Ενέργειες της Αρχής Προστασίας Δεδομένων σχετικά με έγγραφο της Ένωσης Πληροφορικών Ελλάδας

[nnn]

Δελτίο Τύπου:
Η Αρχή Προστασίας Δεδομένων ενημερώθηκε στις 18/5/2021 από την Ένωση Πληροφορικών Ελλάδας (ΕΠΕ) σχετικά με πιθανό πρόβλημα ασφάλειας κατά την επικύρωση εγγράφων που παράγονται από τις υπηρεσίες του ιστότοπου gov.gr. Συγκεκριμένα, στο έγγραφο της ΕΠΕ αναφέρεται ότι είναι δυνατόν κάποιος με απλή αναζήτηση στο Google να αποκτήσει πρόσβαση στον υπερσύνδεσμο (URL) που εμφανίζει την υπεύθυνη δήλωση πολίτη και ότι, επιπρόσθετα, αν λάβει γνώση μέσω κάποιας πηγής ή εντελώς τυχαία του κωδικού hash key που χρησιμοποιείται για την επικύρωση (validation), μπορεί να αποκτήσει αντίγραφο του εγγράφου. Αναφέρεται επίσης ότι η προστασία των εγγράφων μόνο με ένα hash key, χωρίς έλεγχο πρόσβασης, χωρίς αυθεντικοποίηση (login) του χρήστη και χωρίς διαδικασία ρητής άδειας μεταβίβασης μεταξύ κατόχου-παραλήπτη, βρίσκεται εκτός των ελάχιστων υποχρεωτικών προδιαγραφών, όπως ορίζονται από τη σχετική νομοθεσία.

Η Αρχή διερεύνησε άμεσα τα αναφερόμενα στο δελτίο Τύπου της ΕΠΕ ενώ περαιτέρω, την 19/5/2021, πραγματοποιήθηκε τηλεδιάσκεψη στελεχών της Αρχής και του Υπουργείου Ψηφιακής Διακυβέρνησης για την παροχή αναλυτικών πληροφοριών σε σχέση με τα μέτρα ασφάλειας του εν λόγω συστήματος.

Μετά από αξιολόγηση των στοιχείων και σχετικής διερεύνησης, η Αρχή συμπέρανε ότι εν όψει της φύσης, του πεδίου εφαρμογής, του πλαισίου και του σκοπού της επεξεργασίας, καθώς και των κινδύνων για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο καθένας εκ των οποίων έχει διαφορετική πιθανότητα να επέλθει και διαφορετική σοβαρότητα, τα εφαρμοζόμενα μέτρα ασφάλειας για την ανωτέρω επεξεργασία είναι επαρκή.

[thama]

Δεν έχω λόγια. Τα άρθρα στον ημερήσιο τύπο μιλούν ξεκάθαρα για την Αρχη προστασίας προσωπικών δεδομένων

[jtsop]

κλαυσίγελος η "ανεξάρτητη αρχή"

[^spooky^]

κλαυσίγελος η "ανεξάρτητη αρχή"

Αν υποθέσουμε πως μια δημόσια υπηρεσία καταστρατηγεί το πλαίσιο κανονισμού GDPR ας πούμε ότι έφτανε να "πληρώσει" πρόστιμο όπως προβλέπεται για ιδιωτικές επιχειρήσεις ποιος ακριβώς πληρώνει και σε ποιόν;

[minas]

Αν υποθέσουμε πως μια δημόσια υπηρεσία καταστρατηγεί το πλαίσιο κανονισμού GDPR ας πούμε ότι έφτανε να "πληρώσει" πρόστιμο όπως προβλέπεται για ιδιωτικές επιχειρήσεις ποιος ακριβώς πληρώνει και σε ποιόν;

Αυτό είναι δευτερεύον στη συγκεκριμένη περίπτωση, αφενός γιατί η υπηρεσία είναι σχετικά νέα, αφετέρου επειδή τα προβλήματα είναι περιορισμένα και σχετικά εύκολα επιλύσιμα.
Το σημαντικό θα ήταν να εφαρμοστούν οι πάγιες οδηγίες της ΑΠΔ για την υλοποίηση του συστήματος (τις οποίες επικαλούταν και η ΕΠΕ) ή έστω να μην βγάλουν αυτήν την "ήξεις αφίξεις" ανακοίνωση.

[Verde]

GDPR Η μεγαλύτερη ΑΠΑΤΗ!

Συναινείς? Σε σκίζουν!

Δεν συναινεις? Πάλι σε σκίζουν γιατί έχουν "ενομο συμφέρον"
Ασε που αν δεν συναινεις δεν θα σε εξυπηρετήσουν.

Έχουν τρύπες ΝΑΑΑΑ και τα δεδομένα σου κυκλοφορούν στο διαδίκτυο??? Αν ενημέρωσαν άμεσα και τηρουσαν κάποια βασικά στάνταρτ ΔΕΝ ΤΟΥΣ ΚΑΝΕΙΣ ΤΙΠΟΤΑ!

Πας σαν πολίτης να εξυπηρετηθεις σε μια ΔΥ? Όλοι οι ευθυνοφοβοι καρεκλοκενταυροι σου πλασάρουν ένα "δεν μπορούμε να σας ενημερώσουμε λογο GDPR" και αντε βγάλε άκρη ακόμα κι αν όντως έχεις ένομο συμφέρον.

Γενικά χειρότερος νόμος που δεν προστατεύει τον πολίτη, του δημιουργεί προβλήματα και ταυτόχρονα ΟΛΕΣ οι πολυεθνικες έχουν καλυμμένα τα νότα τους και αντε να την πληρώσει κανένας φουκαράς δεν υπάρχει!

Αν πιστεύετε ότι είμαι λίγο υπερβολικός... μερικά σεμινάρια για τον GDPR θα σας πείσουν.

[netblues]

Και στη πορεια βρηκαν και δουλεια διαφοροι ταπεινοι δικηγορισκοι :P

[gatos_fc]

Αν υποθέσουμε πως μια δημόσια υπηρεσία καταστρατηγεί το πλαίσιο κανονισμού GDPR ας πούμε ότι έφτανε να "πληρώσει" πρόστιμο όπως προβλέπεται για ιδιωτικές επιχειρήσεις ποιος ακριβώς πληρώνει και σε ποιόν;

Πρακτικά το κράτος στο κράτος

Επίσης πρακτικά, το κράτος είχε τη σχετική ελευθερία και έχει νομοθετήσει για το ίδιο το κράτος σε σχέση με το GDPR, οπότε καταλαβαίνεις..

[Ikarak]

Speechless!!!!