Poprzedni Następny

Realizacja przepisów RODO przez czołowe sklepy internetowe

Autorem tekstu jest Kamil Lunda
Audytor ds. bezpieczeństwa EXATEL

 


Od wprowadzenia przepisów związanych z RODO minęły już 3 lata. Pomimo dostępności szkoleń, informacji w Internecie oraz wielu specjalistów na rynku zajmujących się tą kwestią, wiele firm wciąż popełnia znaczące błędy. Z okazji miesiąca cyberbezpieczeństwa przyjrzałem się jak do wybranych elementów związanych z bezpieczeństwem, podchodzi pięć czołowych sklepów ze sprzętem komputerowym.

 

Zakres badania

Rozporządzenie zaczęło obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiąże wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Rozporządzenie wprowadza szereg zmian oraz rozszerza zakres obowiązków administratorów, oraz podmiotów przetwarzających dane.

We wrześniu zostało przeprowadzone sprawdzenie poprawności dostosowania się pięciu czołowych sklepów internetowych zajmujących się sprzedażą sprzętu komputerowego/elektronicznego do przepisów związanych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Podczas sprawdzenia pod uwagę brałem takie elementy jak:

  • tworzenie i usuwanie konta,
  • zbieranie nadmiarowych danych,
  • bezpieczeństwo danych,
  • realizacja praw i obowiązków względem użytkownika.

 

Zakładanie konta w serwisie

Wszyscy administratorzy badanych serwisów zbierają podczas rejestracji dane takie jak adres e-mail. Dwóch z pięciu zbiera szersze zakresy danych tzn. imię i nazwisko, co może być uznawane za zbyt szeroki zakres danych, ale jeden z nich zbiera do tego numer telefonu, co należy już uznać jako zbyt szeroki zakres, ponieważ zasadę zawartą w art. 5 ust. 1 lit. E RODO spełnia już sam adres e-mail

W jednym przypadku zaobserwowano możliwe zbieranie szerszego zakresu tj. kod pocztowy, ale zostało to określone jako informacja zbierana opcjonalnie i nie rzutuje negatywnie na możliwości założenia konta w serwisie.

W mojej opinii zbieranie szerszego zakresu niż adres e-mail na tym etapie jest zbieraniem nadmiarowego zakresu danych, co oznacza niezgodność z art.5 ust.1 lit. C RODO.

Administratorzy dwóch z pięciu serwisów podchodzą odmiennie do finalizacji zakładania konta poprzez automatyczne zalogowanie nowego użytkownika, bez wymogu potwierdzenia chęci rejestracji. To może prowadzić do podszywania się pod inne osoby. Uznaje się jednak, że nie jest to naruszenie zasad ochrony danych osobowych.

Każdy ze sklepów wymaga akceptacji regulaminu, poprzez zaznaczenie odpowiedniego checkbox’a, same regulaminy są odpowiednio podlinkowane.

Jeden ze sklepów podczas rejestracji nie spełnia wymogów rzetelnego informowania użytkownika o tym kto zostaje administratorem danych zawartym w art. 13 i 14 RODO.

Trzech administratorów zamieszcza skrócone informacje, wraz z linkiem do pełnej treści polityki prywatności.

Tylko jeden z nich żąda od użytkownika potwierdzenia zapoznania się z jej treścią poprzez zaznaczenie odpowiedniego pola. Brak takiego potwierdzenia uniemożliwia ukończenie procesu.

Podejście UODO

Pamiętać należy, że UODO w 2019 roku nałożyło karę w wysokości blisko 1 miliona złotych za niedopełnienie obowiązku informacyjnego, względem osób których dane pozyskała przed wejściem w życie rozporządzenia.

Brak właściwego dopełnienia obowiązku informacyjnego podczas zbierania danych jest naruszeniem przepisów zawartych w art. 13 i 14 RODO, a nie zbieranie potwierdzenia zapoznania się z polityką prywatności może w znacznym stopniu utrudnić administratorowi udowodnienie realizacji tego obowiązku!

 

Zamykanie konta

Zamykanie konta u większości podmiotów możliwe jest poprzez zakładkę konta użytkownika, co zgodne jest z zasadą, że możliwość odwołania zgody powinna być równie łatwa co jej wyrażenie. Trzy sklepy dają taką możliwość w zakładkach zarządzania kontem. W dwóch przypadkach trzeba skontaktować się z administracją sklepu poprzez wysłanie wiadomości e-mail, co może zostać uznane jako niezgodne z zasadą zawartą w art. 7 ust. 3 RODO. Żaden ze sklepów nie tworzy niepotrzebnych problemów i informuje użytkowników o podjętych działaniach mających na celu realizację wymogu osoby, której dane dotyczą. Za brak takiego potwierdzenia Rumuński organ nadzorczy nałożył karę w wysokości 2000 euro. Zgodnie z art. 12 ust. 3 RODO administrator ma bez zbędnej zwłoki, jednak nie później niż miesiąc od otrzymania żądania podmiotu danych, poinformować o działaniach podjętych na żądanie podmiotu danych.

