GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Nowa rządowa ustawa – czyli walka z cyfrowymi oszustami

Closeup of isolated judge wood gavel with blurred polish flag background (focus on hammer head)

Czy dostaliście kiedyś sms o treści:: „na dzień 11.02 zaplanowano odłączenie energii elektrycznej! Prosimy o uregulowanie należności <link>”? Kliknięcie w podany link przekierowywało na specjalnie spreparowaną stronę, gdzie podawało się przestępcom dane logowania np. do banku. Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej ma na celu zwalczać takie praktyki. Przepisy tego aktu mają wprowadzić nowe obowiązki i prawa dla przedsiębiorców telekomunikacyjnych oraz nowe kompetencje Prezesa Urzędu Komunikacji Elektronicznej.

Zakazane praktyki

Przepisy projektu ustawy wprowadzają zakaz następujących praktyk:

  1. sztuczny ruch– wysyłanie lub odbieranie komunikatów lub połączeń głosowych w sieci telekomunikacyjnej z wykorzystaniem urządzeń telekomunikacyjnych lub programów, których celem nie jest skorzystanie z usługi telekomunikacyjnej, lecz ich zarejestrowanie na punkcie połączenia sieci telekomunikacyjnych bądź przez systemy rozliczeniowe.
  2. smishing– wysłania krótkiej wiadomości tekstowej (SMS), w której nadawca podszywa się pod inny podmiot w celu nakłonienia odbiorcy tej wiadomości do określonego zachowania, w szczególności przekazania danych osobowych, niekorzystnego rozporządzenia mieniem, otwarcia strony internetowej, inicjowania połączenia głosowego, lub instalacji oprogramowania.
  3. CLI spoofing– nieuprawnionego posłużenia się lub korzystania przez użytkownika lub przedsiębiorcę telekomunikacyjnego wywołującego połączenie głosowe informacją adresową wskazującą na osobę fizyczną, prawną albo jednostkę organizacyjną nieposiadającą osobowości prawnej inną niż ten użytkownik lub przedsiębiorca telekomunikacyjny, służące podszyciu się pod inny podmiot w szczególności w celu wywołania strachu, poczucia zagrożenia lub nakłonienia odbiorcy tego połączenia do określonego zachowania, zwłaszcza przekazania danych osobowych, niekorzystnego rozporządzenia mieniem lub instalacji oprogramowania.
  4. nieuprawniona zmiana informacji adresowej– nieuprawnionego modyfikowania informacji adresowej uniemożliwiającego lub istotnie utrudniającego ustalenie, przez uprawnione podmioty lub przedsiębiorców telekomunikacyjnych uczestniczących w dostarczeniu komunikatu informacji adresowej, przy użyciu której nastąpiło wysłanie komunikatu.

W związku z tym przedsiębiorcy telekomunikacyjni będą zobowiązani do podejmowania proporcjonalnych środków technicznych i organizacyjnych mających na celu zapobieganie nadużyciom w komunikacji elektronicznej i zwalczanie tych nadużyć.

Blokowanie stron i sms-ów

CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający w ramach NASK) na podstawie otrzymywanych informacji od odbiorów, przedsiębiorców telekomunikacyjnych oraz własnego monitorowania, będzie tworzył wzór wiadomości sms, która stanowi smishing. Następnie CSIRT będzie podawał do wiadomości taki wzór i na tej podstawie przedsiębiorca telekomunikacyjny będzie miał obowiązek blokowania takiego sms przed wysłaniem. Od uznania wzoru wiadomości za smishing będzie przysługiwała procedura odwoławcza. Dodatkowo przedsiębiorca z własnej inicjatywy będzie mógł blokować sms-y i mms-y będące smishingiem.

Podobny tryb postępowania odnosił się będzie do stron mających na celu np. wyłudzanie danych osobowych. Powstanie lista ostrzeżeń, stron internetowych, do których przedsiębiorcy telekomunikacyjni będą blokowali dostęp.

