Aici descoperim
dreptul tehnologiei

big-data-protection-cyber-security-concept-with-shield-icon-cyber-space_34629-736.jpg

Criptarea este una dintre măsurile pe care trebuie să le pună în aplicare orice organizație care prelucrează date cu caracter personal, iar acest articol îți va explica ce este criptarea, tipurile de criptare și cum trebuie implementată criptarea.

Când spun că relația dintre criptare și GDPR este una deschisă, am în vedere faptul că deși introducerea criptării este necesară, ea nu este suficientă pentru a asigura conformitatea la GDPR, deoarece organizația trebuie să pună în practică și alte măsuri tehnice și organizatorice adecvate.  De exemplu, organizația ar trebui să introducă și pseudonimizarea datelor. Când spun că relația dintre criptare și GDPR este una complicată am în vedere faptul că introducerea criptării trebuie realizată în urma unei evaluări de risc adecvate pentru a descoperi care categori de date cu caracter personal necesită o criptare mai puternică și care este cea mai bună soluție de criptare pe care și-o poate permite o organizație la momentul T. Totodată, între criptare și GDPR este o relație pe termen lung, așadar măsurile implementate ar trebui reevaluate și îmbunătățite constant.

Prin urmare, ce vreau să spun, pe scurt, este că dacă ai criptat datele nu înseamnă că respecți automat GDPR, dar dacă nu ai criptat deloc datele există un risc mare să încalci GDPR.

În concluzie, trebuie să criptăm. 

 

Și totuși… ce este criptarea? 

  • Criptarea este o funcție matematică care codifică datele astfel încât numai utilizatorii autorizați să le poată accesa.
  • Este o modalitate de a proteja datele cu caracter personal împotriva prelucrării neautorizate sau ilegale ale acestora, precum și o modalitate prin care puteți demonstra conformitatea cu principiul securității.
  • Criptarea protejează informațiile stocate pe dispozitivele mobile și statice și în transmisie și există o serie de opțiuni diferite de criptare disponibile.
  • Ar trebui să luați în considerare criptarea împreună cu alte măsuri tehnice și organizatorice, ținând seama de beneficiile și riscurile pe care le poate oferi.
  • Ar trebui să aveți o politică care să guverneze utilizarea criptării, inclusiv formarea corespunzătoare a personalului.
  • De asemenea, trebuie să fiți la curent cu orice orientări specifice sectorului care vi se aplică, deoarece acestea pot prevedea obligativitatea utilizării criptării.

 

KIT GDPR Premium

 

 

Criptarea și stocarea datelor

  • Criptarea datelor în timpul stocării asigură o protecție eficientă împotriva prelucrării neautorizate sau ilegale.
  • Cele mai moderne sisteme de operare au încorporată o criptare completă a discului. De asemenea, puteți cripta fișiere individuale sau crea containere criptate.
  • Unele aplicații și baze de date pot fi configurate pentru a stoca date în formă criptată.
  • Stocarea datelor criptate prezintă în continuare riscuri reziduale. Va trebui să le abordați în funcție de context, de exemplu prin intermediul unei politici de securitate. 

 

Criptarea și transferul de date

  • Criptarea datelor cu caracter personal în timpul transferului asigură o protecție eficientă împotriva interceptării de către un terț.
  • Trebuie să utilizați canale de comunicații criptate atunci când se transmit date cu caracter personal printr-o rețea nesigură.
  • Puteți cripta datele înainte de a le transmite pe un canal nesigur și asigurați-vă că acestea sunt în continuare protejate. Cu toate acestea, un canal securizat oferă garanția că conținutul nu poate fi înțeles dacă este interceptat. Fără metode de criptare suplimentare, cum ar fi criptarea datelor în sine înainte de transmitere, datele vor fi criptate numai în timpul tranzitului.
  • Transferul de date criptate încă prezintă riscuri reziduale. Va trebui să le abordați în funcție de context, cum ar fi prin intermediul unor politici organizatorice. 

 

Te-ar putea interesa și:

 

Câte tipuri de criptare există?

  • Cele două tipuri de criptare utilizate în prezent la scară largă sunt criptarea simetrică și asimetrică.
  • În cazul criptării simetrice, aceeași cheie este folosită pentru criptare și decriptare. În schimb, în cazul criptării asimetrice, sunt utilizate chei diferite pentru criptare și decriptare.
  • Când se utilizează criptarea simetrică, este esențial să vă asigurați că cheia este transferată în siguranță, de exemplu prin intermediul unui canal de comunicare diferit. 
  • Tehnica hashing-ului criptografic este uneori asimilată cu criptarea, dar este important să se înțeleagă că criptarea și hashing-ul nu sunt concepte identice și sunt utilizate în scopuri diferite.

 

Cum ar trebui să implementăm criptarea?

  • Când implementați criptarea, este important să luați în considerare patru lucruri: alegerea algoritmului corect, alegerea dimensiunii corecte a cheii, alegerea software-ului corect și păstrarea cheii în siguranță.
  • În timp, se pot descoperi vulnerabilități în algoritmii de criptare care îi pot face în cele din urmă nesiguri. Ar trebui să evaluați periodic dacă metoda dumneavoastră de criptare rămâne adecvată.
  • Este important să se asigure că dimensiunea cheii este suficient de mare pentru a proteja împotriva unui atac de-a lungul duratei de viață a datelor. Prin urmare, ar trebui să evaluați dacă dimensiunile cheii dumneavoastră rămân adecvate.
  • Software-ul de criptare pe care îl utilizați este, de asemenea, esențial. Trebuie să vă asigurați că orice soluție pe care o implementați respectă standardele actuale, cum ar fi FIPS 140-2 și FIPS 197.
  • De asemenea, trebuie să vă asigurați că păstrați cheile în siguranță și că aveți procese în funcțiune pentru a genera chei noi atunci când este necesar.

 

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 



yellow-padlock-key-blue-keyboard_72402-2643.jpg

În Cauza T‑48/05 (Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene) prin Hotărârea[1] din 8 iulie 2008, Tribunalul de Primă Instanță a acordat daune morale de 56.000 euro către două persoane fizice pentru scurgeri de date personale dintr-un dosar de urmărire penală.

În concret, Tribunalul de Primă Instanță[2] a obligat Comisia Comunităților Europene la plata către domnii Yves Franchet și Daniel Byk a sumei de 56 000 de euro reprezentând daune morale[3] pentru că acesta nu a asigurat securitatea și confidențialitatea datelor personale privitoare la un dosar penal în curs de soluționare. Neglijența în a asigura confidențialitatea datelor a condus către scurgerea de informații în presă și încălcarea prezumției de nevinovăție. Tribunalul a constat că „(…) reclamanții au trebuit să facă față unor sentimente de nedreptate și de frustrare și că s‑a adus atingere onoarei și reputației lor profesionale din cauza conduitei ilegale a OLAF și a Comisiei.Ținând cont de circumstanțele particulare din prezenta cauză și de faptul că reputația reclamanților a fost foarte serios afectată, trebuie să se evalueze cuantumul acestui prejudiciu ex aequo et bono la 56 000 de euro.” [4].

Totodată, potrivit GDPR, datele privind condamnările penale și infracțiunile sunt categorii speciale de date care necesită o protecție sporită.[5].

 

Te-ar putea interesa și:

 

[1]Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, disponibilă aici, link accesat 26.07.2020.

[2] Conform portalului legeaz.net, Tribunalul de Primă Instanţă este un organ comunitar înfiinţat pe lângă Curtea Europeană de Justiţie, care judecă în primă instanţă litigiile în care reclamanţi sunt persoanele fizice şi funcţionarii comunitari.

[3] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

[4] Cauza T‑48/05, Yves Franchet, Daniel Byk împotriva Comisiei Comunităților Europene, Hotărârea din 8 iulie 2018, ECLI:EU:T:2008:257, par. 411.

[5] A se vedea art. 10 din RGPD.