Warto mieć na uwadze, że prawa, które przysługują osobom w związku z przetwarzaniem ich danych osobowych, nie w każdych okolicznością mogą być zrealizowane. Przykładowo administrator nie musi usunąć danych po otrzymaniu żądania w przypadku, jeśli dane są w dalszym ciągu niezbędne do realizacji celu przetwarzania. A także jeśli dane nie są przetwarzane na podstawie zgody czy prawnie uzasadnionego interesu administratora.

Istotne jest, aby nawet w przypadku, gdy administrator uzna, że nie zachodzą podstawy do usunięcia danych na żądanie podmiotu danych, zostały przekazane wnioskodawcy informacje, że żądanie nie zostanie spełnione oraz na jakiej podstawie. Zgodnie z art. 12 ust. 4 RODO administrator ma miesiąc na przekazanie informacji o powodach niepodjęcia działań na żądanie osoby, której dane dotyczą. Także o możliwości wniesienia skargi do organu nadzorczego, a także skorzystania ze środków ochrony prawnej przed sądem.

 

Bezpieczeństwo

Każdy z administratorów wywiązuje się z zadania zapewnienia bezpiecznej transmisji danych poprzez stosowanie uznanych za bezpieczne certyfikatów. Różny jest jednak wybór kluczy, gdzie trzech administratorów korzysta z kluczy publicznych RSA 2048 bitów, a dwóch z ECC 256 bitów.

Nie można dać się jednak zwieść magii liczb. Bo nie znaczy to, że klucz 256-bitowy jest dużo słabszy od 2048-bitowego. Spowodowane jest to odmienną metodą szyfrowania, gdzie klucz oparty na kryptografii krzywych eliptycznych (ECC) jest dużo bardziej skomplikowane od stosowanego w algorytmie Rivesta-Shamira-Aldemana (RSA). Dzięki temu ECC oferuje bezpieczeństwo porównywalne do RSA przy znacznie krótszych kluczach. Ocenia się, że bezpieczeństwo klucza RSA o długości 1024 bitów jest równoważne bezpieczeństwu klucza ECC o długości 160 bitów.

Przed 2018 rokiem przepisy jasno wskazywały konieczną długość, złożoność oraz częstotliwość wymaganej zmiany hasła. Wejście w życie rozporządzenia nie nakazuje już administratorowi odgórnie takich wytycznych. Zobowiązuje ono jednak administratora danych, do zapewnienia odpowiedniego poziomu bezpieczeństwa wdrażając odpowiednie środki techniczne i organizacyjne. Tak, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Daje to wiele możliwości administratorowi danych. Pamiętać należy jednak, że brak odpowiedniego zabezpieczenia danych może być bardzo dotkliwy dla administratora danych. Potwierdza to nałożona przez organ nadzorczy kara pieniężna w wysokości blisko 3 milionów złotych. Prezes Urzędu Ochrony Danych rozliczał ukaranego administratora danych z przestrzegania standardów opisanych w wytycznych jednej z amerykańskich agencji federalnych – NIST (National Institute of Standards and Technology) a dokładniej zawartych w dokumencie – „NIST 800-63B: Digital Identity Guidelines: Authentication and Lifecycle Management.

 

Realizacja

Przyjrzyjmy się, jak oceniane sklepy podchodzą do realizacji zaleceń zawartych w art. 32 RODO.

Jeden z administratorów wymaga hasła złożonego z 6 znaków, ale wymaga tam też przynajmniej jednej cyfry i litery. Pozostałych 4 wymaga hasła złożonego co najmniej z 8 znaków.

  • W jednym sklepie wystarczy 8 identycznych znaków (bez rozróżnienia dużych i małych liter, cyfr czy znaków specjalnych, ale dołącza wskaźnik złożoności hasła, gdzie przy 8 znakach uznane jest za dobre, a przy 11 za świetne.
  • W jednym sklepie wystarczy 8 identycznych znaków, ale użytkownik informowany jest, że jest to słabe hasło, niezależnie od długości. Dodanie cyfry, dużej litery i znaku specjalnego nie zmienia tej informacji, ale już wydłużenie do 9 znaków jest uznane jako średnie, a 10 znaków uznawane jest jako „spełniające wymagania”, za co należy pochwalić administratora, który przy pomocy przy ustalaniu hasła nie kieruje się tylko jego długością.
  • W dwóch przypadkach wymagane jest hasło złożone z 8 znaków w tym cyfry i dużej i małej litery, nie stosują oni wskaźnika pomocniczego informującego o złożoności hasła.

