ICentrum Kancelaria Ochrony Danych - dr Marlena Płonka

06/02/2025

😱 Poważny wyciek danych w branży hotelarskiej - warto wejść na 'Have I Been Pwned', by sprawdzić, czy Twój adres e-mail znajduje się w ujawnionych (wykradzionych) danych 🤔

Kłopoty dotyczą gości hoteli Marriott, Hilton i Hyatt.

🤔 Jak do tego doszło?

📌 Platforma do zarządzania hotelami Otelier padła ofiarą poważnego naruszenia danych - ujawniono informacje dot. rezerwacji milionów gości tych właśnie sieci hotelowych.

📌 Hakerzy wykorzystali dane logowania pracownika Otelier uzyskując dostęp do serwera i pobrali z niego miliony dokumentów zawierających imiona, nazwiska, adresy i numery telefonów gości tychże hoteli.

📌 Ujawnione dane osobowe są sukcesywnie dodawane do 'Have I Been Pwned', by dać każdemu szansę na sprawdzenie, czy jego adres e-mail znajduje się w ujawnionych danych.

📌 Istnieje też ryzyko wykorzystania ujawnionych danych w atakach phishingowych, stąd zalecana jest ostrożność wobec podejrzanych wiadomości e-mail podszywających się pod znane marki hotelowe.

Fot.: Pixabay

02/01/2025

Pierwszy (2 stycznia 2025) 'Dzień Pracy' w 'Nowym' Roku rozpoczynam od:

🤖 styczniowego nabywania 'nowej' wiedzy 💪 ... w 'uścisku' Ministerstwa Cyfryzacji

i

🏡 kontynuacji budowy ('nowego', bo rozpoczętego w 2024 roku) , na którym powstały już fundamenty pierwszego spośród 24 'sweet domków' 💚

Owocnego Nowego Roku ♥️

01/01/2025

W tym 'Nowym' Roku moją pasją zawodową będzie nie tylko 'ochrona danych' i 'cyberbezpieczeństwo'.

Dołączył do tego mój 'nowy' Projekt 👇

06/12/2024

Czy można stworzyć człowieka, który w rzeczywistości nie istnieje 🤔 (ten post nie dotyczy 🎅, bo Ten z największą pewnością istnieje 😉)

Do stworzenia nieistniejącej w rzeczywistości osoby można wykorzystać ... dane osobowe (np. WIZERUNEK) krążące po sieci.

❓A skąd się tam wzięły

My je tam umieszczamy publikując zdjęcia np. w mediach społecznościowych.

❓Konsekwencje

Tacy "nieprawdziwi ludzie" mogą fałszywie oceniać to, co się dzieje wokół nas.

❓ Ale po co

Odpowiedź na to pytanie w załączonym krótkim filmiku 👇

29/11/2024

Życzę, by przez ten 'klucz' przelały się dzisiaj 'spełnione' wróżby andrzejkowe ... 'bycia w zgodzie z RODO' 😉

Oto kilka wskazówek, jak chronić dane osobowe, by nie być na bakier z RODO i żyć w zgodzie z Urzędem Ochrony Danych Osobowych ...

✔️ Firmy, które przetwarzają dane osobowe, zobowiązane są (art. 24 RODO) do stałego doskonalenia systemu ochrony, by zapewnić bezpieczeństwo danym osobowym.

✔️ Na moim profilu staram się na bieżąco zamieszczać informacje o WYNIKACH przeprowadzonych KONTROLI przez Urząd Ochrony Danych Osobowych.

❓Po co?

✅ By na podstawie BŁĘDÓW popełnianych przez inne ukarane podmioty, ostrzegać i podpowiadać, jak przetwarzać dane, by było bezpiecznie i nie narażać się na krytykę i kary.

❓ A o czym napiszę tym razem?

✅ W listopadzie minionego roku UODO otrzymał zgłoszenie o nieuprawnionym dostępie do danych osobowych rekrutowanych studentów SGGW.

❓Jak do tego doszło?

✅ Skradziono laptopa jednemu z pracowników uczelni. Niestety ani laptop, ani znajdujące się na nim pliki nie były zaszyfrowane. Urząd wszczął więc kontrolę a we wrześniu tego roku poinformował, że nałożono na uczelnię karę w wysokości 50 tys. zł.

❓Co wpłynęło na fakt wymierzenia kary?

➡️ Brak szyfrowania (danych i ich nośników), które jest jednym z podstawowych zabezpieczeń wskazanym w RODO - co spowodowało naruszeniu zasady poufności i rozliczalności określonej w RODO.

➡️ Brak cyklicznego przeglądu archiwizowanych danych - co spowodowało naruszeniu zasady ograniczenia przechowywania określonej w RODO.

➡️ Brak opisu środków organizacyjnych i technicznych, które zapewniają bezpieczeństwo przetwarzanych danych. Z uzasadnienia UODO czytamy, że „Powinny być one na bieżąco poddawane przeglądom i uaktualniane do obowiązujących przepisów i zmieniającej się technologii.” W pierwszej kolejności należało więc opisać system informatyczny wraz ze stosowanymi w nim zabezpieczeniami. Następnie należało ustalić, jakie środki techniczne i organizacyjne będą odpowiednie do wdrożenia, by zapewnić odpowiedni stopień bezpieczeństwa.

➡️ Jednocześnie Prezes UODO uzasadniał, że „w przedmiotowej sprawie IOD niestety nie był angażowany przez uczelnię w proces rekrutacji studentów (których to dane wyciekły) - włączenie go mogłoby znacznie obniżyć ryzyko niewłaściwego przetwarzania danych.”

❓Co to oznacza?
.. że należy:

➡️ wdrażać szyfrowanie tam, gdzie jest ono niezbędne;

➡️ aktualizować procedury dot. archiwizowania danych oraz ustalać zasady przeglądu archiwizowanych dokumentów z danymi osobowymi;

➡️ aktualizować wykaz środków IT oraz stosowanych zabezpieczeń;

➡️ angażować pracowników/współpracowników do współpracy z osobą odpowiedzialną u Was za bezpieczeństwo danych (Inspektorem Ochrony Danych) … by wykluczyć ryzyko naruszenia danych;

❗Niestety kara nałożona przez UODO, to nie jedyny problem SGGW. Studenci, których dane wypłynęły z „niezaszyfrowanego laptopa”, skrzyknęli się na FB („Pozew zbiorowy w sprawie RODO SGGW”), by złożyć pozew zbiorowy o odszkodowanie – aktualnie grupa liczy sobie bagatela 14 568 członków!

‼️Reasumując:

✔️Dobrym rozwiązaniem jest coroczny AUDYT zgodności z RODO ... a w nim zalecenia do wdrożenia. O tym, jak my
https://icentrum24.pl/ to robimy i dlaczego warto to robić, napiszę wkrótce .

Fot.: Pixabay

28/11/2024

Piękny i 'dojrzały' (25 lat Stargardzka Izba Gospodarcza to 'porządny sukces' stargardzkiej przedsiębiorczości 💪) Jubileusz - cieszę się, że mogłam w nim uczestniczyć ♥️