»

Evropska komisija je z uporabo Microsoft 365 kršila uredbo o osebnih podatkih

Slo-Tech - Evropski nadzornik za varstvo podatkov (EDPS) je sklenil preiskavo, ki jo je začel maja 2021. V njej je ugotovil, da je Evropska komisija z uporabo rešitve v oblaku Microsoft 365 kršila evropsko zakonodajo o varstvu podatkov. Evropska komisija je kršila uredbo 2018/1725 (o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov), zlasti vzpostavitev ustreznih mehanizmov za zaščito pri prenosu izven EU. Prav tako Komisija v pogodbi z Microsoftom ni ustrezno določila, katere osebne podatke bo zbirala in s katerim namenom. Komisija je nezakonito prenašala in obdelovala osebne podatke.

Evropski nadzornik Wojciech Wiewiórowski je dejal, "da imajo vse evropske inštitucije, pisarne, agencije in druga telesa odgovornost, da zagotovijo varno obdelovanje osebnih podatkov na območju Unije in v tujini, za kar morajo vzpostaviti ustrezne varovalke in uvesti ukrepe. To je ključno za zagotavljanje zaščite osebni...

11 komentarjev

Google neupravičeno hranil osebne podatke kandidatov za zaposlitev

Žvižgač

Slo-Tech - Splošna uredba (GDPR) je zelo jasna v določbah, da podjetja ne smejo osebnih podatkov ljudi dlje, kot je to nujno potrebno. Zato se Googlu obeta preiskava, saj je žvižgač Mohamed Maslouh ugotovil, da je podjetj več kot desetletje hranilo osebne podatke kandidatov za delovna mesta, četudi jih kasneje niso zaposlili.

Maslouh je delal kot pogodbeni podizvajalec, ko je pri prijavi v Googlov interni kadrovski sistem gHire ugotovil, da so v njem dostopni osebni podatki več tisoč ljudi iz EU in Velike Britanije. Šlo je za imena, telefonske številke, osebne elektronske naslove, življenjepise in podobno. To je v nasprotju z GDPR, zato je početje prijavil britanskemu (ICO) in irskemu (DPC) informacijskemu pooblaščencu. Ta bosta sedaj verjetno preiskala - uradne potrditve še ni -, kaj se je dogajalo.

Google je v odzivu povedal, da so lani zagnali orodje, ki je globalno v celem gHire prečistilo vnose in poskrbelo za zasebnost kandidatov. Trdijo, da je Maslouh podatke videl pred tem. To morda...

1 komentar

Končno enotna aplikacija za spremljanje koronavirusa v EU?

vir: Pixabay

vir: Reuters
Reuters - Wojciech Wiewiorowski, evropski nadzornik za varstvo podatkov, je članice EU pozval k razvoju enotne mobilne aplikacije za spremljanje širjenja koronavirusa. Enotna aplikacija naj bi nadomestila trenutno stihijsko uvajanje digitalnega nadzora nad državljani, ki se ga loteva vsaka članica zase, pri čemer bolj ali manj uspešno upoštevajo pravila zasebnosti.

Uvajanje mobilnih aplikacij je sicer sprožilo številna ugibanja ali ne gre za postopno uvajanje nadzora nad državljani, ki bo med nami ostalo tudi po koncu epidemije, spet drugi pa dvomijo v učinkovitost takih aplikacij, ki bo seveda okrnjena, če jih ne bo uporabljala večina prebivalcev.

Evropski nadzornik želi k projektu pritegniti tudi Svetovno zdravstveno organizacijo, po vsem sodeč pa je najbolj navdušen nad aplikacijo, ki naj bi jo te dni zagnali v okviru pobude PEPP-PT (Pan-European Privacy Preserving Proximity Tracing). Ta deluje na podlagi Bluetooth vmesnika in na način, ki je skladen z GDPR. Aplikacija beleži stike z...