Dobre praktyki

Żaden z administratorów nie wymusza odgórnie terminów zmian haseł, co zgodnie jest z przywołanymi wytycznymi NIST. Powód do takiego zalecenia jest prosty – użytkownik instynktownie będzie stosował słabsze hasła, mając świadomość tego, że i tak za krótki okres będzie musiał je zmienić. Z dotychczasowej praktyki wynika, że przy takiej wymuszonej, okresowej zmianie użytkownik najczęściej stosuje hasło podobne, z dodaniem np. kolejnego numeru (1, 2, 3 itd.).

Stwarza to fałszywe poczucie bezpieczeństwa, ewentualny atakujący również jest świadomy tego, w jaki sposób najczęściej użytkownicy postępują przy zmianie haseł. Wspomniane wytyczne zalecają natomiast tzw. „event-based change”. Oznacza to, że administrator powinien wymusić zmianę haseł, jeżeli powziął uzasadnione podejrzenie, że doszło do naruszenia poufności. Powinno się dziać wyłącznie na zasadzie wyjątku. Rzadkie wymuszanie zmiany haseł motywuje użytkownika do tego, by stosować trudniejsze hasło.

Co jednak z wymuszonym stosowaniem znaków specjalnych i cyfr? Zgodnie z wytycznymi NIST stosowanie takich zabiegów nie jest wskazane.

Argumentowane jest to tym, że taki rodzaj wymuszania najczęściej prowadzić np. do prostego dodania „!” do stosowanego hasła lub innych przewidywalnych zachowań, np. posłużenia się pierwszą literą jako wielką. Dodatkowo wskazuje się, że mechanizm ten prowadzi do frustracji użytkownika, co z kolei skutkuje skupieniem się nie na rzeczywistej trudności hasła, a jedynie na tym, by jak najszybciej uporać się z przeszkodą, co prowadzi właśnie do powtarzalnych, przewidywalnych zachować, jak wskazano powyżej – co więcej, prowadzi to także do stosowania w wielu miejscach jednego hasła (skoro trudno je zapamiętać) lub zapisywania ich w widocznych miejscach.

Wytyczne zalecają zamiast wymuszania znaków specjalnych stosowanie czarnych list haseł (najprostszych lub najczęściej stosowanych), takich jak np. „123456”, „hasło1”, „qwerty” itd. Zgodnie z przywołanym powyżej testem zasadę taką stosuje tylko jeden sklep z badanych. W akapicie 7 przywoływanych wytycznych wskazuje się stosowanie wskaźników „mocy” haseł, co stosuje tylko część badanych sklepów.

 

Newsletter

Każdy z serwisów prowadzi newsletter, nie bez powodu tak wiele firm decyduje się na wysyłanie takich informacji. Z jego pomocą może informować o wprowadzanych zmianach i nowościach, dbać o swoją rozpoznawalność czy na różne sposoby zachęcać klientów do ponownego skorzystania z oferty. 

Zgodnie z definicją są też informacjami handlowymi. Za takie uważa się bowiem nie tylko treści bezpośrednio promujące produkty czy usługi, ale też promujące (bezpośrednio lub pośrednio) wizerunek przedsiębiorcy. A to oznacza, że w każdym przypadku, aby newsletter był zgodny z prawem, trzeba spełnić kilka konkretnych wymogów.

Trzy ustawy – trzy wymogi uzyskania zgód

Obecnie można wyróżnić trzy przepisy, które wiążą się z obowiązkiem uzyskania zgody na otrzymywanie wiadomości w celach marketingowych:

  • art. 6 ust. 1 lit a RODO – przetwarzanie danych osobowych na podstawie zgody wyrażonej w konkretnym celu (wyrażonej dobrowolnie i świadomie),
  • art. 10 Ustawy o świadczeniu usług drogą elektroniczną – wymóg uzyskania zgody na przesyłanie informacji handlowej do osoby fizycznej,
  • art. 172 Ustawy prawo telekomunikacyjne – zakaz używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w celu marketingu bezpośredniego, chyba że abonent wyrazi na to zgodę.

Wymagane zgody

Pamiętać należy, że przy RODO, właściciel może opierać się na uzasadnionym celu administratora danych (art. 6 ust. 1 lit. F), ale wymagane jest przeprowadzenie testu równowagi i udowodnić, że interes administratora jest ważniejszy od praw osoby, której dane dotyczą.