Połączenia głosowe

To nie koniec nowych obowiązków. Przedsiębiorcy telekomunikacyjni dodatkowo będę obowiązani do zapobiegania i zwalczania CLI spoofing poprzez np. blokowanie połączeń głosowych. Prezes UKE sporządzi wykaz numerów telefonów jednostek sektora finansów publicznych oraz przedsiębiorców, które służą jedynie do odbierania telefonów. Następnie na podstawie takiego wykazu przedsiębiorcy będą mieli obowiązek blokować połączenia wychodzące z tych numerów. Przestępcy często posługują się numerami infolinii np. banku, aby podszyć się pod instytucję finansową. Te numery jednak nigdy nie służą do dzwonienia do klientów.

Posłuchaj #Rodołamacza pt:  „Zabezpieczenia techniczne danych, czyli czy kłódka i łańcuch wystarczą?”

Poczty elektroniczne

Dostawcy poczty elektronicznej, dla co najmniej 500 tys. użytkowników lub dla podmiotów publicznych będą mieli obowiązek stosowania mechanizmu SPF (Sender Policy Framework), DMARC (Domain based Message Authentication Reporting and Conformance) oraz DKIM (DomainKeys Identified Mail). Podmioty publiczne będą musiały korzystać jedynie z takich poczt, które wykorzystują wskazane powyżej mechanizmy.

Przechowywanie danych i RODO

Przedsiębiorca telekomunikacyjny będzie zobowiązany do przechowywania informacji o zablokowanych sms-ach (zablokowanych czy to na podstawie wzorca CSIRT czy na podstawie własnego uprawnienia), w celu rozpatrywania ewentualnej reklamacji. Dane będą przechowane przez okres 12 miesięcy lub do czasu rozpatrzenia sporu. Dodatkowo przepisy ustawy przewidują, że art. 15 RODO nie będzie stosowany w zakresie, w jakim jest to niezbędne dla identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej. Ponadto obowiązek informacyjny z art. 14 RODO w zakresie, w jakim dotyczy to danych osobowych pozyskanych w ramach identyfikacji, zapobiegania oraz zwalczania nadużyć w komunikacji elektronicznej, będzie mógł być spełniony poprzez informacje na stronie internetowej lub przez umieszczenie stosownych informacji w miejscach widocznych w siedzibie lub miejscu działania administratora.

Wejście w życie i okres przejściowy

Ustawa planowo wejdzie w życie 30 dni od jej ogłoszenia w Dzienniku Ustaw, jednak przedsiębiorcy będą mieli od wejścia ustawy w życie:

  1. 6 miesięcy na wdrożenie obowiązków w zakresie sztucznego ruchu i smishingu
  2. 12 miesięcy na wdrożenie obowiązków w zakresie CLI spoofing i nieuprawnionej zmiany informacji adresowej.

Kary

Oprócz kar dla samych przestępców (za smishing będzie groziła kara pozbawienia wolności od 3 miesięcy do lat 5), ustawa przewiduje kary dla przedsiębiorców za niespełnienie obowiązków wynikających z ustawy. Np. za brak blokowania sms-ów, zawierających treści, zawarte we wzorcu wiadomości CSIRT, przedsiębiorcy grozi kara w wysokości 3% przychodu osiągnięte w poprzednim roku kalendarzowym.

Uwagi do projektu ustawy

Jak widać ustawa wprowadza wiele obowiązków dla przedsiębiorców telekomunikacyjnych, co będzie wiązało się z dużymi kosztami oraz zmianami organizacyjnymi. Przedsiębiorcy powinni uważnie śledzić drogę legislacyjną projektu, nie wiadomo bowiem, czy nastąpią jakieś większe zmiany.  Ponadto trzeba zauważyć, że mechanizmy wskazane w ustawie służą jedynie do zwalczania  znanych metod przestępców, a edukacja społeczeństwa, aby było w stanie radzić samemu z takimi zagrożeniami, jest równie ważna.

 

Źródło projekt ustawy z 22.12.2022 r.:

https://legislacja.rcl.gov.pl/projekt/12360854