SW 2023-2024 Course 12: Cybersecurity Legislation PDF
Document Details
Uploaded by FearlessSasquatch
Universitatea Tehnică Gheorghe Asachi din Iași
2024
Adrian Alexandrescu
Tags
Summary
These lecture notes cover cybersecurity legislation, focusing on the cookie policy, GDPR, and the DSA. The presentation outlines key concepts and regulations, offering detailed explanations and examples. The document is intended for an undergraduate-level course.
Full Transcript
SECURITATE WEB CURSUL 12 LEGISLAȚIE ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Legislație Adrian Alexandrescu 2023-2024 2 Legislație I 1. Cookie policy 2. GDPR 3. Digital Services Act Ad...
SECURITATE WEB CURSUL 12 LEGISLAȚIE ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Legislație Adrian Alexandrescu 2023-2024 2 Legislație I 1. Cookie policy 2. GDPR 3. Digital Services Act Adrian Alexandrescu 2023-2024 3 1. Cookie policy Directivă UE Privacy and Electronic Communications Directive 2002/58/EC ePrivacy Directive (ePD) Protecția datelor și confidențialitatea Spam – email-uri nesolicitate Cookie-uri Directive 2009/136 – cookie-urile sunt supuse unui acord prealabil I 2011 – țările UE adoptă directiva UE prin care se permite utilizatorilor să refuze utilizarea cookie-urilor Adrian Alexandrescu 2023-2024 4 1. Cookie policy Legislația UE privind cookie-urile Pașii necesari pentru site owner: I 1. Când cineva vizitează site-ul, acesta trebuie să știe că site-ul folosește cookie-uri. 2. Trebuie furnizate informații detaliate cu privire la modul în care datele cookie-urilor vor fi utilizate. 3. Trebuie oferite vizitatorilor unele mijloace de acceptare sau refuzare a utilizării cookie-urilor pe site. 4. Dacă refuză, trebuie ca respectivele cookie-uri să nu fie salvate pe dispozitivul care accesează site-ul. 5. Trebuie să existe posibilitatea ca utilizatorul să își retragă consimțământul Adrian Alexandrescu 2023-2024 5 1. Cookie policy I Există excepții pentru cookie-urile strict necesare pentru îndeplinirea serviciile solicitate de vizitatorii site-ului Nu este clar definit ce reprezintă un cookie strict necesar This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service. It is best to err on the side of caution Dați exemple de cookie-uri strict necesare și de cookie-uri care nu sunt strict necesare Adrian Alexandrescu 2023-2024 6 1. Cookie policy Orice cookie care nu se încadrează în definiția „strict necesar” are nevoie de consimțământ înainte de al putea stoca pe dispozitivul unui vizitator Legislația cookie nu se limitează la cookie-uri Cookie-urile nu sunt menționate explicit în legislație I Ce alte modalități prin care se pot stoca informații pe calculatorul utilizatorului cunoașteți? Cum vedem dacă un site utilizează cookie-uri? Adrian Alexandrescu 2023-2024 7 1. Cookie policy I Conformarea cu legislația UE 1. Renunțarea la cookie-uri 2. Adăugarea unui pop-up sau a unui header bar care să includă opțiunea de a renunța la salvarea cookie-urilor 3. Consimțământul implicit – un mesaj de informare este afișat pentru o anumită perioadă de timp, după care, dacă utilizatorul rămâne pe site, atunci este echivalent cu faptul că și-a dat consimțământul (în UK) 4. Adăugarea informațiilor la secțiunea de Termeni și condiții 5. Utilizarea unui plugin sau a unor aplicații dedicate Adrian Alexandrescu 2023-2024 8 1. Cookie policy Când trebuie obținut consimțământul? Ce se întâmplă dacă utilizatorul nu acceptă cookie-urile? Adrian Alexandrescu 2023-2024 I 9 2. GDPR General Data Protection Regulation (GDPR) Legislație privind confidențialitatea și securitatea I Se aplică oriunde sunt vizate sau colectate date referitoare la persoanele din UE Se aplică din 25 mai 2018 Amenzile pentru încălcarea GDPR pot ajunge până la 20 milioane de euro Adrian Alexandrescu 2023-2024 10 2. GDPR I Datele cu caracter personal sunt orice informații care se referă la o persoană care poate fi identificată direct sau indirect Exemple Numele Adresa de e-mail Locația Etnia, Sexul, Credințele religioase Datele biometrice Cookie-urile web Opiniile politice Datele pseudonime, dacă este relativ ușor de identificat o persoană Adrian Alexandrescu 2023-2024 11 2. GDPR I Principii de protecție a datelor și responsabilitate 1. Legalitate, corectitudine și transparență - prelucrarea trebuie să fie legală, echitabilă și transparentă pentru persoana vizată 2. Limitarea scopului – datele trebuie prelucrate pentru scopurile legitime specificate în mod explicit persoanei vizate atunci au fost colectate 3. Minimizarea datelor - ar trebui colectate sau procesate doar atâtea date cât sunt absolut necesare pentru scopurile specificate 4. Acuratețe - trebuie păstrate datele personale corecte și actualizate. Adrian Alexandrescu 2023-2024 12 2. GDPR I Principii de protecție a datelor și responsabilitate 5. Limitarea stocării - datele de identificare personală trebuie stocate numai atât timp cât este necesar pentru scopul specificat. 