KIT GDPR Premium


young-female-chemist-chemistry-tubes_23-2148485920.jpg

Acest articol își propune să răspundă la cele mai frecvente întrebări despre testarea COVID-19 a angajaților astfel încât să nu se încalce Regulamentul General privind Protecția Datelor, cunoscut drept GDPR.

1. Doresc să îmi testez angajații de COVID-19. Trebuie să iau în considerare legislația privind protecția datelor?

Da. Întrucât vei prelucra informații cu privire la persoane fizice, trebuie să respecți GDPR. Acest lucru înseamnă că trebuie să prelucrezi datele într-o manieră legală, echitabilă și transparentă.  Datele cu caracter personal care se referă la sănătate sunt mai sensibile și sunt incluse în categoria datelor cu caracter special și au un regim mai strict de prelucrare.

GDPR nu îți interzice să iei măsurile necsare pentru siguranța și sănătatea personalului și a celorlalți, inclusiv testarea COVID-19, însă trebuie să iei aceste măsuri cu responsabilitate față de protecția datelor și să le prelucrezi cu grijă.

2. Cum pot să demonstrez că abordarea companiei mele vis-a-vis de testarea COVID-19 este conformă cu GDPR?

Pentru a demonstra că testarea COVID-19 este conformă cu GDPR, trebuie să respecți principiul responsabilității. Acest principiu al GDPR te face responsabil să te conformezi la GDPR și să demonstrezi, în eventualitatea unei investigații, faptul că ai depus suficiente diligențe pentru a respecta GDPR, mai ales în situația în care prelucrezi categorii speciale de date. Prin urmare, ar trebui să efectuezi, înainte de testarea COVID-19 o evaluare de impact. 

 

Te-ar putea interesa și:

 

3. Cum pot să apreciez că testarea COVID-19 a angajaților este necesară?

Pe măsură ce oamenii se întorc la locul de muncă, angajatorii și organizațiile vor trebui să implementeze măsuri adecvate pentru a proteja sănătatea oamenilor.

Pentru a aprecia dacă testarea COVID-19 este necesară, va trebui să iei în calcul circumstanțele specifice ale locului de muncă, printre care:

  • tipul de muncă;
  • locațiile;
  • dacă munca de acasă este sau nu posibilă.

Pentru a stabili dacă testarea COVID-19 este necesară, ar trebui să îți răspunzi la următoarele întrebări:

  • Am nevoie de aceste informații?
  • Mă va ajuta testarea COVID-19 să am un mediu de lucru sigur?
  • Pot atinge același scop și fără testarea COVID-19?

Dacă poți demonstra că abordarea este rezonabilă, corectă și proporțională cu circumstanțele, atunci este foarte puțin probabil ca protecția datelor să fie o barieră. Dacă personalul îți solicită în mod proactiv să efectuezi testarea COVID-19, acest lucru ar putea fi utilizat pentru a demonstra că măsurile sunt proporționale, echitabile și corecte pentru acești angajați.

 

KIT GDPR Premium

 

4. Ce temei de prelucrare pot utiliza pentru testarea COVID-19?

Deoarece datele privind sănătatea sunt categorii speciale de date, pot fi utilizate unul sau mai multe temeiuri de la art. 9 RGPD.

Cel mai bun temei pentru testarea COVID-19 este art. 9 alin. 2 lit h):

„prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a
angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui
tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului
Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării
condițiilor și garanțiilor prevăzute la alineatul (3);”

După ce ai identificat temeiul trebuie să:

5. Ce ar trebui să comunic angajaților?

Principiul transparenței este foarte important. Ca angajator, este important să fii clar, deschis și onest cu angajații cu privire la modalitatea în care le prelucrezi datele, mai ales când vorbim de date privind sănătatea. Dacă testezi angajații de COVID-19, trebuie să explici angajaților ce vei face cu acele informații și ce decizii vei lua.

Dacă optezi pentru testarea COVID-19, ar trebui să comunici angajaților o notă de informare cu privire la datele pe care le prelucrezi, ce faci cu ele, cui le transmiți, cât le stochezi, ce decizii iei în baza lor și celelalte elemente de la art. 13 GDPR.

6. Pot să fac testarea COVID-19 obligatorie?

Aceasta nu este o întrebare ce ține doar de protecția datelor. Poți încuraja angajații să participe la testarea COVID-19, dar nu îi poți obliga, cu excepția situației puțin probabile în care vor apărea noi norme care vor permite testarea obligatorie.

Nu uită însă: Înainte de testarea COVID-19, trebuie să efectuezi o evaluare de impact. 

7. Ce trebuie să comunic mai exact angajaților înainte de testarea COVID-19?

Angajatul are, ca orice persoană fizică, dreptul la informare prevăzut de GDPR.

Înainte de a introduce testarea COVID-19, trebuie să comunici angajaților prin intermediul unei note de informare următoarele:

  • ce date personale colectezi cu ocazia testării;
  • pentru ce vor fi folosite rezultatele testării;
  • cui vei transmite rezultatele testării;
  • pe ce perioadă vei păstra datele;
  • ce drepturi au angajații cu privire la datele lor.

Nu uita să păstrezi dovada că ai informat angajații pentru a te putea apăra în eventualitatea unei investigații sau a unui litigiu.

8. Dacă un angajat îmi comunică rezultatul unui test efectuat pe cont propriu sau în afara locului de muncă ce am de făcut? 

Pentru orice rezultate ale unei testări care îți sunt dezvăluite, ai o obligație de a asigurara securitatea, confidențialitatea și anonimatul persoanei. Prin urmare, nu poți dezvălui numele persoanei sau alte elemente care o pot identifica direct sau indirect.

9. Pot păstra o listă a persoanelor care au fost testate pozitiv?

Da, însă trebuie să te asiguri că lista este păstrată în condiții maxime de securitate și confidențialitate și că orice angajați care au acces la ea sunt obligați să respecte clauze de confidențialitate.

Ca angajator, trebuie să te asiguri că acea listă nu va conduce către un tratament nedrept față de angajați. Totodată, nu ar trebui să păstrezi lista mai mult decât este necesar și să o ștergi definitiv după ce scopurile au fost atinse, de exemplu persoana a fost vindecată.

10. Pot să comunic celorlalți angajați dacă am avut un caz COVID-19?

Ar trebui să ții la curent persoanele interesate cu privire la existența (sperăm să nu) a oricăror cazuri, însă nu trebuie să numele persoanei sau alte elemente care pot identifica persoana.

Sursa: ICO

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



86237011_slide-6ba210eaa472dc8ff7a7a90efb6c7cecf2394b99-s800-c85.jpg

Cu ocazia celebrării a 2 ani de la aplicarea directă a RGPD în România, Silvia Uscov (Avocat) și Ruxandra Sava (Avocat) au transmis către ANSPDCP, în temeiul art. 51 din Constituția României, o petiție către ANSPDCP prin care solicită a se răspunde la 23 de întrebări pentru interpretarea și aplicarea unitară a GDPR cu privire la subiectul termoscanării.  Cele două avocate sunt de părere că ar trebui găsit un echilibru între protecția sănătății și protecția datelor cu caracter personal și consideră necesară intervenția ANSPDCP deoarece, în prezent, este autoritatea publică al cărei punct de vedere contează în privința termoscanării.

ANSPDCP a răspuns în termenul legal petiției, spunând faptul că dacă datele cu caracter personal prelucrate (temperatura corpului) se înregistrează, GDPR devine aplicabil, iar pentru nerespectarea obligațiilor în temeiul GDPR, operatorii publici și privați riscă sancțiuni corective sau amenzi care pot ajunge până la 4% din cifra de afaceri. Dacă datele privind temperatura nu se înregistrează, GDPR nu se aplică.

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Extras din răspunsul ANSPDCP:

„(…) Prin urmare, numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se colectează, înregistrează, stochează, etc. într-un sistem de evidență, potrivit diferitelor mijloace de prelucrare, dispozițiile Regulamentului (UE) 2016/679 devin aplicabile.”

