Make IT clear 03/2023

Przedsiębiorcy telekomunikacyjni będą zobowiązani do podejmowania proporcjonalnych środków organizacyjnych i technicznych, które będą przeciwdziałać nadużyciom w komunikacji elektronicznej. Jednym z takich działań jest blokowanie SMS-ów, które zawierają treści smishingowe oraz blokowanie połączeń głosowych, których celem jest podszywanie się pod inną osobę lub instytucję.

Od dnia wejścia w życie nowych przepisów dostawcy poczty elektronicznej dla co najmniej 500 tys. użytkowników, 500 000 aktywnych kont lub podmiotów publicznych będą zobowiązani przy świadczeniu poczty elektronicznej stosować mechanizmy uwierzytelnienia SPF/DKIM/DMARC. Dostawcy poczty elektronicznej dla podmiotu publicznego będą również musieli oferować stosowanie metod uwierzytelniania wieloskładnikowego.

Prezes Urzędu Komunikacji Elektronicznej będzie prowadził wykaz numerów telefonicznych służących wyłącznie do odbierania połączeń głosowych. Wniosek o wpis numeru do wykazu będą mogły złożyć jednostki sektora finansów publicznych, banki i inne instytucje finansowe lub ubezpieczeniowe. Rozwiązanie to ograniczy możliwość podszywania się przez oszustów pod pracowników urzędów czy banków, wykorzystując do tego numery infolinii widoczne na publicznych stronach tych podmiotów.

W samym tylko okresie od stycznia 2022 r. do listopada 2022 r. CSIRT NASK zidentyfikował łącznie 38 999 domen, które mają na celu wprowadzenie w błąd użytkowników Internetu i wyłudzenie ich danych i środków finansowych.

Projekt ustawy zawiera definicję listy ostrzeżeń – jest to jawna lista ostrzeżeń dotyczących domen internetowych, które służą do wyłudzeń danych i niekorzystnego rozporządzenia mieniem użytkowników. in

Projekt wprowadza regulację, zgodnie z którą każdy będzie mógł zgłosić do CSIRT NASK domenę internetową mogącą służyć do nadużyć. Aby uprościć procedurę, odstąpiono od obowiązku uzasadniania zgłoszenia, choć będzie to możliwe. CSIRT NASK będzie mógł wpisać domenę na listę ostrzeżeń po zweryfikowaniu, że rzeczywiście podstawowym celem domeny jest wprowadzenie w błąd oraz wyłudzenia danych użytkowników internetu lub doprowadzenie ich do niekorzystnego rozporządzenia mieniem. Do ustalenia „podstawowego celu” strony internetowej posłuży m.in. mechanizmem zaproponowany przez Międzynarodowy Związek Telekomunikacyjny.

Za niezrealizowanie obowiązków przewidzianych w projekcie UZNKE na przedsiębiorców telekomunikacyjnych będzie mogła zostać nałożona m.in. kara pieniężna w wysokości do 3% przychodu danego przedsiębiorcy osiągniętego w poprzednim roku kalendarzowym.

Zdefiniowane w projekcie ustawy nadużycia w komunikacji elektronicznej zostaną spenalizowane. Każdy, kto dopuści się sztucznego ruchu, smishingu, CLI spoofingu lub nieuprawnionej modyfikacji informacji adresowej w celu osiągnięcia korzyści majątkowej, korzyści osobistej lub wyrządzenia innej osobie szkody będzie podlegał karze pozbawienia wolności od 3 miesięcy do lat 5 – analogicznie jak w przypadku kary za oszustwo komputerowe (art. 287 kk).

Obywatel pozwał Österreichische Post, a w efekcie Oberster Gerichtshof, sąd najwyższy w Austrii, rozstrzygający spór w ostatniej instancji, zwrócił się do TSUE z pytaniem prejudycjalnym w zakresie wykładni art. 15 ust. 1 lit c) RODO:

• czy RODO pozostawia administratorowi danych wybór czy ujawni konkretną tożsamość odbiorców danych, czy też wyłącznie kategorie odbiorców oraz
• czy RODO przyznaje osobie, której dane dotyczą prawo poznania konkretnej tożsamości tych odbiorców.

W odpowiedzi TSUE wyjaśnił, że administrator realizując prawo dostępu do danych osobowych jest zobowiązany wskazać osobie, której dane dotyczą, na jej wniosek, dokładną tożsamość tych odbiorców, a nie tylko kategorię odbiorców. Takie działanie ma zagwarantować faktyczną realizację tego prawa, które umożliwia skorzystanie z innych praw przyznanych przez RODO takich jak: prawo do sprostowania, prawo do usunięcia danych („prawo do bycia zapomnianym”), prawo do ograniczenia przetwarzania, prawo sprzeciwu wobec przetwarzania, prawo do korzystania ze środków prawnych w razie poniesienia szkody.

Wyjątkowo, w szczególnych okolicznościach administrator może nie podawać dokładnej tożsamości odbiorców, gdy nie jest (jeszcze) możliwe zidentyfikowanie tych odbiorców albo gdy administrator danych wykaże, że wniosek jest ewidentnie nieuzasadniony lub nadmierny. Ma to miejsce, gdy np. przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym.

Zgodnie z RODO "odbiorca" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.

• Oficjalny komunikat prasowy: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-01/cp230004pl.pdf
• Pełna treść wyroku: https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=13227

• Zmniejszenie ciężaru dowodowego spoczywającego na konsumentach ubiegających się o odszkodowanie za szkody poniesione z powodu wadliwych produktów.
• Uznanie za odpowiedzialnego za wszelkie wady produktu każdego podmiotu gospodarczego, który dokonał istotnej modyfikacji tego produktu.
• Wprowadzenie nowych przepisów dotyczących odpowiedzialności za produkty takie jak oprogramowanie (w tym systemy sztucznej inteligencji) i usługi cyfrowe, które wpływają na sposób działania produktu (np. usługi nawigacyjne w pojazdach autonomicznych).
• Wprowadzenie możliwości otrzymania odszkodowania przez konsumentów za wadliwe produkty wytworzone poza UE.

Następnym krokiem jest rozpatrzenie wniosku przez Parlament Europejski i Radę.

W Parlamencie Europejskim sprawę przydzielono Komisji Prawnej (JURI), a sprawozdawcą został Pascal Arimont (EPP, Belgia).

Zapraszamy do zapoznania się z materiałem dostępnym pod linkiem:

New Product Liability Directive (europa.eu)