Zaloguj się na konto

Jako zarejestrowany użytkownik masz dostęp do dodatkowych materiałów: nagrań video, recenzji, analiz oraz raportów.

Słownik branżowy

speaker recognition

(inaczej voiceprint) to biometryczna technika identyfikacji osoby poprzez analizę jej charakterystycznych cech głosu, takich jak ton, tempo, intonacja, dykcja, czy też inne właściwości akustyczne. Technologia ta działa na podobnej zasadzie jak odciski palców, czy DNA, pozwalając na stworzenie unikalnego profilu mówcy, który może być użyty do identyfikacji, weryfikacji lub autoryzacji danej osoby. Voiceprint stosowany jest między innymi w systemach bezpieczeństwa, bankowości elektronicznej, czy centach obsługi klienta, a także w wywiadzie i służbach specjalnych.

ZGŁOŚ TEMAT

Daj nam CYNK :)

… a UODO ponownie grilluje Morele.net za wyciek danych osobowych

Prezes UODO jeszcze raz przeanalizował naruszenie przepisów RODO w Morele.net w związku z dużym wyciekiem danych i ponownie ukarał administratora. Tym razem kara wyniosła ponad 3,8 mln zł

Prezes UODO jeszcze raz przeanalizował naruszenie przepisów RODO w Morele.net w związku z dużym wyciekiem danych i ponownie ukarał administratora. Tym razem kara wyniosła ponad 3,8 mln zł 

Po tym jak Naczelny Sąd Administracyjny 9 lutego 2023 r. uchylił decyzję Prezesa UODO, nakładającą karę na spółkę Morele.net organ nadzorczy ponownie przeprowadził postępowanie administracyjne w tej sprawie. Wykazało ono, że do naruszenia ochrony danych osobowych doszło przez brak zastosowania przez Spółkę odpowiednich zabezpieczeń, co doprowadziło do wycieku danych osobowych 2,2 mln osób. NSA nie zakwestionował wszystkich ustaleń Prezesa UODO związanych z tym naruszeniem. Podważył jednak kompetencje organu dotyczące oceny zastosowanych przez administratora środków technicznych i organizacyjnych mających zabezpieczyć dane osobowe. Zdaniem sądu organ powinien uprawdopodobnić posiadanie wiedzy potrzebnej do przeprowadzenia takiej analizy zabezpieczeń. Z uzasadnienia wynikało, że Prezes UODO powinien był powołać biegłego albo wytworzyć wewnętrzny dokument stanowiący wnioski z analizy standardu środków bezpieczeństwa stosowanych przez spółkę, do którego administrator mógłby się odnieść w toku postępowania.

W związku z tym UODO ponownie przeprowadził postępowanie administracyjne, które również wykazało, że spółka Morele.net stosowała niewystarczające zabezpieczenia techniczne do istniejącego ryzyka naruszenia ochrony danych. Zabrakło też wdrożenia odpowiednich procedur, które pozwoliłyby zareagować na nietypowe zachowania, takie jak zwiększony ruch sieciowy.

Braki w zabezpieczeniach potwierdziła „Analiza zastosowanych przez Morele.net sp.  o. o. (…)”, opracowana przez organ nadzorczy w związku z koniecznością dostosowania się do wyroku NSA.

W toku postępowania Prezes UODO nie powołał biegłego, a strona postępowania kwestionowała przedstawioną analizę, zarzucając m.in. stronniczość jej autorów i domagając się ich wyłączenia. Organ nadzorczy nie uwzględnił tego zarzutu w toku postepowania, gdyż de facto prowadziłoby to do tego, że żaden z pracowników UODO nie mógłby zajmować się tą sprawą z uwagi na zarzut stronniczości.

Tymczasem przygotowana analiza wykazała, że administrator nie szyfrował części danych (do czego zresztą się przyznał), nie dysponował dwuskładnikowym uwierzytelnianiem, nie przeprowadził analizy ryzyka, która uwzględniałaby m.in. zagrożenia związane z możliwością logowania się do systemu z sieci publicznej. W efekcie dwukrotnie doszło do nieautoryzowanego dostępu z zewnątrz, na skutek którego osoba niepowołana weszła w posiadanie danych klientów spółki Morele.net.

Zabrakło też rozwiązań technicznych i administracyjnych pozwalających monitorować ruch w sieci i reagować w przypadku wykrycia nieprawidłowych działań. Potwierdzają to ustalenia, z których wnika, że spółka nie miała pewności czy i jakie dane zostały wykradzione z jej zasobów. Szereg rozwiązań w tym zakresie administrator wdrożył dopiero po wycieku danych. W ocenie Prezesa UODO, gdyby dysponował nimi wcześniej, byłby w stanie wykryć próby nieautoryzowanego dostępu i podjąć działania uniemożliwiające kradzież danych.

W toku postępowania administrator sam przyznał, że brak wdrożonych odpowiednich rozwiązań było błędem z jego strony.

Prezes UODO uznał, że w tej sprawie nałożenie pieniężnej kary administracyjnej jest konieczne i uzasadnione wagą, charakterem oraz zakresem zarzucanych administratorowi naruszeń.

Total
0
Shares
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Artykuły na pokrewne tematy
Czytaj więcej

PKO Bank Polski szuka Tajemniczego Klienta

PKO Bank Polski ogłosił przetarg na wybór dostawców świadczącą usługi w zakresie badań Tajemniczego Klienta. Celem badania jest monitoring poziomu jakości obsługi, poziomu realizacji standardów oraz wytycznych sprzedażowych. Oferty można składać do 29 października 2021 roku.
Czytaj więcej

Partnerstwo w rozwoju, czyli mentoring w biznesie

Wielu młodych ludzi chciałoby wkroczyć w świat biznesu z zasobem wiedzy, doświadczenia i pewności siebie. Trudno jest jednak od razu być świadomym, jaką ścieżkę kariery wybrać, kiedy nie wie się zbyt wiele o mechanizmach kierujących współczesnym biznesem. Znaleziono jednak na to lekarstwo – mentoring. Na czym dokładnie polega i jakie możliwości daje pracownikom?
Czytaj więcej

PKO Bank Polski z sukcesami buduje obecność w Metawersie

PKO Bank Polski zwyciężył w międzynarodowym konkursie Global Retail Banking Innovation Awards 2023 w kategorii „Outstanding Customer Relations & Brand Engagement Initiative”. Jury konkursu doceniło działania banku związane z budowaniem jego obecności w Metawersie, w szczególności organizację Wirtualnych Targów Pracy #PKOBankTalentów oraz prowadzone działania marketingowe.