Opinia comună a specialistelor (Ruxandra Sava și Silvia Uscov): „Deși putem cădea ușor în capcana de a afirma că termoscanarea nu înregistrează datele, trebuie să avem în vedere că unele dispozitive (de exemplu camere termografice cu soft integrat sau dispozitive de tip wearable) înregistrează datele personale by default. Totodată, chiar și în situația în care se utilizează un termometru digital non-contact (fără soft integrat) putem vorbi de un proces de înregistrare a datelor, dacă aceste date se coroborează cu alte date (de exemplul imaginile colectate prin CCTV)”

 

Extras din răspunsul ANSPDCP:

 

„(…) Totodată, subliniem faptul că oricare ar fi temeiul de prelucrare a datelor, operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informaţiile menţionate la articolele 13 şi 14, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu. Aceasta informare se poate realiza și pe site-ul operatorului sau în locurile accesibile publicului. De asemenea, operatorii sunt obligați să respecte, în orice activitate de prelucrare a datelor personale, toate principiile de bază statuate de art. 5 din
RGPD.

Totodată, art. 24 alin. (1) din Regulamentul (UE) 2016/679 prevede faptul că operatorii pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament. Ca atare, operatorului îi revine obligația de a pune în aplicare măsurile tehnice şi organizatorice adecvate care, dacă este necesar, se revizuiesc şi se actualizează, pentru a garanta şi a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu RGPD. (…)

Art. 4 pct. 12 din RGPD definește „încălcarea securității datelor cu caracter personal” ca fiind o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;”.

În situația înregistrării în activitatea de prelucrare a datelor a unui incident de securitate sau a unei breșe de securitate, acest eveniment se notifică Autorității de Supraveghere, iar operatorul informează persoana vizată potrivit dispozițiilor art. 33 și 34 din RGPD sau ale art.
3 din Legea nr. 506/2004. (…)

Raportat la realizarea unei evaluări de impact, operatorul este obligat să procedeze la o asemenea evaluare în condițiile art. 35 din RGPD coroborate cu prevederile Deciziei nr. 171/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal. În acest context, în măsura în care operatorul apreciază că prelucrarea ar genera un risc ridicat pentru drepturile şi libertăţile persoanelor fizice, poate efectua o evaluare de impact și în alte situații decât cele stabilite de dispozițiile legale mai sus menționate.

Referitor la consultarea prealabilă a Autorității de Supraveghere, aceasta are loc în condițiile art. 36 din RGPD, respectiv ”înainte de prelucrare atunci când evaluarea impactului asupra protecţiei datelor prevăzută la articolul 35 indică faptul că prelucrarea ar genera un risc ridicat în absenţa unor măsuri luate de operator pentru atenuarea riscului.” și este condiționată de furnizarea, de către operatorul în cauză, a unor informații detaliate asupra prelucrării în cauză, precum și orice alte informații apreciate de către Autoritatea de Supraveghere ca fiid necesare.

În ceea ce privește calitatea de operatori asociați sau împuterniciți, raportat la art. 4 pct. 7 din RGPD care definește „operatorul”, coroborat cu art. 26 și 28 din regulament, Autoritatea de Supraveghere apreciază faptul că entitățile în cauză sunt în măsură să își stabilească calitatea, având în vedere cunoașterea în detaliu a activității de prelucrare a datelor în anumite scopuri și folosind anumite mijloace, precum și a drepturilor și obligațiilor fiecărei părți, fără ca aceasta să aducă atingere adoptării măsurilor legale necesare de către Autoritatea Națională de Supraveghere în îndeplinirea atribuțiilor sale raportat la situații concrete ivite în practică.

Raportat la evidențele activităţilor de prelucrare, acestea se întocmesc și se țin de către operatori potrivit art. 30 din RGPD, și trebuie să conțină, printre altele, informații precum ”scopurile prelucrării” și ”o descriere a categoriilor de persoane vizate şi a
categoriilor de date cu caracter personal”.

Cât privește respectarea normelor de protecție a datelor în contextul stării de alertă declarate potrivit legii, în măsura în care persoana vizată apreciază că drepturile sale privind protecția datelor nu sunt respectate în conformitate cu dispozițiile legale în vigoare, are posibilitatea să își exercite drepturile față de operatorul respectiv și să se adreseze cu plângere sau sesizare ANSPSCP.

În acest context, drepturile persoanelor vizate sunt garantate de art. 15-22 raportate la art. 12 coroborat cu art. 13 și 14 din RGPD și se exercită în condițiile prevăzute de aceste dispoziții legale.

Referitor la un proces decizional automatizat, acesta se subsumează tuturor condițiilor stabilite de art. 22 din RGPD coroborat cu art. 3 din Legea nr. 190/2018.

În ceea ce privește consimțământul persoanei vizate pentru prelucrarea datelor sale, atunci când constituie condiție de legalitate a prelucrării, acesta trebuie să îndeplinească condițiile prevăzute de art. 4 pct. 11 coroborat cu art. 7 din RGPD, în măsura în care acest
regulament este aplicabil.

Sancțiunile pentru nerespectarea dispozițiilor RGPD, inclusiv a principiilor, a drepturilor garantate persoanei vizate și a condițiilor privind transferul datelor către o țară terță sau o organizație internațională, sunt stabilite în art. 58 alin. (2) coroborat cu art. 83
din Regulament și art. 15 din Legea nr. 102/2005, republicată, sub forma măsurilor corective, a avertismentului și amenzilor (de maxim 10 mil. sau 20 mil. de euro), care se aplică în funcție de circumstanțele fiecărui caz și gravitatea încălcării.

În ceea ce privește regimul sancționator pentru autoritățile și organismele publice, acesta este stabilit de Legea nr. 190/2018.  (…)”

 

Răspunsul ANSPDCP integral poate fi descărcat aici. 

 

Te-ar putea interesa și:



girl-playing-tablet-game-evening_23-2147833833.jpg




Protecția datelor cu caracter personal ale copiilor este un subiect important, iar părinții, educatorii și profesorii ar trebui să îi instruiască cu privire la siguranța lor pe internet. Procesul de instruire ar trebui să fie continuu. Rezumăm mai jos câteva informații și reguli elementare care ar trebui cunoscute de toți copiii care utilizează internetul.

Siguranța online a copiilor. Ce ar trebuie să știe copiii despre datele cu caracter personal? 

Datele personale sunt informații precum numele și prenumele, numărul de telefon, adresa de acasă, fotografie, interese și multe alte informații cu privire la o persoană.

Datele sensibile includ, de exemplu, religia, opiniile politice, informațiile despre sănătate și rasa.

Siguranța online a copiilor. Reguli și lucruri de ținut minte pentru copii: 

1. Nu dau datele mele personale sau datele familiei mele decât dacă părinții sau tutorii mei își dau acordul.

2. La școală cer să fiu informat despre colectarea datelor mele.

3. Școala trebuie să aibă grijă de securitatea datelor mele.

4. Nu încărc nimic online fără permisiunea părinților mei.

5. Cunosc faptul că orice urc pe internet rămâne acolo.

6. Nu apăs butonul de trimitere, notificare sau postare decât dacă am permisiunea părinților mei.

7. Comentez și încărc postări care nu dezvăluie date personale ale mele, ale familiei sau ale prietenilor mei.

8. Am citit cu atenție politica aplicațiilor / termenilor de utilizare a datelor înainte să accept.

9. Cer să fiu informat într-un limbaj pe înțelesul meu despre utilizarea datelor.

10. Nu răspund străinilor pe internet și nu comunic cu aceștia.

11. Mă gândesc de două ori înainte să trimit cuiva o fotografie cu mine.

12. Mă gândesc de trei ori înainte să urc pe internet o fotografie cu mine.

13. Aleg parole puternice care includ cel puțin 9 cifre constând din litere mari și minuscule, numere și simboluri, de exemplu Wfhg56818934Ns&*%!?

