Pravna ura št. 76 – oktober 2024.  

Kibernetski napadi: povečano tveganje in razvijajoči se pravni okvir.

 Število kibernetskih napadov, usmerjenih v podjetja ali javne storitve v Franciji to jesen, je nešteto.

Po Boulangerju, Culturi, Truffautovi, Grosbillu in SFR-ju je zdaj na vrsti še Free, ki bo utrpel velik kibernetski napad, ravno ko se mesec ozaveščanja o kibernetski varnosti končuje.

V elektronskem sporočilu svojim strankam je podjetje navedlo, da je napad povzročil nepooblaščen dostop do nekaterih osebnih podatkov, povezanih z računi naročnikov, vključno z njihovimi prijavnimi podatki, kontaktnimi podatki, pogodbenimi podatki in v nekaterih primerih tudi do njihove IBAN številke. Ocenjuje se, da je kršitev prizadela več kot 19 milijonov strank.

Free je o kršitvi podatkov obvestil CNIL in ANSSI.

Če upoštevamo tudi obsežne napade, ki so bili v začetku leta 2024 usmerjeni na dve večji plačilni organizaciji tretjih oseb in France Travail, nekateri ocenjujejo, da so danes na temnem spletu naprodaj podatki več kot 40 milijonov Francozov.

Zaradi porasta teh napadov je CNIL objavil informativni list, ki bo v pomoč prizadetim pri samozaščiti.

Svetuje predvsem preverjanje aktivnosti na bančnih računih, budnost glede tveganj kraje identitete in lažnega predstavljanja, spreminjanje gesel in uporabo postopkov večfaktorske avtentikacije.

Do sedaj je CNIL le redko sankcioniral podjetja, ki so bila žrtve kibernetskih napadov, ker niso zaščitila podatkov, za razliko od svojih evropskih kolegov.

Vendar pa je pravkar sankcionirala podjetje za varnost kripto sredstev Ledger, ker ni ustrezno zaščitilo podatkov svojih strank.

Po poročanju časopisa La Lettre, ki je zgodbo objavil 23. oktobra, znaša izrečena globa 750.000 evrov. CNIL tega zneska ni potrdil.

Podjetje je leta 2020 utrpelo več kršitev osebnih podatkov, ki so prizadele številne stranke in potencialne stranke.

Določbam GDPR se zdaj dodajajo nova pravila, ki od upravljavcev podatkov zahtevajo, da zavarujejo podatke.

To so obveznosti evropske direktive NIS2, ki je začela veljati 17. oktobra.

Namen te direktive je ublažiti grožnje za omrežja in informacijske sisteme, ki zagotavljajo bistvene storitve v ključnih sektorjih, da bi okrepili varnost Evropske unije.

Besedilo v primerjavi z direktivo NIS1 razširja svoje področje uporabe in je posebej usmerjeno na infrastrukturo in subjekte, ki so bistveni za pravilno delovanje gospodarskih in družbenih dejavnosti na notranjem trgu: javne uprave, telekomunikacijsko infrastrukturo, informacijske in komunikacijske storitve, ponudnike digitalnih storitev, pa tudi sektorje živilske ali kemične proizvodnje, zdravstva ali čiščenja odpadnih voda.

Zahteve se nanašajo zlasti na ukrepe upravljanja in obvladovanja kibernetskih tveganj, razdelitev administrativnega informacijskega sistema, obveznost poročanja o vsakem incidentu in varnost dobavnih verig.

Direktiva, tako kot GDPR, določa obveščanje o incidentih in denarnih kaznih.

Čeprav je za popolno skladnost načrtovano triletno obdobje, je treba hitro vzpostaviti minimalne zahteve, in sicer »registracijo reguliranega subjekta pri ANSSI na portalu »monespaceNIS2«, obveščanje o incidentih in dokazovanje naložb v varnostne rešitve«.

Ne glede na pravila in sankcije se je dobro spomniti človeških posledic kršitev varnosti.

To je britanski informacijski pooblaščenec (ICO) pravkar storil v publikaciji z dne 28. oktobra.

Organ v opozorilu upravljavcem podatkov poudarja včasih uničujoče posledice kršitev varnosti podatkov.

Omenja, da je 55 % odraslih v Združenem kraljestvu doživelo izgubo ali krajo podatkov, kar predstavlja skoraj 30 milijonov ljudi.

Osebne in čustvene posledice te situacije se prepogosto spregledajo: 301.000 žrtev poroča o čustveni stiski, medtem ko jih 25.000 ne prejme nobene pomoči od odgovornih organizacij.

Poleg tega 32 % prizadetih za to izve prek medijev in ne od same organizacije, kar še okrepi njihov občutek izdaje.

ICO poudarja, da preveč organizacij ne meri škode v celoti in zanemarja varstvo osebnih podatkov.