22 komentarjev

Zaradi šlamparije javno objavljenih 250 milijonov zapisov o Microsoftovih strankah

vir: Pxhere

Comparitech - Pri Microsoftu so za javnost povzeli izsledke interne preiskave, ki je stekla potem, ko se je izkazalo, da so bili med 5. in 31. decembrom lani javno dostopni podatki, ki jih v podjetju uporabljajo za analizo podpore uporabnikom. Kljub temu so zamolčali za kolikšen obseg in vrsto objavljenih osebnih podatkov je šlo. Tu je z lastno objavo vskočilo podjetje Comparitech, ki je sicer razgaljene podatke odkrilo 29. decembra na strežnikih podjetja Elastics in o tem obvestilo Microsoft, kjer so podatke nemudoma zavarovali, kar je vseeno trajalo še dva dneva.

Objavljene so bile zabeležke pogovorov med njihovimi uslužbenci in strankami iz celega sveta za obdobje štirinajstih let, torej od leta 2005, osebni podatki pa so bili pri tem večinoma anonimizirani. A ne vsi. Tako je bilo objavljenih kar nekaj email naslovov strank in Microsoftovih uslužbencev, pa njihove IP številke, lokacije, opisi postopkov in interne zabeležke, označene kot zaupne. Skupaj je šlo 250 milijonov primerov, s...

24 komentarjev

EU premierno preverja Googlov odnos do naših podatkov

vir: Pexels

Slo-Tech - Google in njegovo zbiranje osebnih podatkov za potrebe oglaševanja sta se prvič znašla pod drobnogledom irskega pooblaščenca za varovanje osebnih podatkov. Irskega zato, ker ima Googlova evropska filiala sedež v tej državi članici. Sicer pa je v ospredju predvsem zanimanje za to, kako Google procesira naše osebne podatke v vsaki fazi oglaševalskih transakcij in če je vse skupaj skladno z določbami Splošne uredbe o varstvu osebnih podatkov, znane tudi pod kratico GDPR.

Preiskava se je začela na iniciativo lastnikov brskalnika Brave, ki zatrjujejo, da Google uredbo krši s tem, ko podatke o naših spletnih interesih posreduje podjetjem, ki nato na avkciji tekmujejo z denarjem, čigav oglas bomo ugledali. Johnny Ryan iz podjetja Brave je tako...

2 komentarja

So Microsoftovi posli z EU navzkriž z GDPR?

vir: Flickr

vir: Reuters
Reuters - Evropski nadzornik za varstvo osebnih podatkov je sprožil preiskavo, s katero želi ugotoviti ali Evropska komisija in druge bruseljske inštitucije spoštujejo določbe Splošne uredba o varstvu osebnih podatkov (GDPR). Gre za nakupe programske opreme pri Microsoftu, problem pa je približno enak tistemu, ki ga je konec lanskega leta glede 300.000 svojih javnih uslužbencev, prav tako proti Microsoftu, sprožila nizozemska vlada. Torej, ali programski paket Microsoft Office Pro Plus, ki se povezuje s strežniki Office 365 zares črpa telemetrične in druge podatke iz aplikacij v okviru Offica in jih shranjuje na strežnikih v ZDA. Šlo naj bi med drugim tudi za naslove elektronskih sporočil in...

13 komentarjev

Francija: Google dobil 50 milijonov evrov kazni zaradi GDPR

Commission nationale de l'informatique et des libertes - Francoski regulator za varstvo osebnih podatkov (CNIL oz. Commission nationale de l'informatique et des libertés) je Googlu izrekel kazen v višini 50 milijonov evrov, potem, ko po njihovem mnenju podjetje ni spoštovalo določb splošne uredbe o varstvu osebnih podatkov (GDPR).

Kot zatrjujejo pri CNIL, je Google uporabnikom premalo transparentno predstavil podrobnosti o njihovi politiki upravljanja z osebnimi podatki. Ključne informacije, denimo nameni procesiranja podatkov, dolžina njihovega hranjenja in uporaba za personalizacijo oglasov, so raztreseni po večih dokumentih, dostop do relevantnih informacij pa je mogoč šele po 5-6 klikih. Dalje, podjetje uporabnikom ni ponudilo zadostnih...