14. Nu spun parola nimănui.

15. Schimb parola des.

16. Nu folosesc calculatoare partajate.

17. Verific dacă dispozitivul are antivirus înainte să îl folosesc.

 

Vrei să afli mai multe despre cum îți poți proteja copilul în mediul online? Înscrie-te la cursul nostru online aici. 

 

Sursa: Autoritatea de supraveghere din Cipru

 

Te-ar putea interesa și:

 

KIT GDPR Premium

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



building-1839464_1280-1200x800.jpg




Amplasarea de camere de supraveghere la bloc (de către Asociațiile de proprietari) sau acasă de către persoanele fizice trebuie să respecte GDPR. Pentru montarea nelegală, persoanele fizice și Asociațiile de proprietari pot fi amendate de Autoritatea de supraveghere din România (ANSPDCP).

În Austria, o persoană fizică a fost amendată în 2018 cu 2000 de euro pentru amplasarea nelegală de camere de supraveghere acasă. Potrivit răspunsului oficial al ANSPDCP și în România persoanele fizice pot fi amendate pentru nerespectarea GDPR. 

În România în cursul anului 2019, o Asociație de proprietari a fost amendată pentru amplasarea nelegală de camere de supraveghere la bloc.

Potrivit informațiilor oferite de Autoritatea de supraveghere din Austria, persoana fizică a fost amendată deoarece a amplasat camere de supraveghere acasă care supravegheau domenii din afara proprietății: aleea centrului rezidențial, străzi, clădiri și grădini din apropiere. Amenda a fost dată deoarece zona monitorizată nu se afla în proprietatea și în controlul persoanei fizice și era frecventată de către alte persoane.

Dacă dorești să amplasezi camere de supraveghere la bloc sau acasă, trebuie să cunoști faptul că GDPR îți interzice să monitorizezi mai mult decât este necesar. Prin urmare, dacă locuiești la casă, poți supraveghea curtea și gardul, însă nu poți supraveghea și aleea frecventată de alte persoane sau curtea vecinului. Dacă locuiești la bloc, nu poți monta camere de supraveghere care să surprindă vizitatorii atunci când sună la interfon sau camere care să surprindă holurile și alte locuri comune din bloc și nici camere de supraveghere care să surprindă priveliștea de pe balcon. Cu Asociațiile de proprietari, lucrurile stau puțin diferit și vom discuta despre modalitatea în care acestea pot monta camere de supraveghere la bloc în cele ce urmează.

Având în vedere că GDPR nu face diferențe între proprietari, chiriași sau vizitatori ai unui bloc, Asociațiile de proprietari nu pot monta camere de supraveghere la bloc chiar dacă au acordul tuturor proprietarilor. În acest sens, dacă se dorește unor astfel de camere de supraveghere la bloc, se poate folosi temeiul juridic al interesului legitim doar dacă s-a realizat o analiză juridică documentată a tuturor aspectelor. Analiza trebuie să fie reală, concretă, iar părerea proprietarilor și a chiriașilor ar trebui cerută.

Atunci când faci o astfel de analiză trebuie să ai în vedere următoarele:



1. Analiza trebuie documentată în scris și păstrată pentru un eventual control de la Autoritatea de Supraveghere.

2. Locația echipamentului. Locația echipamentului trebuie determinată cu atenție pentru a asigura conformitatea imaginilor capturate cu GDPR (a nu se supraveghea mai mult decât este necesar). Trebuie depuse toate diligențele pentru a poziționa camerele astfel încât acestea să asigure o acoperire limitată. Sistemul CCTV nu va fi utilizat în lifturi sau în alte locuri unde persoanele au o așteptare ridicată cu privire la confidențialitate. Camerele amplasate astfel încât să înregistreze spațiile exterioare sunt poziționate în așa fel încât să prevină sau să minimizeze înregistrarea proprietății private a trecătorilor sau a oricărei alte persoane.

3. Informarea. Locația camerelor CCTV va fi indicată și se vor lua măsuri pentru semnalizarea corespunzătoare a fiecărui loc unde se află o cameră CCTV în funcțiune. Semnalizarea corespunzătoare va fi de asemenea afișată în mod proeminent la intrare. Semnalizarea va include numele și detaiile de contact ale operatorului de date (Asociația de proprietari), precum și scopurile specifice pentru care camera CCTV este plasată în fiecare locație și indicații unde se pot obține informații mai multe (de exemplu: link și/sau cod QR către nota de informare de pe site).

KIT GDPR Premium

 

4. Depozitarea și stocarea

  • Înregistrările și echipamentul de monitorizare vor fi depozitate într-o manieră securizată într-o zonă cu acces restricționat. Accesul neautorizat în acea zonă nu va fi permis în nicio împrejurare. Zona va fi încuiată atunci când nu este ocupată de către personalul autorizat. Se va ține o evidență a accesului la înregistrări. Accesul la sistemul CCTV și la imaginile stocate va fi permis doar personalului autorizat. La momentul accesării imaginilor, doi membri ai personalului autorizat trebuie să fie prezenți. Se va întocmi un raport scris al accesului. Aceste rapoarte vor fi păstrate.
  • Se va ține o evidență a datei oricărei divulgări, împreună cu detalii despre persoana căreia i-au fost furnizate acele informații (numele acelei persoane și întreprinderea pe care o reprezintă), motivul cererii, precum și modalitatea în care cererea a fost rezolvată, în cazul unei contestații.
  • Datele vor fi furnizate ca răspuns al unor cereri autorizate într-un format permament, atunci când acest lucru este posibil. Dacă acest lucru nu este posibil, persoanei vizate i se va oferi posibilitatea să vizualizeze înregistrarea.
  • În circumstanțe relevante, înregistrările CCTV vor putea fi accesate de către organele de poliție sau vor putea fi furnizate instanțelor de judecată sau altor autorități publice atunci când legea impune.

5. Cererile persoanelor vizate 

  • Persoanelor fizice li se acordă dreptul de accesa înregistrările CCTV cu privire la ele însele, potrivit GDPR.
  • Persoanele fizice care trimit astfel de cereri vor trebui să furnizeze suficiente informații pentru a se putea asigura identificarea întregistrării cu privire la acestea. De exemplu, data, ora și locația.
  • Asociația de proprietari va răspunde acestor cereri într-un termen de o lună de la primirea cererii.
  • Asociația de proprietari își rezervă dreptul de a refuza accesul la înregistrările CCTV atunci când acest lucru ar duce atingere drepturilor prevăzute de lege ale unor persoanelor fizice sau ar putea prejudicia o investigație în curs de desfășurare.
  • Se va ține o evidență a datei când divulgarea a avut loc, împreună cu detaliile persoanei către care aceste informații au fost furnizate (numele persoanei și întreprinderea pe care o reprezintă), precum și cu motivele acestei cereri.
  • În activitatea de furnizare către o persoană a unei copii a datelor sale, se vor pune la dispoziție o fotografie/o serie de fotografii, o casetă sau un disc magnetic cu imaginile relevante. Totuși, imaginile altor persoane vor fi ascunse înainte ca aceste date să îi fie înmânate.
  • Atunci când înregistrarea conține imagini referitoare la terți, se vor lua măsurile necesare pentru a masca și a proteja identitatea acelor indivizi.

6. Durata minimă. Înregistrările vor fi stocate pe o durată minimă, dar nu mai mult de 30 de zile

Dacă ai nevoie de consultanță juridică și întocmirea documentației pentru montarea camerelor de supraveghere la bloc îmi poți scrie la adresa ruxandra.sava@legalup.ro.

Ce pot face dacă au fost montate camere de supraveghere la bloc nelegal?