6. Integritate și confidențialitate - procesarea trebuie făcută în așa fel încât să se asigure securitate, integritate și confidențialitate adecvate (de exemplu, prin utilizarea criptării). 7. Responsabilitate - operatorul de date este responsabil pentru a putea demonstra conformitatea GDPR cu toate aceste principii. Adrian Alexandrescu 2023-2024 13 2. GDPR I Dreptul de confidențialitate Dreptul de a fi informat Dreptul de acces Dreptul la rectificare Dreptul la ștergere Dreptul de a restricționa prelucrarea Dreptul la portabilitatea datelor Dreptul de a obiecta Drepturi legate de luarea deciziilor și profilarea automată Adrian Alexandrescu 2023-2024 14 2. GDPR I Există mai multe situații în care este legală procesarea datelor personale Cele mai importante sunt: Dacă persoana a dat consimțământ implicit pentru procesarea datelor Dacă există interes legitim pentru procesarea datelor Interes legitim Scopul: se urmărește un interes legitim? Necesitatea: este necesară prelucrarea în acest scop? Echilibrul: interesele individului suprascriu interesului legitim? Adrian Alexandrescu 2023-2024 15 2. GDPR I Exemple de interes legitim O societate are un interes legitim când prelucrarea are loc în cadrul relației cu un client O persoană își încarcă CV-ul pe un o platformă de locuri de muncă. O agenție de recrutare accesează CV-ul și trimite CV-ul candidatului către o companie interesată. Când prelucrează date cu caracter personal în scopuri de marketing direct Pentru a preveni frauda Pentru a asigura securitatea rețelei și a informațiilor într-un sistem informatic Înainte de prelucra datele personale contactați un avocat! Adrian Alexandrescu 2023-2024 16 3. Digital Services Act I Directiva UE 2022/265 referitoare la conținut ilegal, publicitate transparentă și dezinformare Este menit să îmbunătățească moderarea conținutului pe platformele de social media pentru a răspunde preocupărilor legate de conținutul ilegal Propunerea DSA menține regula actuală conform căreia companiile care găzduiesc datele altora nu sunt răspunzătoare pentru conținut decât dacă știu cu adevărat că este ilegal și, la obținerea acestor cunoștințe, nu acționează pentru a-l elimina Adrian Alexandrescu 2023-2024 17 3. Digital Services Act Rețelele sociale trebuie să suspende utilizatorii care încarcă legea Forțează site-urile de comerț electronic să verifice identitatea furnizorilor înainte de a le afișa produsele Există obligații speciale pentru companiile cu mai mult de 45 milioane de utilizatori activi I Acestea sunt obligate să evalueze riscurile asociate cu utilizarea serviciilor lor și să elimine conținutul ilegal Li se cere să fie mai transparenți cu privire la datele și algoritmii lor Se dorește ca utilizarea datelor despre religie sau opinii politice să nu fie folosită pentru publicitate direcționată Adrian Alexandrescu 2023-2024 18 Bibliografie Automatic cookie policy with Cookiebot CMP https://www.cookiebot.com/en/cookie-policy/ Online privacy https://europa.eu/youreurope/business/dealing-with-customers/dataprotection/online-privacy/ Ultimate Guide to EU Cookie Laws https://www.privacypolicies.com/blog/eu-cookie-law/ Guidance on the use of cookies and similar technologies https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-ofcookies-and-similar-technologies/ Complete guide to GDPR compliance https://gdpr.eu/ Adrian Alexandrescu 2023-2024 19 Bibliografie How the GDPR will affect online sellers https://www.shopfactory.com/contents/en-us/p1348_How-the-GDPR-willaffect-online-sellers.html GDPR: ghid complet privind interesul legitim https://www.avocatoo.ro/blog/gdpr-ghid-complet-interesul-legitim/ EU agrees on new legislation to tame internet 'Wild West' https://www.france24.com/en/europe/20220423-eu-agrees-on-newlegislation-to-tame-internet-wild-west Adrian Alexandrescu 2023-2024 20