"Ko pride do kršitve varnosti podatkov, ne gre zgolj za administrativno napako, temveč za neuspeh pri zaščiti nekoga."

 

        

CNIL (francoski organ za varstvo podatkov) je 26. septembra ponudnikoma jasnovidnih storitev Cosmospace in Telemaque naložil globo v višini 250.000 oziroma 150.000 evrov, ker nista pridobila izrecnega soglasja zadevnih posameznikov. pred obdelavo občutljivih podatkov v okviru posnetih posvetovanj.

Prav tako je napovedala, da je od junija 2024 izdala enajst novih poenostavljenih sankcij v zvezi s prekrški, povezanimi s prekomernim zbiranjem podatkov, pomanjkanjem registra, nespoštovanjem pravic oseb ali pomanjkanjem sodelovanja.

Končno je 17. oktobra 2024 poklicala Ministrstvo za notranje zadeve in čezmorska ozemlja ter Ministrstvo za pravosodje, da bi ju opozorila na slabo vodenje datoteke za obdelavo kazenskih evidenc.

CNIL 19. novembra organizira dogodek "Air", posvečen nadzoru in njegovim etičnim posledicam.

Razprave bodo organizirane v sodelovanju z Nacionalno komisijo za nadzor obveščevalnih tehnik (CNCTR).

Pariško javno tožilstvo je sporočilo, da sta belgijski in francoski pravosodni organi 18. oktobra 2024 med srečanjem Eurojusta oblikovali skupno preiskovalno skupino (JIT) v zvezi s preiskavami o Telegramu.

V Franciji so februarja 2024 začeli predhodno preiskavo, ki je privedla do začetka sodne preiskave in nato do aretacije Pavla Durova to poletje.

Oddelek za kibernetsko kriminaliteto pariškega državnega tožilstva se je o težavah pri pridobivanju odgovorov na zahteve predhodno posvetoval z različnimi tožilstvi in preiskovalnimi službami ter s tujimi partnerji v Eurojustu.

Kasacijsko sodišče je 3. oktobra razveljavilo sodbo pritožbenega sodišča v Caenu in ponovilo, da mora sodišče pri odreditvi predložitve dokazov o morebitni diskriminaciji pri plačah v okviru civilnega postopka delodajalcu spoštovati načelo minimizacije podatkov.

Osebni podatki, zahtevani kot dokaz, morajo biti omejeni na tisto, kar je nujno potrebno za postopek.

Nevladna organizacija Noyb je 22. oktobra pri CNIL vložila pritožbo zoper platformo družbenih medijev Pinterest..

Noyb navaja, da kljub sodbi Sodišča Evropske unije (SEU) z dne 4. julija 2023, ki je obsodila to prakso, platforma uporablja osebne podatke uporabnikov, ne da bi jih za to prosila za soglasje, na podlagi svojega legitimnega interesa, in da sledenje aktivira privzeto.

Platforma je kritizirana tudi zaradi tega, ker ne zagotavlja informacij o tretjih osebah, s katerimi deli podatke.

 

Evropske institucije in organi

Evropska komisija je 9. oktobra objavila poročilo o svojem prvem pregledu v zvezi s sklepom o ustreznosti okvira za varstvo podatkov (DPF) med EU in Združenimi državami.

Komisija ugotavlja, da so ameriški organi „vzpostavili vse sestavne elemente okvira“.

To vključuje izvajanje zaščitnih ukrepov za omejitev dostopa ameriških obveščevalnih služb do osebnih podatkov na tisto, kar je potrebno in sorazmerno za zaščito nacionalne varnosti, ter vzpostavitev neodvisnega in nepristranskega mehanizma za odškodnino.

Poročilo vsebuje priporočila za zagotovitev nadaljnjega učinkovitega delovanja okvira, kot je na primer razvoj skupnih smernic o ključnih zahtevah DPF.

Evropski odbor za varstvo podatkov (EDPB) je na plenarnem zasedanju 8. in 9. oktobra sprejel mnenje o obdelovalcih in nadaljnjih obdelovalcih, smernice o legitimnem interesu, izjava o dodatnih postopkovnih pravilih za uporabo GDPR in delovnega programa Evropskega odbora za varstvo podatkov za obdobje 2024–2025.

Odbor je 4. novembra sprejel tudi svoje prvo poročilo o okviru za varstvo podatkov med EU in ZDA ter izjavo o dostopu organov pregona do podatkov.

Opozarja na doseženi napredek in spodbuja ameriške oblasti, naj pripravijo nove smernice, Evropsko komisijo pa, naj spremlja mehanizem pravnih sredstev za državljane EU.