Dacă s-au montat camere de supraveghere în mod nelegal și există riscul ca imaginile captate să fie dezvăluite către destinații neautorizate, ar trebui să comunici îngrijorările tale Asociației și să o îndrumi spre conformarea supravegherii CCTV cu GDPR astfel încât dreptul la viață privată să fie respectat. În situația în care nu se iau măsuri pentru a limita accesul la înregistrări, în situațiile în care imaginile captate sunt dezvăluite fără acordul tău sau fără a exista unui temei legal sau în alte situații (camere de supraveghere în lift, absența informării, nerepectarea drepturilor GDPR), te poți adresa cu o plângere la ANSPDCP sau îmi poți scrie la adresa ruxandra.sava@legalup.ro pentru a te ajuta cu mai multe informații.

Vrei să te aliniezi la GPPR? Cum te putem ajuta:

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



hands-holding-heart_23-2148172201.jpg




Într-o societate aflată în plină expansiune tehnologică și digitală, aplicațiile de sănătate precum Apple Health, Google Fit, Fitbit, Strava, SymTrac și multe altele au crescut exponențial, având un număr crescând de utilizatori de toate vârstele. Evident, obiectivul declarat al acestor aplicații este îmbunătățirea calității vieții prin monitorizarea constantă a sănătății, prin depistarea timpurie a unor simptome care ar putea indica o maladie, sprijinirea actului medical, și, nu în ultimul rând, promovarea unui stil de viață activ și sănătos, toate acestea prin simpla descărcare gratuită a aplicației și conferirea acordului cu privire la prelucrarea datelor cu caracter personal de către aceasta.

Este predictibil faptul că multiplele avantaje sunt, într-o formă sau alta, contrabalansate prin anumite aspecte mai puțin transparente.  Dacă în 2014, un articol publicat de către BBC News concluziona că aplicațiile de sănătate reprezintă ”vești bune”[1], prin numeroasele facilități puse la dispoziția utilizatorilor printr-un simplu click, tot BBC News, 5 ani mai târziu, trage un semnal de alarmă cu privire la aceste aplicații, afirmând că reprezintă un ”risc fără precedent pentru viața privată”.[2] Această schimbare de abordare se fundamentează, bineînțeles, pe sporirea preocupării legiuitorului, a celorlalte autorități relevante, precum și a utilizatorilor pentru protecția vieții private și a prelucrării legale a datelor cu caracter personal, având în vedere că aceste aplicații colectează o cantitate îngrijorătoare de date personale considerate ”date cu caracter special” în temeiul art. 9 RGPD (date privind sănătatea) și că acest tip de date merită o protecție suplimentară.

Te-ar putea interesa și:

1.Aplicațiile de sănătate – motive de îngrijorare

După cum am menționat deja, un prim motiv de îngrijorare este cantitatea vastă de date personale care sunt colectate. Aplicațiile de sănătate colectează date precum: numele utilizatorilor, detalii despre locație, despre dispozitiv, despre sistemul de operare, istoricul căutărilor de pe Internet, cookie-uri, adrese de e-mail[3], precum și, evident, informații legate de sănătatea fizică sau mentală a utilizatorilor. Cu privire la ultima categorie, aceste aplicații colectează date referitoare la: numărul de pași efectuați, activitatea fizică, calendarul menstrual, sarcina, dieta, alimentația, greutatea corporală, înălțimea, ritmul cardiac[4], nivelul glicemiei[5], simptome ale diverselor boli, progresul efectuat în tratarea anumitor boli și multe altele. De asemenea, aplicațiile mai recente oferă posibilitatea completării unui chestionar de către utilizatori în vederea atribuirii unui diagnostic și a unui eventual tratament în privința stării psihice a utilizatorului. De exemplu, în viitorul apropiat se apreciază că prin aceste aplicații se poate ajunge la concluzia că utilizatorul suferă de depresie, are anumite fobii sau că necesită anumite terapii comportamentale cognitive.[6]

Desigur, toate aceste date sunt colectate și prelucrate, în principiu, cu scopul prestării serviciului oferit prin aplicația respectivă sau având consimțământul expres al utilizatorului, având în vedere că acesta, în cazul celor mai multe aplicații de sănătate, este nevoit să introducă el însuși datele referitoare la propria sănătate (de exemplu, nivelul glicemiei măsurat în ziua respectivă, greutatea corporală, calendarul menstrual). Se poate afirma că introducerea manuală a acestor date echivalează cu un consimțământ expres al utilizatorului. Așadar, cerințele art. 6 și 9 ale RGPD ar fi satisfăcute. De asemenea, nu este prea dificil pentru aceste aplicații să obțină încrederea utilizatorilor, în virtutea așteptărilor acestora că datele lor privind sănătatea sunt manipulate într-o manieră similară modului în care instituțiile sanitare (spitale, clinici, cabinetele medicilor de familie etc.) manipulează datele pacienților. În realitate însă, s-a apreciat că aplicațiile de sănătate nu oferă un nivel de protecție a vieții private nici măcar comparabil cu cel oferit de instituțiile sanitare.[7]

Un al doilea motiv de îngrijorare este utilizarea abuzivă a datelor cu caracter special ale utilizatorilor colectate de către furnizorii aplicațiilor de sănătate. Concret, riscul rezidă în partajarea acestor date cu companii terțe. Așadar, scopul prelucrării acestor date excede semnificativ sfera prestării serviciului. S-a arătat printr-un studiu că, dintr-un eșantion de 24 de aplicații de sănătate, 19 dintre acestea partajează datele utilizatorilor cu companii terțe, fără acordul sau înștiințarea utilizatorului.[8]

 

KIT GDPR Premium

 

2. Aplicațiile de sănătate și transferurile de date. Unde pot ajunge datele tale?

2.1.Facebook, Alphabet, Oracle și alte companii

Aceste companii primesc datele utilizatorilor aplicațiilor de sănătate, le analizează și le utilizează pentru crearea de profiluri ale acelor utilizatori și pentru efectuarea de publicitate direcționată către aceștia. La prima vedere, nu ar fi nimic eronat ca o persoană care suferă de diabet și care utilizează o aplicație de monitorizare a nivelului glicemiei să vizualizeze în cronologia profilului său de Facebook oferte de produse alimentare adaptate dietei diabeticilor. Dimpotrivă, acest lucru ar putea veni chiar în sprijinul persoanelor vizate. Totuși, există și anumite riscuri care ar trebui luate în considerare.

Evident, simplul fapt al primirii în mod constant al unui număr nelimitat de mesaje comerciale nesolicitate de către un utilizator al unei aplicații de sănătate poate fi deranjant pentru acesta. Mai mult decât atât, toate aceste date, odată ajunse la anumite companii care le analizează, pot contribui la formarea unor profiluri extrem de detaliate despre fiecare dintre noi, utilizatorii de aplicații de sănătate. În ciuda faptului că majoritatea furnizorilor de astfel de aplicații declară că nu se partajează niciodată date precum numele utilizatorului[9] (deci identificarea acestuia nu este directă), prin combinarea acestor date medicale cu toate celelalte date deținute de Facebook, de exemplu, se poate identifica în mod facil utilizatorul (deci, avem de-a face cu o persoana fizică identificabilă, conform art. 4 RGDP) și i se poate crea un profil detaliat care se află acum la dispoziția gigantului de tehnologie, profil care poate fi ”vândut” mai departe către alte companii.

2.2.Companii de asigurări de viață sau de sănătate

Principalul motiv pentru care aceste companii ar fi interesate de datele privind sănătatea este posibilitatea de a analiza, înainte de încheierea unui contract de asigurare, gradul de risc al viitorului client, risc care s-ar putea concretiza în accesarea unui sume asigurate mai mari sau mai rapid.[10] Aplicațiile de sănătate ale unei persoane pot indica anumite obiceiuri sau boli care i-ar putea reduce semnificativ speranța de viață. Totuși, chiar dacă aceste companii de asigurări declară că nu iau decizii exclusiv pe baza datelor medicale ale clienților, se apreciază că se lasă cu siguranță influențate de acestea.[11] De exemplu, o persoană care este supraponderală, manifestă anumite probleme legate de ritmul cardiac, este sedentară și diabetică (toate aceste date fiind colectate de către aplicațiile de sănătate pe care această persoană le utilizează și partajate cu companiile de asigurări) ar putea ridica anumite semne de întrebare și ar putea fi privită cu scepticism de către compania de asigurări.

