Artykuły dotyczące tematu: UE

dodany: 06.07.2013 | tagi: , ,

Będą większe kary za cyberprzestępstwa

1

Parlament Europejski zaakceptował propozycję nowego wymiaru kar dotyczących cyberprzestępczości. Oprócz tego wprowadzono nowe zasady, które mają zapewnić lepszą współpracę między sądami i policją na terenie całej Unii Europejskiej.

Za wprowadzeniem nowych przepisów głosowało 541 eurodeputowanych, natomiast 91 zgłosiło sprzeciw. Zaledwie 9 wstrzymało się od decyzji.

Dyrektywa ta stanowi aktualizację przepisów z 2005 roku i należy się spodziewać, że w niedługim czasie zostanie ona zaakceptowana przez Radę. Gdy to nastąpi, kraje członkowskie będą miały 2 lata na wprowadzenie nowych przepisów w życie.

Nowe przepisy wymagają na krajach członkowskich wprowadzenia maksymalnych kar nie mniejszych niż 2 lata pozbawienia wolności dla cyberwłamywaczy. Przepisom tym będą także podlegać osoby, które propagują, tworzą bądź sprzedają programy pomocne przy tego typu atakach.

Pojęcie „niskiej szkodliwości” będzie nadal funkcjonować i będzie wyłączone spod tego systemu kar, aczkolwiek definicja ta będzie zależna od konkretnego kraju.

Wyszczególniono także odrębne kary za używanie botnetów – w tym wypadku kara pozbawienia wolności będzie wynosić 3 lata.

Jeśli ktoś dokona włamania do głównych systemów państwowych musi się liczyć z karą 5 lat pozbawienia wolności. Ten sam wymiar kary przewidziany jest za przestępstwa o poważnych konsekwencjach i te dokonane przez organizacje przestępcze.

Nowością jest wprowadzenie 8-godzinnego terminu na udzielenie pomocy państwom członkowskim. Czas ten będzie liczony od momentu zgłoszenia cyberprzestępstwa.

Nowe sankcje karne nie ominęły także firm, które mogą zostać pociągnięte do odpowiedzialności w przypadku nielegalnego zdobywania informacji o konkurencji, np. poprzez wynajęcie. Konsekwencje za tego typu działania mogą nawet doprowadzić do likwidacji działalności gospodarczej.

Zainteresowanych szczegółami odsyłamy do dokumentu 2010/0273(COD).

dodany: 02.04.2013 | tagi: , ,

Google dostanie grzywnę za jedną politykę prywatności

0

Nowa polityka prywatności Google istnieje już nieco ponad rok, ale wciąż jest przyczyną niejednego bólu głowy wśród europejskich regulatorów prawa prywatności.  Po kilkunastu miesiącach niechciany „globus” (ból) przejdzie na samego giganta wyszukiwania. Wszystko za sprawą francuskiej Narodowej Komisji ds. wolności informatycznej (z fr. Commission Nationale de l’Informatique et des Libertes, w skr. CNIL), której reprezentant podał dziś, że Google  nie odpowiedziało na ich prośby w sprawie dokonania zmian w swojej nowej polityce prywatności, co skutkuje przekazaniem sprawy do Unii Europejskiej.

Wielka Brytania, Francja, Niemcy, Włochy Hiszpania i Holandia były pierwszymi krajami, które uczestniczyły w badaniu nowej polityki prywatności, którą łączy w całość 60 różnych zasad dla produktów i usług Google. Tym samym Google otworzyło się na deszcz grzywien i kar, który najpewniej nastąpi po zakończeniu śledztw w każdym z wymienionych wyżej krajów.

Google próbuje się bronić pisząc, że ich polityka prywatności nie narusza prawa europejskiego i pozwala na tworzenie prostszych i bardziej efektywnych usług i dodaje, że prace nad nową polityką prywatności były konsultowane z organami odpowiedzialnymi za ochronę danych.

Tłumaczenia jednak na nic się zdały, bo zamieszane w całą sprawę państwa postanowiły, że CNIL ma zająć się wykazaniem czy Google działa zgodnie z zasadami panującymi w obszarze UE, czy nie. Wszystkie państwa członkowskie wyraziły na to zgodę.

