Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for GDPR

GDPR

WhatsApp Ditampar Karena Memproses Data Tanpa Dasar Hukum di Bawah GDPR UE

by

Whatsapp

Tagihan lain telah masuk untuk Meta karena gagal mematuhi Peraturan Perlindungan Data Umum (GDPR) Uni Eropa – tetapi yang ini adalah tiddler! Platform perpesanan milik Meta, WhatsApp didenda €5,5 juta

Kembali pada bulan Desember, kepala regulator Meta, Komisi Perlindungan Data Irlandia (DPC), diberi perintah untuk mengeluarkan keputusan akhir atas keluhan ini (yang dimulai pada Mei 2018).

Kedua keputusan akhir tersebut muncul dari DPC awal bulan ini, ketika DPC mengumumkan denda sebesar €310 juta dan memberi Meta waktu tiga bulan untuk menemukan dasar hukum yang valid untuk pemrosesan iklan tersebut.

Di sini Meta (sama) berusaha mengandalkan klaim kebutuhan kontraktual.DPC telah memberi waktu enam bulan kepada WhatsApp untuk memperbaiki caranya untuk keperluan pemrosesan data ini.

mengutip instruksi EDPB untuk itu — untuk melakukan investigasi baru terhadap “operasi pemrosesan WhatsApp IE [Irlandia] dalam layanannya untuk menentukan apakah ia memproses kategori khusus data pribadi (Pasal 9 GDPR), memproses data untuk tujuan periklanan perilaku , untuk tujuan pemasaran,

Meta sekarang telah menanggapi keputusan DPC — mengirimkan pernyataan ini kepada kami, dikaitkan dengan juru bicara WhatsApp, yang menegaskan akan mengajukan banding:

WhatsApp telah memimpin industri perpesanan pribadi dengan menyediakan enkripsi end-to-end dan lapisan privasi yang melindungi orang. Kami sangat percaya bahwa cara layanan beroperasi sesuai dengan teknis dan hukum.

sumber : techcrunch

Apple Menghadapi Gugatan Gugatan Kelompok Ketiga Atas Pengumpulan Data Setelah Cerita Gizmodo

by

Sekarang Apple menghadapi gugatan class action ketiga atas masalah tersebut, kali ini di New York, menandai tindakan hukum ketiga terhadap perusahaan atas dilema data ini. Kasus ini e=meminta gantu rugi sebesar $5 juta.

Namun sejauh ini, perusahaan tersebut menolak untuk membela diri terhadap Gizmodo, atau outlet media lainnya. Kami telah bertanya kepada Apple tentang masalah tersebut pada enam kesempatan terpisah sejak Gizmodo secara eksklusif melaporkan masalah tersebut November lalu. Apple tidak menanggapi, dan masih belum mengatakan apa pun secara terbuka tentang masalah tersebut.

Pengaturan privasi iPhone Analytics mengatakan bahwa itu akan “menonaktifkan berbagi Analisis Perangkat sama sekali” saat Anda mematikannya. Kebijakan privasi analitik Apple mengatakan bahwa “tidak ada informasi yang dikumpulkan yang mengidentifikasi Anda secara pribadi.” Tetapi ketika peneliti dari perusahaan pengembangan perangkat lunak Mysk menguji klaim tersebut, mereka menemukan bahwa keduanya tidak benar.

Terlepas dari klaim Apple bahwa informasi tersebut tidak dapat diidentifikasi, data tersebut dikirimkan dengan nomor ID permanen yang terkait dengan akun iCloud, yang menautkan data ke nama, alamat email, dan nomor telepon Anda.

Belum lagi kampanye iklan privasi ucapan selamat diri Apple selama bertahun-tahun. Perusahaan telah menghiasi papan reklame raksasa di seluruh negeri dengan frasa bernas seperti “iPhone Anda tahu banyak tentang Anda. Tapi kami tidak.” Menurut trio tuntutan hukum, bukan itu masalahnya.

sumber : gizmodo

Perusahaan perangkat lunak medis didenda €1,5 juta karena membocorkan data 490 ribu pasien

by

Otoritas perlindungan data Prancis (CNIL) mendenda vendor perangkat lunak medis Dedalus Biology dengan EUR 1,5 juta karena melanggar tiga pasal GDPR (Peraturan Perlindungan Data Umum).

Dedalus Biology memberikan layanan kepada ribuan laboratorium medis di negara ini dan denda adalah untuk mengekspos rincian sensitif dari 491.939 pasien dari 28 laboratorium.