2.3.Bănci și alte instituții de credit

Similar principiului descris mai sus, și instituțiile de credit ar putea fi semnificativ influențate de istoricul medical al unui potențial client. Mai mult decât atât, acestea ar putea chiar refuza acordarea unui credit bancar[12] unei persoane care se constată că are probleme de sănătate și ar putea ca, în viitor, din cauza acestor probleme, să se afle în imposibilitatea de a-și îndeplini obligațiile contractuale (fie din cauză că a decedat sau din cauza unei incapacități de muncă).

 2.4.Companiile de recrutare și angajatorii

Același raționament este aplicabil. În general, angajatorii încearcă să evite angajații predispuși la a beneficia de concedii medicale prelungite, de indemnizații sau de concedii de maternitate[13]. Evident, acest lucru ar putea duce la discriminare, consecință valabilă și în cazul instituțiilor de credit sau al companiilor de asigurări. Acest lucru contravine în mod evident prevederilor RGPD, care prevede în art. 22 că ”Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau care o afectează în mod similar într-o măsură semnificativă”.

2.5.Instituții sanitare

În vreme ce unii medici recomandă ei înșiși pacienților utilizarea unor aplicații de sănătate (cu scopul efectuării programărilor și trimiterii rezultatului unor analize către medic)[14], s-a afirmat că datele privind sănătatea, odată ajunse la instituțiile sanitare, ar putea conduce la o discriminare între pacienți în materia acordării de servicii medicale avansate.[15].

3.Aplicațiile de sănătate. Ce putem face pentru a ne proteja confidențialitatea datelor privind sănătatea?

1. Să citim cu atenție sporită politicile de confidențialitate ale aplicațiilor de sănătate pe care le descărcăm;

2. Să configurăm setările de confidențialitate (ale aplicației, dar și ale telefonului)[16] astfel încât să putem beneficia de un nivel maxim de confidențialitate. De exemplu, în cazul Google Fit: să deconectăm toate aplicațiile terțe cu care această aplicație interacționează (Manage connected apps – Disconnect)[17]. În cazul Apple Health, putem să oprim accesul aplicației la senzorii de mișcare ai telefonului (Privacy – Motion&Fitness – oprirea opțiunii Fitness Tracking)[18] ;

3. Să urmărim cu atenție orice posibilitate de a bloca sau de a limita partajarea datelor noastre de către aplicația de sănătate cu aplicații/companii terțe, indicate prin butoane de tipul ”disagree” sau ”opt-out”[19];

4. Să utilizăm dispozitive la fel de eficiente pentru monitorizarea sănătății, dar care implică o tehnologie mai ”rudimentară” și, deci, mai puțin invazivă pentru viața privată. De exemplu, în locul unei aplicații care măsoară distanța parcursă și intensitatea unui antrenament, se recomandă utilizarea unui dispozitiv de măsurare a pulsului aplicat pe braț (care stochează aceste date doar pe dispozitiv, și nu le trimite către un server), iar apoi accesarea unei diagrame cardiace online (www.heart.org) pentru interpretarea rezultatelor obținute[20];

5. Să alegem cu grijă aplicațiile de sănătate pe care le folosim. De exemplu, aplicațiile recomandate de către un medic sunt mai susceptibile de a intra sub incidența legilor care guvernează protecția vieții private și a datelor cu caracter personal. De asemenea, se recomandă utilizarea unor aplicații de sănătate cu plată, deoarece, în cazul celor ”gratuite”, plătim de fapt cu datele noastre personale[21] (evident, nu este exclus ca și cele cu plată să prelucreze în mod abuziv datele noastre, însă incidența este mai scăzută).

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta:



curiosity-gossip-deafness_140689-35.jpg




Este incontestabil faptul că astăzi spionajul cibernetic a căpătat o pondere semnificativă în „industria secretelor”, iar aplicațiile de spionaj pe telefon sunt din ce în ce mai utilizate. Asistăm la o scalare, o generalizare a fenomenului provenită din gradul ridicat de accesibilitate pe care îl prezintă mijloacele necesare obținerii de informații, o simplă aplicație pentru mobil putând realiza misiunea unei întregi divizii din trecut. 

Din acest punct de vedere, informațiile personale nu au fost niciodată mai vulnerabile.

Prin intermediul acestui articol dorim să prezentăm modul în care astfel de aplicații funcționează, cum este respectată confidențialitatea utilizatorilor, ce legislație este incidentă în domeniu și, cel mai important, cum putem să ne protejăm împotriva unor astfel de aplicații. 

Dorim să menționăm că nu recomandăm folosirea lor, iar după cum se va putea vedea în continuare, situațiile în care acestea pot fi folosite în mod legal sunt limitativ prezentate, acestea fiind, în general, atunci când dispozitivul se află chiar în proprietatea celui care dorește instalarea unei astfel de aplicații, de exemplu în cazurile sistemelor pentru monitorizarea activității copiilor sau tracking-ul pentru dispozitivele utilizate de către angajați în raporturile de muncă, în anumite limite și cu informarea prealabilă a acestora. Desigur, spionajul unui telefon se poate realiza și cu consimțământul explicit al persoanei. De asemenea, aceste aplicații pot fi folosite și pentru localizarea propriului telefon.

Aplicațiile de spionaj. Legislația incidentă

Cu privire la aplicațiile de spionaj, în ceea ce privește legislația din domeniu, menționăm protecția conferită informațiilor cu caracter personal, dar și anumite acte normative precum Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind ENISA și privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor și de abrogare a Regulamentului (UE) nr. 526/2013 (Regulamentul privind securitatea cibernetică)”, cunoscut drept Cybersecurity Act, stabilind cadrul UE pentru certificarea securității informatice și Directiva privind securitatea rețelelor și a informațiilor (NIS). De asemenea, pentru mai multe informații recomandăm și secțiunea dedicată securității cibernetice din cadrul site-ului Consiliului European. 





Ce presupune o aplicație de spionaj pentru telefonul mobil?

Pentru a ne putea proteja împotriva unor astfel de aplicații de spionaj este necesar să înțelegem cum funcționează.

Aplicațiile de spionaj pot fi descărcate direct, cel mai adesea venind contra unui cost moderat din Magazin Play sau App Store. Obținerea lor presupune o procedură simplă, dar este nevoie de accesul efectiv la dispozitivul pe baza căruia urmează a se obține informațiile, ele neputând a fi instalate, precum un cod de tipul virus, de la distanță și fiind nevoie de deblocarea unor opțiuni de securitate din cadrul telefonului. 

Astfel, odată instalată aplicația, aceasta urmează a fi „secretizată”, neregăsindu-se în lista aplicațiilor din telefon. Ea va putea fi accesată doar printr-o anumită modalitate specifică fiecărei aplicații, în general presupunând apelarea unui cod format din numere și simboluri.

Prin intermediul unui cont, dispozitivul „spionat” și dispozitivul pe care urmează să se acceseze datele urmează să fie sincronizate, astfel orice informație, precum lista apelurilor, SMS-urile, locația, pozele trimise, căutările în browser etc. urmează să apară chiar în timp real pe dispozitivul de destinație(i)

În plus, există și aplicații care îndeplinesc anumite scopuri specifice, precum cele pentru estomparea zgomotelor de fundal într-o anumită încăpere pentru a facilita ascultarea unei conversații(ii) sau cele pentru modificarea numelui expeditorului unui email.

Te-ar putea interesa și:

 

Aplicațiile de spionaj. Cum putem să ne protejăm împotriva acestora?

