšetrovateľov „hoci sa to môže zdať významné, videá na TikToku môžu byť krátke len 8 sekúnd a diváci ich prehrávajú v rýchlom, automatickom slede. (...) Priemerný používateľ sa teda pravdepodobne stane závislým na platforme za menej ako 35 minút.“

Internetový archív momentálne zažíva vlnu kybernetických útokov.

Prvá séria útokov, zverejnená v polovici októbra, pozostávala z niekoľkých DDoS útokov. Hackeri tiež odhalili, že získali prístup k údajom 31 miliónov používateľov.

Koncom októbra sa organizácia opäť stala obeťou narušenia, tentoraz na svojej platforme e-mailovej podpory Zendesk, po tom, čo bola opakovane upozornená na krádež autentifikačných tokenov.