Wyniki śledztwa poznamy za trzy lub cztery miesiące.

dodany: 15.01.2013 | tagi: , , , ,

Wiążące reguły korporacyjne przetwarzania danych osobowych

0

Z dniem 01 stycznia 2013 r. wprowadzono wiążące reguły korporacyjne (BCR) dla przetwarzających, którymi są wewnętrzne kodeksy postępowania dotyczące ochrony i bezpieczeństwa danych mające na celu zapewnienie, że przekazywanie danych osobowych poza obszar Unii Europejskiej przez przetwarzającego, który działa w imieniu swoich klientów i wedle ich instrukcji, będzie odbywało się zgodnie z przepisami UE o ochronie danych (link).

BCR mają charakter wewnętrznych zasad przyjmowanych przez międzynarodowe korporacje, które definiują globalną politykę przetwarzania danych osobowych wewnątrz danej korporacji do lokalizacji położonych w państwach, w których nie obowiązuje należyty stopień ochrony danych osobowych.

BCR mają na celu przede wszystkim ułatwić dużym korporacjom spełnienie wymogów z art. 25 i 26 Dyrektywy, na podstawie których:

  1. Państwa Członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas, gdy niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony;
  2. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne, jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie;
  3. Państwa Członkowskie zapewnią, że przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, może nastąpić pod warunkiem, że: a) osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych; lub b) przekazanie danych jest konieczne dla realizacji umowy między osobą, której dane dotyczą i administratorem danych lub dla wprowadzenia w życie ustaleń poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą; lub c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią, w interesie osoby, której dane dotyczą; lub d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; lub e) przekazanie danych jest konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą; lub f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.
  4. Państwo Członkowskie może zezwolić na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby oraz odnośnie do wykonywania odpowiednich praw; takie środki zabezpieczające mogą w szczególności wynikać z odpowiednich klauzul umownych.

Przy stosowaniu tych zasad warto wspomnieć o wyroku z dnia 16 kwietnia 2003 r., w którym Naczelny Sąd Administracyjny stwierdził, że:

“Przy udzielaniu zgody na przekazanie danych osobowych za granicę organ powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu”.

Jak czytamy w Komunikacie europejskich organów ochrony danych, zrzeszonych w ramach Grupy Roboczej Artykułu 29 ds. Ochrony Danych (niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE),

“Stosowanie BCR dla przetwarzających nie jest obowiązkowe, a każde przedsiębiorstwo działające jako przetwarzający, np. w kontekście działań outsourcingowych lub przetwarzania danych w chmurze obliczeniowej (cloud computing), może podjąć decyzję o złożeniu wniosku o zatwierdzenie BCR do organu ochrony danych. Przyniesie to jednak korzyści zarówno przetwarzającym, jak i administratorom. Gdy wiążące reguły korporacyjne dla przetwarzających zostaną zatwierdzone, mogą być wykorzystane przez administratora i przetwarzającego, dzięki czemu zapewniona zostanie zgodność z unijnymi zasadami ochrony danych, bez konieczności negocjowania zabezpieczeń i warunków za każdym razem, gdy zawierana jest umowa”.

BCR dla przetwarzających są – można powiedzieć – częścią systemu BCR, na który składa się jeszcze BCR dla administratorów danych, natomiast BCR dla przetwarzających obejmuje różne podmioty przetwarzające dane (np. centra danych). Zgodnie z Dyrektywą, pomiędzy przetwarzającym a administratorem powinna zostać podpisana stosowna umowa (ang. service agreement), której postanowienia również powinny znaleźć swoje odzwierciedlenie w BCR dla przetwarzających.

Od strony merytorycznej, w BCR dla przetwarzających należy zwrócić uwagę przede wszystkim na następujące kwestie:

  1. Zapewnienie przestrzegania we wszystkich podmiotach grupy oraz przez wszystkich pracowników, w tym zapewnienie, że przestrzegane będą zasady ochrony przewidziane w umowie z administratorem. Zgodnie bowiem z art. 17 Dyrektywy “Państwa Członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań”.
  2. BCR muszą dawać prawo do dochodzenia uprawnień w nich przewidzianych przez osoby, których dane są przetwarzane (ang. “data subjects”), gdy nie mogą one wnieść roszczeń przeciwko administratorowi.
  3. BCR muszą przewidywać odpowiedni poziom zobowiązań do rekompensaty finansowej za działania podmiotów przetwarzających dane.
  4. BCR musi zapewnić, iż wiedza odnośnie zasad BCR jest znana w danej firmie i przeprowadzane są ustawiczne szkolenia w tym zakresie.
  5. W całej grupie podmiotu przetwarzającego dane powinien funkcjonować punkt kontaktowy dla podmiotów, których dane są przetwarzane.
  6. BCR powinny przewidywać, iż sposób ochrony danych osobowych będzie okresowo audytowany.
  7. BCR powinny zawierać zobowiązanie do współpracy z organami ochrony danych osobowych oraz z administratorem danych. Nie można bowiem na żadnym etapie zapomnieć, iż dane są przetwarzane w określonym celu i to nie podmiot przetwarzający dane osobowe jest tutaj główną postacią tego procesu. Na pewno pełni on bardzo istotną rolę w łańcuchu przetwarzania danych osobowych, jednakże nie wolno zapomnieć, iż głównym zobowiązanym jest administrator danych i to w wypełnianiu obowiązków administratora danych powinien pomagać przetwarzający.
  8. Określenie zakresu danych objętych BCR.
  9. Procedura zmian BCR.
  10. Opis zasad zachowania poufności i bezpieczeństwa, włączając w to zasady transferu danych poza Unię Europejską.
  11. Lista podmiotów objętych BCR oraz oświadczenie o powiązaniach BCR z prawem lokalnym.

Na zakończenie należy podkreślić, iż BCR powinny być powiązane z SLA, która w zakresie danej usługi wiąże klienta końcowego. Umowa SLA, która wiąże klienta, będzie zawierała wiele uregulowań dotyczących już bezpośrednio danej usługi, jednakże BCR jako dokument ramowy i globalny powinien być do niej załącznikiem – jest to bynajmniej rekomendowana praktyka.

dodany: 15.12.2012 | tagi: , , , ,

Złe wiadomości dla Huawei i ZTE

0

Huawei i ZTE dostały kolejny cios. Najpierw były Stany Zjednoczone, później Australia, a teraz przyszedł czas na Europę. Komisja Europejska wezwała do podjęcia działań wobec dwóch firm twierdząc, że ich produkty mogą stanowić zagrożenie dla bezpieczeństwa na starym kontynencie. Wg Reutersa w raporcie można przeczytać, że:

Rosnąca obecność Chińczyków na rynku telekomunikacyjnym jest coraz częściej postrzegana przez wszystkich uczestników z państw UE oraz ekspertów jako poważne zagrożenie dla bezpieczeństwa.

Komitet ds. Wywiadu Amerykańskiej Izby Reprezentantów niedawno zachęcał firmy amerykańskie do zaprzestania prowadzenia działalności gospodarczej z Huawei i ZTE twierdząc, że para może stanowić zagrożenie dla bezpieczeństwa ze względu na możliwy wpływ państwa na spółki. Australia niedawno zablokowała udział Huawei w przetargu na dostawę sieci szerokopasmowej w całym kraju.

Dodatkowo wywiad brytyjskiego parlamentu i komisja bezpieczeństwa podały, że badają relacje Huawei z BT, któremu pomagało przy tworzeniu sieci 4G na terenie Wielkiej Brytanii. W 2010 Huawei wraz z rządowym CESG otworzyło nawet centrum testowania cyberbezpieczeństwa częściowo w celu rozwiania obaw o bezpieczeństwo.

Raport KE również pokazuje skutki rosnącej dominacji nad europejskimi producentami dwóch firm z Chin. Ich łączny udział w rynku wynosi obecnie 25%, jeszcze w 2006 ich udział wynosił 2,5%. Sugeruje także, że producenci w UE będą musieli zamknąć swoje linie produkcyjne, co znacznie zwiększy stopień zależności UE od sprzętu produkowanego w Chinach i stopień zagrożenia bezpieczeństwa.

Choć w raporcie znalazła się sugestia o rozpoczęciu dochodzenia ewentualnych opłat handlowych, sprawa nie została jeszcze skierowana przeciwko firmom, a sam raport nadal jest przedmiotem dyskusji członków Komisji Europejskiej i krajów członkowskich.

KE i Huawei nie wydały żadnego oświadczenia w te sprawie. ZTE powiedziało tylko, że nikt się jeszcze z nimi nie kontaktował w sprawie jakichkolwiek płatności. Na koniec oczywiście zapewnili o swojej transparentności i gotowości do współpracy.

 

dodany: 22.11.2012 | tagi: , , ,

ENISA pokazuje wady unijnego planu „prawa do bycia zapomnianym”

0

Według raportu Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (z ang. The European Network and Information Security Agency, w skr. ENISA) problemy techniczne mogą unicestwić proponowane przez Unię „prawo do bycia zapomnianym” (z ang. right to be forgotten), szczególnie w przypadku dużych danych.