Întrucât cererea pentru securizarea informațiilor a crescut exponențial, piața s-a conformat acesteia și a adus aplicații ce pot satisface o astfel de nevoie. Chiar și atunci când dorim să obținem o astfel de aplicație trebuie să fim siguri că nu ascunde nici un interes întrucât pentru a putea securiza informațiile noastre, de cele mai multe ori, va avea nevoie de acces la acestea. Problema identificării apare din faptul că nu se pot face deosebiri substanțiale între aplicațiile menite a ne proteja și cele care doresc obținerea informațiilor noastre, mascând acest scop ilicit sub voalul oferirii protecției. 

Încurajăm folosirea aplicațiilor certificate și obținute din surse oficiale, iar dacă aveți suspiciuni în ceea ce privește dezvoltatorii unei aplicații pentru protecția și criptarea datelor, recomandăm ștergerea acesteia. De asemenea, realizate pentru situațiile de urgență, există aplicații care printr-o simplă comandă pot șterge toate informațiile de pe dispozitivul nostru.

Un indicator eficient al faptului că este posibil să fim victimele unei obțineri neautorizate de informații personale este consumul ridicat al bateriei dispozitivului în mod subit. Pentru a putea opera, aplicațiile de spionaj rulează în fundal pentru acumularea datelor și partajarea acestora, urmând să afecteze autonomia telefonului(iii).

De asemenea, vine de la sine înțeles că buna supraveghere a dispozitivului și restricționarea accesului unor terțe persoane asupra acestuia înlătura exponențial riscurile de a putea fi instalată o aplicație pentru obținerea neautorizată de informații. Însă, această bună practică trebuie să vină împreună și cu responsabilitatea din mediul online, însemnând navigarea unor site-uri de încredere și verificarea prealabilă deschiderii emailurilor a expeditorilor acestora.

În funcție de tipul de aplicație folosită putem obține securizarea informațiilor noastre prin modalități diferite. 

Cea mai importantă modalitate în acest demers este reprezentată de criptarea informațiilor din telefon. Astfel, apelurile, fișierele, SMS-urile, email-urile și înregistrările video stocate pe dispozitivul dumneavoastră urmează să fie codate, ceea ce poate împiedica accesarea acestora. 

O altă funcție utilă a aplicațiilor poate fi chiar ștergerea datelor la un anumit interval de timp dacă nu se dorește stocarea acestora, devenind aproape imposibilă recuperarea acestora și obținerea lor de către terțe persoane neautorizate.

Pe piața aplicațiilor pentru protecția datelor personale se pot găsi aplicații care chiar să ne și atenționeze atunci când suntem victima unui astfel de atac cibernetic, pe lângă îndeplinirea funcțiilor prezentate anterior.

O altă alternativă pentru protecția datelor personale poate fi stocarea acestora prin intermediul unei aplicații de tipul cloud, protecția fiind asigurată de dezvoltatorii acesteia. 

Dacă dorim confidențialitate și în ceea ce privește căutările noastre în mediul online, pe lângă opțiunile de anonimat oferite de browserele de pe piață putem obține și o aplicație dedicată acestui scop.



hacker-desktop-computer_24381-1188.jpg




Criminalitatea cibernetică ia amploare pe zi ce trece. Cu cât numărul utilizatorilor de internet devine mai mare, cu atât crește și numărul de astfel de infracțiuni înregistrate. Fie că ți s-a spart parola de la email, fie că un așa-zis angajat al unei bănci la care tu ai deschis un cont te-a sunat să-ți ceară date personale ca mai apoi să le folosească pentru a te jefui, ambele cazuri aduc în scenă o infracțiune cibernetică. 

Conform unui studiu realizat în America la finalul anului 2019, 43% dintre americani au fost victime ale unui atac cibernetic, FBI înregistrând doar în ultimul an peste 350.000 de plângeri personale în acest sens. Uniunea Europeană, de asemenea, a observat ritmul alarmant al creșterii acestor infracțiuni și lucrează la un nou proiect privind securitatea cibernetică prin ENISA( European Union Agency for Cybersecurity).

Secolul nostru cunoaște cel mai mare nivel de încălcare a datelor cu caracter personal și cel mai sever, manifestându-se la nivel mondial. Hackerii atacă la fiecare 39 de secunde, ceea ce aduce la un total de aproximativ 2444 de ori/zi(statistică realizată de Universitatea din Maryland), un drept fundamental fiind pus în pericol tot de atâtea ori.

Criminalitatea cibernetică. Încălcarea unui drept fundamental

Acest tip de infracțiune reprezintă un atac asupra confidențialității datelor cu caracter personal al persoanelor, încălcând, deci, un drept clar statuat în diverse legislații ale statelor din toată lumea, și, în special, în GDPR. Din acest motiv s-a început crearea unui sistem de protejare cibernetică și de prevenire a infracțiunilor cibernetice.

 




Recomandăm: Curs online securitate informatică

 

Conform REGULAMENTULUI nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), (1)Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (“carta”) şi articolul 16 alineatul (1) din Tratatul privind funcţionarea Uniunii Europene (TFUE) prevăd dreptul oricărei persoane la protecţia datelor cu caracter personal care o privesc

 

Te-ar putea interesa și:

 

Criminalitatea cibernetică în România

În legislația noastră, această infracțiune – criminalitatea cibernetică se regăsește sub numele de „criminalitate informatică”.  Ea este reglementată prin Legea 161 din 19/04/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, începând cu Titlul III.

Definiția ce i se atribuie prin legea menționată, fără a fi exhaustivă, este următoarea: 

   Art. 48. – Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoare de la 2 la 7 ani.

   Art. 49. – Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau ștergerea de date informatice, prin restricționarea accesului la aceste date ori prin împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul, constituie infracțiune și se pedepsește cu închisoare de la 3 la 12 ani.

 

 

KIT GDPR Premium

 

De ce au loc aceste atacuri și ce anume facilitează creșterea numărului lor?

1.Neglijența

Da. Neglijența, o eroare umană, reprezintă principalul factor care facilitează dezvoltarea atacurilor cibernetice. Un prim plan al acestui motiv este faptul că fiecare persoană trebuie să verifice site-urile pe care le accesează, să se asigure că acestea respectă termenii de confidențialitate înainte de a dezvălui orice tip de informație cu privire la viața lor privată.

De asemenea, trimiterea unor documente către conturi private, precum și copierea lor pe un USB, reprezintă o conduită greșită deoarece aceste device-uri pot fi unele furate(regulă aplicabilă în special în instituții, firme).

În acest caz, soluția este monitorizarea și controlul site-urile prin tehnologii avansate dedicate acestui scop.

Al doilea plan este marcat de modalitatea prin care codurile de securitate sunt stabilite. 60% din oameni aleg să folosească aceeași

parolă pentru fiecare cont pe care îl au. Mai mult decât atât, acestea au un nivel de securitate slab, fiind reprezentate de cuvinte sau date ușor deductibile. Astfel, dacă unul dintre conturi este spart, toate celelalte se află în pericol. 

Soluția în acest caz este evidentă: alegeți parole puternice, diferite pentru fiecare cont pe care îl aveți și notați-le într-un loc sigur care să nu fie un gadget(telefon, tabletă sau laptop). 

2. Favorizarea atacatorului

  • Multe studii arată că, de fapt, această dezvoltare a atacurilor cibernetice este cauzată de profilul atacatorului, de cunoștințele pe care acesta le are dar și de informațiile care îi sunt puse la dispoziție. Internetul cuprinde informații despre orice și tutoriale pentru orice tip de subiect, inclusiv despre modalitatea în care o persoană poate să realizeze o infracțiune(confecționarea unei bombe, spargerea unui cont). Prin urmare, infractorul zilelor noastre este foarte bine documentat și foarte bine pregătit.
  • Internetul este prezent în aproape fiecare casă din lume, nu este uimitor faptul că și numărul infracțiunilor a crescut semnificativ.
  • Un alt motiv ar fi independența locației și prezenței la locul desfășurării infracțiunii. Viteza de dezvoltare a internetului și a programelor destinate acestui tip de infracțiune. Viteza procesării informațiilor. 