24 komentarjev

GDPR pred resno Facebook preizkušnjo

vir: Pxhere

vir: The Register
The Register - Ko je 25. maja začela veljati znamenita Splošna uredba o varstvu podatkov oz. GDPR, smo Evropejci dobili tudi globalno segajočo pravico, da lahko od podjetij, ki o nas kopičijo osebne podatke, te podatke po želji zahtevamo na vpogled.

Michael Veale, profesor z University College London se je odločil zadevo preizkusiti v praksi.

Na Facebook je točno na dan začetka veljavnosti GDPR naslovil zahtevo, naj mu izročijo podatke, ki jih je podjetje zbralo glede njegovega obnašanja na spletu in aktivnostih zunaj Facebookovega omrežja. Veale namreč sklepa, da gre za občutljive osebne podatke, saj se da iz njih razbrati človekovo religioznost, morebitne zdravstvene težave in seksualno usmerjenost. Znano je tudi, da Facebook te stvari spremlja preko svojega Pixla, posebnega skupka...

40 komentarjev

Dogovor o iznosu osebnih podatkov v ZDA pod vprašanjem

ECJ - V postopku pred Sodiščem EU je generalni pravobranilec pravkar podal priporočilo, da naj se krovni sporazum o dopustnosti iznosa osebnih podatkov v ZDA odpravi. Če bi sodišče sledilo temu mnenju, bi to lahko izsililo pomembne spremembe v režimu, kako ameriška podjetja ravnajo z osebnimi podatki nas Evropejcev. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim"...

14 komentarjev

Informacijski pooblaščenec vs. Urad za varstvo konkurence: 1:0

Slo-Tech - Kot je znano, je Urad za varstvo konkurence julija letos uvedel inšpekcijski nadzor zaradi suma usklajenega ravnanja oziroma omejevalnega sporazuma med trgovskimi družbami Mercator, Spar in Engrotuš. V okviru postopka so pri trgovcih zasegli nekatere podatke iz njihovih računalnikov.

Informacijski pooblaščenec je nato dobil prijavo, da Urad za varstvo konkurence v Mercatorju kopira celotne trde diske nekaterih osebnih računalnikov, na diskih pa naj bi se nahajali tudi osebni podatki in osebna korespondenca zaposlenih.

To naj bi predstavljalo kršitev zakonodaje s področja varstva osebnih podatkov, saj UVK nima zakonske podlage za tovrstno obdelavo osebnih podatkov, zato je Pooblaščenec uvedel inšpekcijski nadzor ter 10. julija 2008 UVK-ju prepovedal kakorkoli uporabljati določene osebne podatke. Konkretno je prepovedal uporabo osebnih podatkov v mapah \\Documents and Settings\ in \\Users\ ter uporabo vseh datotek vrste .nsf (Lotus Notes), .pst, .ost, .pab in .oab (vse Microsoft...

98 komentarjev

Evropsko pošiljanje podatkov o letalskih potnikih v ZDA je nezakonito

BBC - Kot poroča BBC News, je Evropsko sodišče presodilo, da je sporazum med EU in ZDA, na podlagi akterega je Evropska Unija ZDA pošiljala podatke o letalskih potnikih nezakonit. EU je ZDA pošiljala imena in naslove letalskih potnikov ter podatke o njihovih kreditnih karticah. Letalska podjetja so ZDA morala 15 minut po vzletu letala poslati več kot 30 osebnih podatkov o posameznem letalskem potniku.

Po mnenju sodišča zaščita osebnih podatkov v ZDA ni ustrezna, zato sporazum nima ustrezne pravne osnove. Sporazumu, ki je bil uradno sklenjen zaradi boja proti terorizmu, je pred tem že nasprotoval Evropski parlament. Kljub temu, da je Evropsko sodišče sporazum razveljavilo, pa je državam članicam do 30. septembra postavilo rok v katerem lahko poiščejo ustrezno pravno osnovo za tak sporazum.

Primer je pred Evropsko sodišče prišel na pobudo Evropskega nadzornika varstva osebnih podatkov.

21 komentarjev