„Prawo do bycia zapomnianym”, uwzględnione w nadchodzącym Rozporządzeniu Komisji Europejskiej o Ochronie Danych, pozwoli osobom korzystającym z portali społecznościowych i innych usług w sieci aby ich zdjęcia, posty i inne dane osobowe zostały na życzenie całkowicie usunięte. We wtorek ENISA opublikowała techniczną ocenę wniosków wskazując przy tym szereg problemów, które mogą spowodować, że używanie tego prawa będzie trudne w praktyce.

Dla każdej z  rozsądnych interpretacji prawa do bycia zapomnianym, czysto techniczne i kompleksowe rozwiązanie w celu egzekwowania prawa w Internecie jest zwyczajnie niemożliwe. Konieczne jest podejście interdyscyplinarne, a decydenci powinni być świadomi tego faktu. Warto zastanowić się nad tym, jak agregowane i pochodne formy informacji (np. statystyki) będą się zachowywać po użyciu prawa do bycia zapomnianym na surowych danych, z których korzysta się w ich tworzeniu. Usuwanie zapomnianych informacji ze wszystkich form może stanowić poważne wyzwanie techniczne.

Choć szczegółowe dane, takie jak obrazy i publicznie widoczne posty są łatwe do usunięcia, to sytuacja komplikuje się jeśli mamy do czynienia z dużymi danymi, np. gdy informacje, które chcemy usunąć zostały przeanalizowane i potrzebny jest stały wgląd w takie dane. Nie jest możliwe zrekonstruowanie tylko potrzebnych informacji ze zbiorów dużych danych.

Komisja Europejska w lutym tego roku zapowiedziała, że Google i Facebook, które sprzedają reklamy kierowane do użytkowników, bazując na analizie danych użytkownika, będą musiały zacząć działać zgodnie z żądaniami ludzi, aby usunąć z analiz ich dane. Przepisy przez nią zaproponowane będą miały zastosowanie na portalach społecznościowych i w wyszukiwarkach. Nie obejmą jedynie platform, które magazynują dane bez ich analizowania.

Oświadczenie Komisji Europejskiej było konsekwencją skargi, w której Google skarżyło się na propozycje, które tworzą nieuzasadnione wymagania od dostawców usług internetowych.

Głównym problemem z tym rozporządzeniem, wg ENISA, jest to, że jego warunki są zbyt szerokie. Jako przykład podano w raporcie, że rozporządzenie nie mówi dokładnie, kto ma prawo do żądania usunięcia i jakie są dopuszczalne sposoby „zapominania” danych.

W rozporządzeniu znaleźć można także zbyt szerokie ujęcie danych osobowych, opisujące je jako informacje, które mogą być jednoznacznie połączone z możliwością identyfikacji osoby fizycznej. Definicja niezbędna do egzekwowania „prawa do bycia zapomnianym” jest zbyt niejasna.

Rozporządzenie zostawia do interpretacji fakt, czy dane zawierają informacje, które mogą być używane do identyfikacji osoby z dużym prawdopodobieństwem, ale nie z pewnością, np. zdjęcie osoby lub konto danej osoby w jej historii czy jej aktywna działalność. Nie jest też jasne, czy definicja zawiera informacje identyfikujące osobę nie jednoznacznie, ale jako członka mniej lub bardziej większego zbioru jednostek takich, jak np. rodzina.

Głównym zaleceniem ENISA jest dalsza praca nad doprecyzowaniem wszystkich definicji, które mają mieć wpływ na egzekwowanie prawa do bycia zapomnianym. Agencja rekomenduje również zmuszanie wyszukiwarek i innych usług udostępniania do filtrowania odwołań do zapomnianych danych przechowywanych poza Unią Europejską i wzywa regulatorów do podjęcia interdyscyplinarnego podejścia w celu dopracowania swojej propozycji.

Dyskusje o Rozporządzeniu o Ochronie Danych trwają od stycznia tego roku. Biorą w nich udział europejscy decydenci i specjaliści od prawa przed oficjalnym złożeniem propozycji rozporządzenia przed całym Parlamentem Europejskim. Jak widać mają jeszcze dużo pracy przed sobą, bo niejasna definicja może obrócić w proch całe „prawo do bycia zapomnianym”. Albo może zrobić z niego narzędzie do uspokojenia swojego sumienia i ogłupiania społeczności.