 

Te-ar putea interesa și:

 

3. Lipsa unor sisteme de securitate puternice în cazul deținerii unui volum mare de informații. 

Criminalitatea cibernetică este din ce în ce mai frecventă. Cele mai multe atacuri informatice au ca victime firmele mici și mari. În cazul acestora, atacatorii urmăresc două lucruri:

– Obținerea unor informații. Cu titlu de exemplu enumerăm:

  • detalii financiare legate de afacerea respectivă;
  • detalii financiare ale clienților( datele cardurilor de credit);
  • date personale sensibile;
  • lista clienților;
  • infrastructura IT a firmei;
  • proprietatea intelectuală(secrete privind modalitatea de vânzare, viitoare produse ce urmează să fie lansate pe piață).

– Obținerea de foloase materiale, precum și spionarea competiției sau exprimarea unui punct de vedere politic sau social.

Din nefericire, aceste informații și foloase sunt ușor de obținut dacă nu s-a investit în crearea și implementarea unor sisteme, platforme de securitate puternice, profesionale.

 

Ca și concluzie cu rolul de a prezenta o soluție de combatere a acestui fenomen, cel mai potrivit consider că este următorul citat: „Aşa cum se observă, criminalitatea informatică a parcurs diverse etape evolutive, pornind de la simplul atac asupra unui calculator, folosind un virus, malware, troian, ajungând la atacul asupra unei întregi ramuri economice a unui stat. Pericolul criminalităţii informatice este cu atât mai mare cu cât implică preluarea unor date considerate cu caracter personal şi confidenţial care asigură accesul la resursele personale ale unei părţi componente a populaţiei ce face obiectul atacurilor; ca urmare sporirea protecţie împotriva acestor atacuri trebuie realizată încă din primele etape ale creării sistemelor informatice, înlăturându-se astfel pericolul propagării efectelor asupra utilizatorilor implicaţi în lucrul cu resursele de calcul.” (Nonsecuritatea – premisă a criminalităţii informatice- Ion IVAN, Daniel MILODIN, Cătălin SBORA).

 

Recomandăm: Curs online securitate informatică



collection-people-wearing-medical-masks_52683-35394.jpg




Pandemia de Coronavirus, COVID 19 și declararea stării de urgență a generat provocări fără precedent în toate domeniile, inclusiv în domeniul muncii și al relației dintre angajatori și angajați.

Pentru a opri răspândirea virusului, numeroși angajatori implementează politici și proceduri de prevenire menite să limiteze gradul de contaminare a personalului și solicită angajaților să completeze periodic chestionare în vederea monitorizării stării de sănătate a angajaților lor, a planurilor lor de călătorie în cadrul muncii și în afara acesteia, precum și a posibilelor lor contacte cu persoane infectate din afara locului de muncă.

Însă, orice prelucrare a datelor privind sănătatea salariaților, care reprezintă o categorie specială de date cu caracter personal și beneficiază de o protecție ridicată potrivit GDPR și legislației naționale, în contextul COVID-19, trebuie efectuată, în continuare, într-o manieră responsabilă și eficientă.

În acest sens, Andrea Jelinek, președintele Comitetului European pentru Protecția Datelor (EDPB), a declarat că: „Normele de protecție a datelor (precum GDPR) nu împiedică măsurile luate în lupta împotriva pandemiei coronavirusului. Cu toate acestea, aș dori să subliniez faptul că, chiar și în aceste perioade excepționale, operatorul de date trebuie să asigure protecția datelor cu caracter personal ale persoanelor vizate. Prin urmare, trebuie luate în considerare o serie de considerații pentru a garanta prelucrarea legală a datelor cu caracter personal.

La nivel național, Autoritatea Naționala de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a publicat pe 18.03.2020 un comunicat cuprinzând informații clare cu privire la folosirea corectă a datelor personale ale angajaților, care cuprind starea de sănătate a acestora, în legătura cu următoarele aspecte:

Condițiile în care pot fi prelucrate datele privind starea de sănătate de către un operator în conformitate cu Art. 9 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, după cum urmează:

  • prelucrarea este necesară în scopul îndeplinirii obligaţiilor şi al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forţei de muncă şi al securităţii sociale şi protecţiei sociale,
  • prelucrarea este necesară în scopuri legate de medicina preventivă (…), de stabilirea unui diagnostic medical, de furnizarea de asistenţă medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical” şi sub rezerva respectării anumitor condiţii şi garanţii,
  • prelucrarea este necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale,
  • persoana vizată şi-a dat consimţământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepţia cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicţia prelucrării acestor date să nu poată fi ridicată prin consimţământul persoanei vizate.





Te-ar putea interesa și:

 

Obligația de informare a persoanei vizate, care trebuie să fie într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu și să conțină informaţiile menţionate la articolele 13 şi 14 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.

 

 

 

Măsurile de securitate care trebuie adoptate de către operatori în conformitate cu 32 din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date, care reglementează ”Securitatea prelucrării” și stabilește obligația operatorilor și persoanelor împuternicite de aceștia pentru implementarea măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător.

Garanția că prelucrarea se efectuează în conformitate cu Regulamentul care trebuie oferita si demonstrata de către operatori, care trebuie să ia masurile tehnice măsuri tehnice și organizatorice adecvate în conformitate cu 24 alin. (1) din Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date.

!Dezvăluirea în spațiul public a numelui și stării de sănătate a unei persoane fizice, care se poate realiza doar cu consimțământul persoanei în cauză.

KIT GDPR Premium

 

Deși nu conține referiri la activități specifice de prelucrare de date, comunicatul atrage atenția asupra aplicării cadrului GDPR, chiar și în actuala situație de urgență, cel puțin până când o măsură legislativă va restricționa drepturile prevăzute de GDPR.

Având în vedere balanța delicată care se constituie între protecția sănătății publice și protecția datelor, în ultimele săptămâni autoritățile pentru protecția datelor din mai multe țări europene au întocmit ghiduri cu drepturile angajaților în legătura cu epidemia de Coronavirus, din punct de vedere GDPR, are au servit ca linii directoare de aplicare a prevederilor legale in acest context.

Ce nu au voie să facă angajatorii:

În conformitate cu aceste ghiduri, angajatorilor nu le este permis:

  • Să colecteze informații referitoare la temperatura corporală a angajaților.
  • Să solicite angajaților să completeze chestionare zilnice referitoare la sănătatea lor (cum ar fi simptome, tuse, temperatura, etc.).
  • Să dezvăluie public identitatea unui angajat suspectat ca are simptomele corespunzătoare COVID-19 si care sunt masurile luate de companie în acest caz, cum ar fi izolarea, lucrul de acasă, menținerea contactului cu medicul etc.).
  • Să facă investigații referitoare la călătoriile individuale ale angajaților, la contactele angajaților si sănătatea acestora. Angajatorii pot implementa proceduri de informare, conștientizare si responsabilizare a salariaților prin care aceștia sunt invitați să declare dacă au călătorit în zone de risc sau dacă prezintă simptome specifice COVID-19.
  • Să solicite informații cu privire la diagnosticarea salariaților cu COVID-19. Înregistrările referitoare la sănătatea salariaților trebuie sa se limiteze la ceea ce este necesar pentru a permite angajatorului sa pună in aplicare masuri de sănătate si securitate în muncă.
  • Să monteze dispozitive sau să instaleze aplicații de localizare a angajaților. Introducerea unor modalități de supraveghere a salariaților în contextul raporturilor de muncă se poate face numai cu respectarea condițiilor speciale prevăzute de Legea nr. 190/2018. Pandemia nu poate constitui, însă, conform legii, o justificare temeinică pentru montarea de dispozitive sau instalarea unor astfel aplicații de localizare a angajaților.

 

 

Vrei să te aliniezi la GPPR? Cum te putem ajuta: