Aici descoperim
dreptul tehnologiei


 

În ultimele luni, industria tehnologică a început să se concentreze mai mult asupra confidențialității utilizatorilor. Recent, am avut în topul actualităților, subiecte pe tema confidențialității în rețelele sociale. În Uniunea Europeană, în curând vor intra în vigoare legi mai riguroase în privința protecției datelor cu caracter personal. Regulamentul general privind protecția datelor (GDPR) a fost adoptat în aprilie 2016 și se va aplica începând cu data de 25 mai 2018, după o perioadă de tranziție de doi ani.

 

Regulamentul general privind protecția datelor cu caracter personal prevede că societățile trebuie să permită utilizatorilor să descarce un raport cu informații despre contul lor. Instagram, care este deținut de Facebook, a lansat deja un instrument care permite utilizatorilor să-și descarce toate datele de pe conturile lor. Acum, WhatsApp, cea mai populară aplicație de mesagerie bazată pe IP din lume, se pregătește de asemenea să adauge un nou instrument pentru a exporta datele contului de utilizator în conformitate cu GDPR. Merită menționat faptul că WhatsApp are o bază de utilizatori zilnică activă de 1 miliard de utilizatori, ceea ce face ca respectarea GDPR să fie și mai importantă.

 

WABetaInfo a constatat că WhatsApp beta pentru Android versiunea 2.18.128 conține o opțiune de a crea un raport de informații și setări ale contului de WhatsApp al utilizatorilor, pe care aceștia pot să le acceseze sau să le porteze într-o altă aplicație. Compania notează că raportul nu va include mesajele utilizatorilor.

 

 

Utilizatorii pot solicita un raport pentru contul lor de WhatsApp accesând Settings> Account> Request account info, iar compania declară că raportul va fi gata în interval de 1-3 zile. Consumatorii vor avea “câteva săptămâni” să-și descarce raportul înainte de a fi șters și nu pot anula cererea decât dacă își șterg contul. Raportul conține date despre utilizatori, cum ar fi numele grupurilor, contacte, fotografii de profil etc.

 

În acest moment, opțiunea de creare a raportului este disponibilă numai în cea mai recentă versiune de WhatsApp beta pentru Android. Utilizatorii se pot aștepta ca această aplicație să iasă din versiunea beta într-o versiune stabilă în următoarele săptămâni, ceea ce va asigura totodată și faptul că această companie respectă cea mai robustă lege a Uniunii Europene privind protecția datelor.

 

Traducere din: Idrees Patel – https://www.xda-developers.com/latest-whatsapp-beta-export-data-compliance-gdpr/



În data de 8 ianuarie 2017, Autoritatea de Supraveghere din UK (ICO) a amendat cu 400 000 de lire sterline compania de telecomunicații The Car Phone Warehouse Limited pentru un incident de securitate (atac cibernetic) din anul 2015. ICO a constatat că societatea nu a reușit să ia măsurile adecvate pentru a proteja datele personale pe care le deținea în sistemul său.

Între iulie și august 2015, sistemul de găzduire al companiei, care includea datele personale a peste 3.348.000 de clienți și 1000 angajați (inclusiv datele cardurilor bancare), a fost supus unui atac cibernetic extern.

ICO a constatat că atacul a fost posibil datorită deficiențelor de securitate ale companiei, care includeau:

  • software-ul sistemului nu a fost actualizat de câțiva ani;
  • nu au fost luate măsuri pentru a verifica dacă actualizările software au fost implementate în conformitate cu politica companiei;
  • compania nu a dispus de măsuri pentru a controla credentialele de acces;
  • nu au fost luate măsuri adecvate de scanare a vulnerabilității și de testare a penetrării;
  • compania nu avea nici o aplicație firewall pentru monitorizarea traficului către și din aplicațiile sale web, contrar standardelor de securitate acceptate;
  • serverele sistemului nu aveau tehnologii antivirus, ceea ce contravine politicii companiei și standardelor de securitate acceptate;
  • sistemul de operare de pe servere avea aceeași parolă partajată de mai mult de 30 de angajați;
  • datele cu caracter personal au fost colectate fără motive întemeiate și au fost luate măsuri inadecvate pentru securizarea acestora; și
  • parolele de criptare nu au fost stocate în siguranță.

ICO a concluzionat că aceste fapte au reprezentat o încălcare multilaterală a principiului 7 privind protecția datelor, inclus în Legea privind protecția datelor din 1998, care prevede că trebuie luate măsuri tehnice și organizatorice adecvate împotriva prelucrării neautorizate sau ilegale a datelor cu caracter personal și împotriva pierderii accidentale, distrugerii sau deteriorării datelor personale.

ICO, în anunțul public al deciziei, a subliniat importanța principiului „Privacy by design” inclus în GDPR, care impune companiilor să se asigure că există măsuri puternice de guvernanță IT și de securitate a informațiilor pentru a se conforma prevederilor din Regulament

Sursa

UK ICO Issues Unprecedented Fine Against Mobile Phone Retailer for Lax Security



Este bine cunoscut faptul că UE dispune de legi care oferă o protecție puternică a datelor cu caracter personal. Majoritatea companiilor sunt de părere că acestea sunt mult prea stricte.

Un caz nou în Regatul Unit privind protecția datelor cu caracter personal a avut o soluționare destul de surprinzătoare.

În 2014, un fișier care conținea datele cu caracter personal a 99.998 de angajați ai lanțului de supermarketuri Morrisons din Marea Britanie a fost postat pe un site web de partajare a fișierelor. Fișierul conținea nume, adrese, sex, date de naștere, numere de telefon, numere de cont bancar și informații salariale.

Pe lângă urcarea pe site-urile de torenți, fișierul a fost trimis pe CD către 3 ziare locale, probabil de cineva care le-a găsit pe internet. Așa cum a rezultat din cercetarea judecătorească, toate copiile fișierelor au provenit de la Andrew Skelton, un senior IT Auditor, fost angajat al lanțului de supermarketuri Morrisons. Ca rezultat al faptei sale, respectiv partajarea pe internet a datelor cu caracter personal în 2014, Skelton a fost condamnat la opt ani închisoare.

Cazul actual a fost deschis de aproximativ 5.500 de angajați ale căror date personale au fost dezvăuite, care au solicitat daune de la Morrisons. S-a solicitat, pe de o parte, să intervină răspunderea Morrisons pentru fapta sa (raspundere directă), iar, pe de altă parte, răspunderea pentru fapta fostului angajat (răspundere indirectă).

Instanța a considerat că Morrisons nu este direct răspunzătoare, deoarece făcuse tot ce putea pentru a evita scurgerile de date cu caracter personal. Însă, instanța a considerat că Morrisons trebuie să răspundă în mod indirect, pentru fapta fostului anagajat și să plătească daune morale angajaților.

Urmând raționamentul de mai sus, înseamnă că o companie, chiar dacă va face tot ce este posibil pentru a impiedica divulgarea datelor cu caracter personal, ea poate răspunde indirect pentru fapta unui angajat, chiar dacă fapta este rău-intenționată.

Hotărarea nu este definitivă. Totuși, o concluzie se desprinde: companiile ar trebui să fie mai atente cu privire la informațiile la care au acces angajații, deoarece, pe raționamentul de mai sus, poate interveni răspunderea indirectă a companiei (angajatorului) față de fapta angajatului.

Hotararea

Te ajutăm să fii conform GDPR! Ne poți contacta mai jos

[contact-form-7 404 "Not Found"]


Help-Desk