Zestawienie tygodniowe 16 - 23 sierpnia

Państwo Środka uchwaliło w piątek ustawę o ochronie prywatności, której celem jest uniemożliwienie firmom gromadzenia poufnych danych osobowych. W kraju rośnie liczba oszustw internetowych, a Pekin atakuje gigantów technologicznych zbierających dane osobowe.

Zgodnie z nowymi przepisami przyjętymi przez najwyższy organ ustawodawczy Chin, podmioty państwowe i prywatne zajmujące się danymi osobowymi będą zobowiązane do ograniczenia gromadzenia danych i uzyskania zgody użytkownika. Chiński aparat bezpieczeństwa zachowa jednak dostęp do części danych osobowych. Pekin od dawna jest oskarżany o wykorzystywanie zaawansowanych technologii do kierunkowania represji min. w północno-zachodniej prowincji Xinjiang.

Chińskie akcje spółek technologicznych, w tym Alibaba i Tencent, spadły po ogłoszeniu uchwały w piątek rano.

Prawo ma na celu ochronę tych, którzy „mają silne przekonanie, że dane osobowe są wykorzystywane do profilowania użytkowników i algorytmów rekomendacji lub wykorzystywania dużych zbiorów danych do ustalania (nieuczciwych) cen”, powiedział wcześniej rzecznik Narodowego Kongresu Ludowego państwowej agencji prasowej Xinhua.

Dziesiątki tysięcy konsumentów skarżyło się, że muszą zapłacić więcej za wezwanie taksówki za pomocą iPhone’a niż za pomocą tańszego modelu telefonu komórkowego lub za bilety, jeśli są sprofilowani jako podróżujący służbowo, powiedział chiński organ ochrony konsumentów. Prawo jest wzorowane na Ogólnym Rozporządzeniu o Ochronie Danych Unii Europejskiej, jednym z najsurowszych na świecie przepisów dotyczących ochrony prywatności w Internecie.

Ustawa wejdzie w życie 1 listopada, stanowi również, że dane osobowe obywateli Chin nie mogą być przekazywane do krajów o niższych standardach bezpieczeństwa ochrony danych niż Chiny – zasady, które mogą stwarzać problemy dla zagranicznych firm.

Firmy, które nie spełnią wymagań, mogą zostać ukarane grzywną w wysokości do 50 milionów juanów (7,6 miliona dolarów) lub pięciu procent rocznego obrotu.

Autor: Kapitan Hack Data dodania: 23 sie 2021 00:10 6 min czytania

Nośniki z danymi osobowymi trzeba zabezpieczać!

Prezes Sądu Rejonowego nie zabezpieczał służbowych nośników z danymi, a jedynie polecił swoim pracownikom, by sami to robili. Tymczasem to on jako administrator danych, a nie użytkownik nośnika, odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiednie bezpieczeństwo danych. Za brak takich rozwiązań organ nadzorczy nałożył na Prezesa Sądu administracyjną karę pieniężną w kwocie 10 tys. zł.” – czytamy na stronie Urzędu Ochrony Danych Osobowych.

Decyzja o nałożeniu kary związana jest ze zgłoszeniem przez Prezesa Sądu Rejonowego w Zgierzu naruszenia ochrony danych osobowych polegającego na zagubieniu nieszyfrowanej przenośnej pamięci typu pendrive przez kuratora sądowego. Na nośniku przechowywano dane 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym. Z uwagi na zakres ujawnionych danych osobowych, wskazane naruszenie spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych, dlatego też administrator opublikował na stronie internetowej Sądu Rejonowego w Zgierzu komunikat o naruszeniu.

Zaginiony i zarazem niezabezpieczony nośnik pamięci nie został do tej pory odnaleziony, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na nim. W toku postępowania UODO, administrator w składanych wyjaśnianiach wskazał, że wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych. Dokumentacja ta jest na bieżąco aktualizowana i audytowana przez powołanego do tego celu inspektora ochrony danych. Ponadto administrator zapewnił, że podejmował działania w postaci szkoleń stacjonarnych oraz e-lerningowych dla pracowników Sądu (w tym kuratorów), dotyczące ochrony danych osobowych oraz zapisów wdrożonej dokumentacji, dyżurów pełnionych przez inspektora ochrony danych w siedzibie administratora, dyżurów on-line oraz doraźnych kontroli prowadzonych przez inspektora ochrony danych podczas dyżurów.

Jednakże, zgodnie z obowiązującymi u administratora dokumentami, obowiązek zabezpieczenia nośników spoczywa na użytkownikach. Zdaniem UODO takie podejście jest niewłaściwe. Postępowanie wykazało, że administrator naruszył m.in. zasadę poufności i integralności danych osobowych poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci we własnym zakresie. Następstwem braku wprowadzenia odpowiednich środków organizacyjnych i technicznych, w przypadku zagubienia takiego nośnika przez kuratora sądowego, jest umożliwienie osobom nieuprawnionym dostępu do danych osobowych znajdujących się na nim-czytamy dalej w komunikacie na stronie urzędu.

Kolejny wyciek rządowych danych z prywatnego konta?!

W czwartek w Internecie pojawiła się oferta sprzedaży zawartości skrzynki mailowej Piotra Bączka, jednego z najbliższych współpracowników Antoniego Macierewicza, a w latach 2015-18 szefa Służby Kontrwywiadu Wojskowego, dziś pracownika tzw. podkomisji smoleńskiej.

Oferta została złożona na jednej ze stron w darknecie, Na dowód, że to nie żart, haker prezentował kilka przykładów danych: skan nominacji Piotra Bączka na szefa SKW noszący datę 17 lutego 2016 r., oraz korespondencję między właścicielem skrzynki, a senatorem PiS Janem Żarynem. Widać było też fragment listy adresowej, gdzie były nazwiska osób z kręgu Macierewicza. Hacker pokazał też kilka zdjęć Bączka z Macierewiczem w mundurach polowych i z uroczystości państwowych. Najprawdopodobniej dane wyciekły z prywatnej skrzynki, na której były szef Kontrwywiadu Wojskowego trzymał służbowe informacje.