Podczas badania zauważono, że jeden z podmiotów nie zbiera żadnych zgód związanych z zapisem na korespondencję marketingową, co wyraźnie stoi w sprzeczności z wymogami Ustawy o Świadczeniu Usług Drogą Elektroniczną oraz z ustawą Prawo Telekomunikacyjne.

Dwóch Administratorów stosuje dodatkowe potwierdzenie zapoznania się z regulaminem, ale jest to powiązane z dodatkowymi promocjami i rabatami dla użytkowników. Pozostałych dwóch administratorów zbiera tylko zgody na kontakty w celach marketingowych.

Pamiętać należy, że możliwe jest stworzenie treści zgody w taki sposób by jednocześnie wyczerpywała wymogi prawa telekomunikacyjnego jak i ustawy o świadczeniu usług drogą elektroniczną.

Innym problemem z tym związanym jest konieczność poinformowania użytkownika, kto będzie administratorem danych, zgodnie z rozporządzeniem obowiązek ten trzeba dopełnić już na etapie zbierania danych, co realizowane jest tylko przez dwa podmioty. Jeden z nich umożliwia zapis do newslettera tylko dla zalogowanych użytkowników, a drugi poprzez rozwijanie zgody na działania marketingowe.

Realizacja przepisów a roszczenia

Aby zabezpieczyć się przed roszczeniami związanymi z otrzymywaniem niezamówionych treści marketingowych stosuje się podwójne potwierdzenie chęci otrzymywania takich treści. Dzieje się to choćby poprzez wysyłkę maila potwierdzającego taką chęć (tzw. double opt-in). Zgodnie z obserwacjami mechanizm taki stosuje czterech administratorów. Jeden wysyła tylko potwierdzenie, że dokonano zapisu na otrzymywanie wskazanych treści.

Rezygnacja z otrzymywania newslettera jest z reguły prosta i wymaga kliknięcia w link zamieszczony na końcu wiadomości. Wyjątkiem jest jeden sklep, który wymaga wysłania maila na podany adres należący do IOD. Niestety w żadnym z testowanych sklepów nie było możliwości rezygnacji poprzez zakładkę profilu użytkownika. Każdy z badanych sklepów informuje użytkownika o podejmowanych działaniach.

 

Podsumowanie

Zabierając się za przegląd wydawało mi się, że będzie to proste zadanie polegające na poszukiwaniu zgodności. Dużym zaskoczeniem dla mnie było to, że żaden ze sprawdzanych sklepów nie spełnił wszystkich postawionych wymagań, co wskazuje na to, że przed Inspektorami Ochrony Danych w handlu stoi jeszcze wiele wyzwań, aby sprostać wymogom przepisów prawa.

Brak konkretnych wytycznych, tak jak było w starej ustawie o ochronie danych daje administratorom wolną rękę przy osiąganiu postanowionego zadania. Ale też wprowadza niepewność, czy podejmowane działania są słuszne i odpowiednie dla zapewnienia bezpieczeństwa informacji, w tak trudnym obszarze jak cyberbezpieczeństwo.

 

***

Chcesz mieć pewność, że spełniasz wymogi RODO? Skorzystaj z usługi Rekonesans bezpieczeństwa EXATEL i dowiedz się nawet więcej o swojej organizacji.

Rekonesans bezpieczeństwa to kilkudniowe, celowane badanie poziomu bezpieczeństwa organizacji. Wykonują je eksperci ds. bezpieczeństwa proceduralnego i testów penetracyjnych infrastruktury z zespołu Zaawansowanych Usług Bezpieczeństwa EXATEL. W jego trakcie przeprowadzimy sondaż, rekonesans bezpieczeństwa infrastruktury oraz rozpoznanie procesowo-proceduralne.

Co otrzymasz na końcu Rekonesansu bezpieczeństwa EXATEL? Efektem prac jest raport identyfikujący najbardziej palące problemy w obszarze bezpieczeństwa, nasze rekomendacje w zakresie mitygacji ryzyka w odniesieniu do odnalezionych luk oraz propozycje działań do zrealizowania w trybie projektowym. Dostaniesz szczegółowo opisany wektor ataku oraz szereg bardzo konkretnych wskazówek jak należy podnieść poziom bezpieczeństwa w kwestiach technicznych, procesowo-proceduralnych i organizacyjnych. Jest to idealne podsumowanie dla Zarządu i kierownictwa w organizacji.

 

——————

Europejski Miesiąc Cyberbezpieczeństwa z EXATEL

Sprawdź, co przygotowaliśmy dla Was w tym tygodniu

Podobne