Basis data bocor secara online dan mengungkapkan detail pasien berikut:

  • Nama lengkap
  • Nomor KTP
  • Nama dokter yang meresepkan
  • Tanggal pemeriksaan
  • Informasi medis seperti status HIV, kanker, penyakit genetik, kehamilan, perawatan, dll.
  • Informasi genetik (dalam beberapa kasus)

Informasi ini telah dibagikan secara luas di internet, sehingga klien Dedalus Biology menghadapi risiko rekayasa sosial, phishing, scammed, dan bahkan pemerasan.

Tanda-tanda pertama kebocoran database muncul sejak Maret 2020, dengan ANSSI mengeluarkan peringatan terkait ke salah satu laboratorium yang terpapar pada November 2020.

Pada Februari 2021, majalah Prancis ZATAZ menemukan penjualan kumpulan data tertentu di web gelap dan mengonfirmasi bahwa informasi itu valid.

Data bocor yang dijual di web gelap (ZATAZ)

Dedalus Biology melanggar pasal 29 undang-undang GDPR, yaitu kegagalan untuk mematuhi instruksi pengontrol. Lebih khusus lagi, selama migrasi dari perangkat lunak vendor yang berbeda, atas permintaan dua laboratorium medis, Dedalus mengekstrak lebih banyak informasi daripada yang dibutuhkan.

Pelanggaran kedua menyangkut pasal 32 GDPR, yang membuat pemroses data bertanggung jawab atas kegagalan mengamankan informasi.

Pasal ketiga GDPR yang dilanggar adalah nomor 28, yang mencakup kewajiban untuk memberikan kontrak formal atau tindakan hukum untuk pemrosesan data atas nama pengontrol (laboratorium).

Untuk pelanggaran di atas, CNIL memutuskan untuk mengenakan denda sebesar 1,5 juta Euro ($ 1,58 juta), dihitung sebagai 10% dari pendapatan tahunan perusahaan.

Meskipun Dedalus berharap untuk menerima hukuman yang lebih ringan berdasarkan kesediaannya untuk berkolaborasi dengan penyelidik CNIL, kantor perlindungan data mencatat bahwa perusahaan tidak mengambil langkah untuk membatasi penyebaran data yang bocor secara online, sehingga tidak ada dasar untuk mengenali faktor-faktor yang meringankan.

Sumber: Bleeping Computer

Pengadilan memerintahkan situs web untuk berhenti menyematkan Google Font karena pelanggaran GDPR

by

Pengadilan Jerman dari Munich telah memerintahkan pemilik situs web untuk membayar denda sebesar €100 karena memigrasikan data pribadi pengguna. Pemilik telah memanfaatkan alamat IP pengguna melalui perpustakaan Google Fonts tanpa persetujuan pengguna.

Sesuai putusan, pengungkapan alamat IP penggugat secara tidak sah oleh situs web anonim ke Google adalah pelanggaran privasi pengguna, yang memungkinkan pemilik situs web untuk berkolaborasi dengan pihak ketiga untuk mengidentifikasi orang di balik alamat IP tersebut.

Alamat IP dinamis mewakili data pribadi untuk operator situs web karena, secara abstrak, ia memiliki sarana hukum yang dapat digunakan secara wajar untuk, dengan bantuan pihak ketiga, yaitu otoritas yang berwenang dan penyedia akses Internet, mengidentifikasi orang tersebut. bersangkutan berdasarkan IP yang disimpan untuk menentukan alamat

Font Google adalah layanan penyematan dari perpustakaan Google, yang memungkinkan pengembang untuk memasukkan font Google ke dalam aplikasi Android dan Situs Web hanya dengan referensi yang sama dari stylesheet.

Pelanggaran GDPR oleh Google Font
Sesuai GDPR, apa pun yang menyempit ke individu termasuk alamat IP, ID iklan, Cookie, data Lokasi, dan sebagainya dianggap sebagai PII, sehingga membuat bisnis yang mengumpulkan data ini diberitahukan kepada pengguna dan mendapatkan persetujuan mereka untuk mengumpulkan sama.

Putusan tersebut juga mengatakan bahwa Google Font juga dapat digunakan meskipun tidak ada koneksi ke server Google tetapi alamat IP tetap dapat ditransmisikan ke Google. Dan inilah mengapa Font harus di-host secara lokal alih-alih menyematkan dan menyertakan Google dalam operasinya.

Pengadilan juga memerintahkan pemilik situs web untuk membagikan data yang telah dikumpulkan, disimpan, dan diproses selama ini. Pemilik situs web harus membagikan detail ini dengan pengguna secara langsung. Keputusan ini dibuat beberapa minggu setelah Otoritas Perlindungan Data Austria (DSB) memutuskan bahwa Google Analytics yang digunakan oleh NetDoktor, situs web yang berfokus pada kesehatan, melanggar peraturan GDPR karena mengekspor data pengunjung ke server Google di AS, sehingga membuka jalan bagi pengawasan AS.

Juga tuntutan hukum baru-baru ini yang diajukan oleh empat jaksa agung AS terhadap layanan pelacakan lokasi Google adalah pengawasan lebih lanjut pada privasi Google. Mengingat raksasa teknologi ini telah beberapa kali menjadi pusat perhatian GPDR, kasing Google Font ini bisa jadi hanya permulaan.

Sumber :The Cyber Security Times

WhatsApp akan mengajukan banding atas denda $266 juta karena melanggar undang-undang privasi UE

by

Komisaris Privasi Data Irlandia (DPC) telah memukul platform perpesanan milik Facebook WhatsApp dengan denda administrasi € 225 juta (Rp 3 triliun) karena melanggar peraturan privasi GDPR UE setelah gagal memberi tahu pengguna dan non-pengguna tentang apa yang dilakukannya dengan data mereka.

Regulator data UE dapat mengenakan denda GDPR maksimum hingga €20 juta (sekitar Rp 300 miliar) atau 4% dari omset global tahunan perusahaan yang melanggar – mana pun yang lebih besar – karena melanggar undang-undang privasi UE.

Denda tersebut menyusul penyelidikan yang dimulai pada Desember 2018 setelah pengawas data menerima banyak keluhan dari “subjek data individu” (baik pengguna dan non-pengguna) terkait aktivitas pemrosesan data WhatsApp.

Sepanjang penyelidikan, DPC Irlandia “memeriksa apakah WhatsApp telah memenuhi kewajiban transparansi GDPR sehubungan dengan penyediaan informasi dan transparansi informasi itu kepada pengguna dan non-pengguna layanan WhatsApp.”

“Ini termasuk informasi yang diberikan kepada subjek data tentang pemrosesan informasi antara WhatsApp dan perusahaan Facebook lainnya,” jelas regulator.

Apa yang membuat denda ini menonjol—selain ukurannya—adalah fakta bahwa delapan regulator privasi UE lainnya (termasuk Jerman, Prancis, Hongaria, Italia, Portugal, Belanda, dan Polandia) menentang denda €50 juta awal yang diajukan oleh pengawas privasi data Irlandia dan memerintahkannya untuk menilai kembali.

Hal ini menyebabkan denda meningkat lebih dari empat kali lipat setelah pengawas Irlandia dipaksa untuk mempertimbangkan semua pelanggaran WhatsApp saat menghitung jumlah denda.

Selengkapnya: Bleeping Computer

Berhenti menggunakan Zoom, DPA Hamburg memperingatkan pemerintah negara bagian

by

Pemerintah negara bagian Hamburg telah secara resmi diperingatkan agar tidak menggunakan Zoom karena masalah perlindungan data.

Badan perlindungan data (DPA) negara bagian Jerman mengambil langkah mengeluarkan peringatan publik kemarin, menulis dalam siaran pers bahwa penggunaan alat konferensi video populer oleh Kanselir Senat melanggar Peraturan Perlindungan Data Umum (GDPR) Uni Eropa sejak data pengguna ditransfer ke AS untuk diproses.

Kekhawatiran DPA mengikuti keputusan penting (Schrems II) oleh pengadilan tinggi Eropa musim panas lalu yang membatalkan pengaturan transfer data utama antara UE dan AS (Perisai Privasi), menemukan undang-undang pengawasan AS tidak sesuai dengan hak privasi UE.

Dampak dari Schrems II lambat terwujud — di luar selimut ketidakpastian hukum. Namun, sejumlah DPA Eropa sekarang sedang menyelidiki penggunaan layanan digital yang berbasis di AS karena masalah transfer data, dalam beberapa kasus memperingatkan publik terhadap penggunaan alat utama AS seperti Facebook dan Zoom karena data pengguna tidak dapat dilindungi secara memadai saat diambil alih.

Beberapa badan di Jerman termasuk yang paling proaktif dalam hal ini. Tetapi pengawas perlindungan data UE juga sedang menyelidiki penggunaan layanan cloud dari raksasa AS Amazon dan Microsoft atas masalah transfer data yang sama.

Dalam kasus Hamburg, DPA mengatakan pihaknya mengambil langkah dengan mengeluarkan peringatan publik kepada Kanselir Senat setelah badan tersebut tidak memberikan tanggapan yang memadai atas kekhawatiran yang diangkat sebelumnya.

Selengkapnya: Tech Crunch

Amazon Mendapat Rekor Denda Uni Eropa $888 Juta Karena Pelanggaran Data

by

Amazon.com Inc. menghadapi denda privasi Uni Eropa terbesar yang pernah ada setelah pengawas privasi utamanya menjatuhkan hukuman 746 juta euro ($ 888 juta) karena melanggar aturan perlindungan data yang ketat di blok tersebut.

CNPD, otoritas perlindungan data Luksemburg menampar Amazon dengan rekor denda dalam keputusan 16 Juli yang menuduh pengecer online memproses data pribadi yang melanggar Peraturan Perlindungan Data Umum UE, atau GDPR. Amazon mengungkapkan temuan itu dalam pengajuan peraturan pada hari Jumat, mengatakan keputusan itu “tidak berdasar.”

Keputusan itu mengakhiri penyelidikan yang dimulai oleh keluhan 2018 dari kelompok hak privasi Prancis La Quadrature du Net. Ia dengan hati-hati menyambut keputusan itu.

Amazon telah menarik perhatian dalam beberapa tahun terakhir untuk kumpulan besar data yang telah dikumpulkannya pada berbagai pelanggan dan mitra, termasuk pedagang independen yang menjual di pasar ritelnya, pengguna asisten digital Alexa, dan pembeli yang riwayat penelusuran dan pembeliannya menginformasikan apa Amazon menunjukkannya ke situs webnya.

Perusahaan mengatakan mengumpulkan data untuk meningkatkan pengalaman pelanggan, dan menetapkan pedoman yang mengatur apa yang dapat dilakukan karyawan dengannya. Beberapa anggota parlemen dan regulator telah menyuarakan keprihatinan bahwa perusahaan telah menggunakan apa yang diketahuinya untuk memberikan keuntungan yang tidak adil bagi dirinya sendiri di pasar.

Selengkapnya: Bloomberg

Twitter didenda oleh pengawas perlindungan data UE karena pelanggaran GDPR

by

Komisi Perlindungan Data Irlandia mendenda Twitter €450.000 (~ $550.000) karena gagal memberi tahu DPC tentang pelanggaran dalam jangka waktu 72 jam yang diberlakukan oleh Peraturan Perlindungan Data Umum (GDPR) Uni Eropa dan untuk mendokumentasikannya secara memadai.

Berdasarkan aturan GDPR, regulator data UE dapat mengenakan denda maksimum hingga €20 juta (sekitar $24,3 juta) atau 4% dari omset tahunan global perusahaan yang melanggar – mana saja yang lebih besar – untuk pelanggaran.

“Penyelidikan DPC dimulai pada Januari 2019 setelah menerima pemberitahuan pelanggaran dari Twitter dan DPC menemukan bahwa Twitter melanggar Pasal 33 (1) dan 33 (5) GDPR dalam hal kegagalan untuk memberi tahu pelanggaran tepat waktu ke DPC dan kegagalan untuk mendokumentasikan pelanggaran secara memadai,” kata DPC Irlandia.

Pelanggaran yang menyebabkan Twitter didenda disebabkan oleh bug berusia empat tahun di aplikasi Twitter Android yang bertanggung jawab atas pemaparan tweet pribadi akun yang dilindungi secara tidak sengaja.

“Pada 26 Desember 2018, kami menerima laporan bug melalui program bug bounty kami bahwa jika pengguna Twitter dengan akun yang dilindungi, menggunakan Twitter untuk Android, mengubah alamat email mereka, bug tersebut akan mengakibatkan akun mereka tidak terlindungi (private),” pemberitahuan pelanggaran dikirim ke DPC pada Januari 2019.

Twitter mengatakan bahwa pihaknya tidak menyadari tingkat keparahan masalah dan pelanggaran hingga 3 Januari 2019, saat proses respons insiden diaktifkan.

Sumber: Bleeping Computer