Sodišče EU je v sodbi C-507/23 z dne 4. oktobra razsodilo, da lahko opravičilo predstavlja ustrezno odškodnino za nepremoženjsko škodo v skladu s členom 82(1) GDPR, zlasti kadar je vrnitev v stanje pred škodo nemogoča, pod pogojem, da je ta oblika odškodnine sposobna v celoti nadomestiti škodo, ki jo je utrpel posameznik, na katerega se nanašajo osebni podatki.

 

Novice iz držav članic Evropske unije.

Belgijski organ za varstvo podatkov (DPA) je 9. oktobra na spletu objavil dokumente s svojega študijskega dne o "pametnih mestih".

Cilj je bil zagotoviti platformo za razpravo, kjer bi lahko deležniki delili svoje izkušnje, najboljše prakse, izzive, rešitve in vizije za prihodnost "pametnih mest".

Poročilo o študijskem dnevu, intervencije udeležencev in video posnetki so na voljo na spletni strani APD.

V odločbi z dne 11. oktobra v zvezi z družbo RTL Belgium APD upravljavca podatkov tudi opozarja, da mora obiskovalcem svojega spletnega mesta omogočiti enako enostavno zavrnitev namestitve piškotkov kot njihovo sprejetje, kar predstavlja konkretno uporabo pogojev za veljavnost soglasja.

Direktiva o azilnih postopkih (APD) prav tako dovoljuje oblikovanje gumbov, ki so predstavljeni obiskovalcu, in se zlasti sklicuje na delo Evropskega odbora za varstvo podatkov (EDPB) na tem področju.

V tem konkretnem primeru je svetlo oranžen gumb »Sprejmi in zapri« še posebej izstopal iz preostalega pasice s piškotki, za APD pa je »to gumb, na katerega bo predvsem usmerjena pozornost uporabnikov«.

V odgovor na argument RTL o "umetniški svobodi" APD odgovarja, da „Upravljavci podatkov morajo zagotoviti, da uporaba barve uporabnikov očitno ne spodbuja k soglasju z namestitvijo piškotkov v njihov brskalnik.“

Vendar pa upravljavcem podatkov nič ne preprečuje uporabe barve gumba, ki bi uporabnike podobno spodbujala k zavrnitvi namestitve piškotkov.

Upoštevajte, da je avstrijski organ za varstvo podatkov (APD) 28. oktobra sprejel odločitev v isti smeri glede javne radiotelevizije Österreichischer Rundfunk: podjetju je naložil, naj prilagodi pasico s piškotki na svojem spletnem mestu, ker grafični poudarek možnosti »sprejmi vse piškotke« razveljavlja soglasje zadevne osebe v skladu s členom 6(1)(a) GDPR.

Ta dva primera sta del serije pritožb, ki jih je nevladna organizacija Noyb vložila v več državah EU, nadaljnje odločitve o tej zadevi pa je mogoče pričakovati kmalu.

Irska agencija za varstvo podatkov (DPA) je svojo končno odločitev objavila 24. oktobra po anketi LinkedIna.Preiskava se je začela po pritožbi, ki jo je leta 2018 pri CNIL vložila La Quadrature du net.

Osredotočilo se je na obdelavo osebnih podatkov s strani LinkedIna za namene vedenjske analize in ciljnega oglaševanja uporabnikov ter se nanašalo na zakonitost, pravičnost in preglednost te obdelave.

Odločitev vključuje opomin, odredbo LinkedInu, da mora uskladiti svojo obdelavo podatkov s predpisi, in upravne globe v skupni višini 310 milijonov evrov.

Italijanski organ za varstvo podatkov (APD) je kaznoval glavno italijansko poštno službo Postel SpA z 900.000 evri, ker se skoraj eno leto ni odzvala na znano in prijavljeno ranljivost v svojih sistemih.To je omogočilo kršitev varnosti osebnih podatkov: avgusta 2023 je bilo podjetje tarča napada izsiljevalske programske opreme, ki je povzročil blokado njegovih strežnikov in nekaterih delovnih postaj.

Informacije, objavljene na temnem spletu, so se nanašale na identifikacijske in kontaktne podatke, podatke o plačilih, pa tudi na podatke v zvezi s kazenskimi obsodbami in prekrški, zdravstvene podatke in razkritje članstva v sindikatu.

Nizozemski organ za varstvo podatkov (APD) je 23. oktobra sporočil, da je preiskal osem počitniških parkov, ki uporabljajo prepoznavanje obrazov za dostop do bazenov in igrišč, in ugotovil, da vsi ti parki kršijo zakone o zasebnosti zaradi pomanjkanja informacij in odsotnosti veljavnega soglasja.

Pod pritiskom APD je sedem parkov spremenilo svoje metode obdelave podatkov.

 

Excelova datoteka je omogočila razkritje osebnih podatkov 9.483 policistov in zaposlenih v policiji Severne Irske.

Policija je v odgovoru na dve zahtevi za dostop do podatkov posredovala datoteko, v kateri so bili podatki zakriti, vendar ne izbrisani. Britanski organ za varstvo podatkov (DPA) je policijo, ki je bila odgovorna za uhajanje podatkov, kaznoval z rekordnimi 900.000 evri.

V podobnem kontekstu je ICO sankcioniral tudi svet Southend-on-Sea: svet je v odgovoru na zahtevo za dostop do upravnih dokumentov predložil preglednico, ki je še vedno vsebovala osebne podatke.

Organi za varstvo podatkov iz 16 jurisdikcij, vključno z Avstralijo, Kanado, Kitajsko, Španijo in Združenim kraljestvom, so ob robu mednarodne konference organov za varstvo podatkov sprejeli skupno izjavo o tehnologijah "strganja".

V izjavi je poudarjeno, da morajo organizacije pri uporabi osebnih podatkov, vključno s podatki z lastnih platform, za razvoj velikih jezikovnih modelov umetne inteligence (LLM) upoštevati zakone o varstvu podatkov.

Izjava, objavljena 28. oktobra, opisuje druga pričakovanja, vključno s tem, da organizacije:

• Uporabljajo kombinacijo zaščitnih ukrepov, jih redno pregledujejo in posodabljajo, da bi bili v koraku z napredkom tehnik in tehnologij strganja podatkov; in
• Zagotavljajo, da se pooblaščeno pridobivanje podatkov za komercialne ali družbeno koristne namene izvaja v skladu z zakonom in strogimi pogodbenimi pogoji.

Sredi oktobra je v Italiji potekalo srečanje organov za varstvo podatkov skupine G7, katerega cilj je bil okrepiti sodelovanje med organi na svetovni ravni.

Sprejeta je bila deklaracija o vlogi oblasti pri zagotavljanju odgovorne uporabe umetne inteligence.

Objavljena je bila tudi izjava, ki poudarja pomen robustnega mehanizma za čezmejni pretok podatkov, ki varuje osebne podatke po vsem svetu.

Avstralska agencija za varstvo podatkov (DPA) je 20. oktobra objavila dva dokumenta s smernicami o varstvu zasebnosti in umetni inteligenci:

• Vodnik o uporabi komercialno dostopnih izdelkov umetne inteligence;
• Vodnik za razvoj in učenje generativnih modelov umetne inteligence.

Med ključnimi točkami v zvezi s prvim vodnikom APD poudarja, da

• Obveznosti glede zasebnosti veljajo za vse osebne podatke, vnesene v sistem umetne inteligence, kot tudi za izhodne podatke, ki jih ustvari umetna inteligenca (kadar vsebujejo osebne podatke).
• Če se sistemi umetne inteligence uporabljajo za ustvarjanje ali sklepanje o osebnih podatkih, vključno s slikami, to predstavlja zbirko osebnih podatkov, ki mora biti v skladu z načeli varstva podatkov.

APD kot najboljšo prakso priporoča, da organizacije ne vnašajo osebnih podatkov, zlasti občutljivih informacij, v javno dostopna generativna orodja umetne inteligence zaradi znatnih in kompleksnih tveganj za zasebnost.

Notranja komunikacija TikToka, objavljena oktobra, je pokazala, da podjetje ni zaskrbljeno zaradi škodljivih učinkov aplikacije na ameriške najstnike, čeprav je lastna raziskava izpostavila številne pomisleke.

Ti zaupni dokumenti so del več kot dveletne preiskave, ki jo je izvedlo 14 ameriških generalnih državnih tožilcev.

Tožba trdi, da je bil TikTok zasnovan z izrecnim namenom, da bi mlade od aplikacije naredil zasvojene, in da je podjetje zavajalo javnost glede tveganj, ki so z njo povezana.

Po poročanju NPR, ki je imel dostop do dokumentov, je TikTok določil natančno število ogledov (260), ki jih je potrebno, da bi oseba verjetno postala odvisna od platforme.

Po navedbah državnih preiskovalcev »čeprav se to morda zdi pomembno, so videoposnetki na TikToku lahko kratki, le 8 sekund, gledalci pa jih predvajajo v hitrem, samodejnem zaporedju. (...) Tako bo povprečen uporabnik v manj kot 35 minutah verjetno postal odvisen od platforme.«

Internetni arhiv trenutno doživlja val kibernetskih napadov.

Prva serija napadov, ki je bila javno objavljena sredi oktobra, je obsegala več napadov DDoS. Hekerji so razkrili tudi, da so pridobili dostop do podatkov 31 milijonov uporabnikov.

Konec oktobra je bila organizacija ponovno žrtev vdora, tokrat na svoji platformi za podporo e-pošte Zendesk, potem ko je bila večkrat opozorjena na krajo žetonov za preverjanje pristnosti.