Zadnjih godina angažirani smo od strane tvrtki koje razvijaju mobilne aplikacije radi njihove GDPR usklađenosti.

Najčešći GDPR propusti koje odmah prepoznajemo su:

֍ Nedostatak transparentnosti prema korisnicima pa i nepostojanje Privacy Notice tekstova na vidljivom mjestu s obzirom na članke 12-14. GDPR-a

֍ Izostanak ograničenja opsega prikupljanih osobnih podataka korisnika, npr. praćenje lokacije korisnika kad to nije neophodno s obzirom na članke 5. i 25. GDPR-a

֍ Općenito izostanak razgraničenja kategorija osobnih podataka na one nužne (zakonska i ugovorna obveza temelj uvjeta korištenja te dokazani legitimni interes) i ostalih (privola) uslijed nepoznavanja pravnih temelja iz članka 6. GDPR-a

 

Odnedavno primjećujemo sve veću zastupljenost AI tehnologija i algoritama povezanih s profiliranjem ili automatiziranim donošenjem odluka, ali o tome u narednim postovima.

 

Ono što nas brine je sigurnost mobilnih aplikacija, posebice:

֍ Načini autentifikacije korisnika i izostanak MFA opcije

֍ Enkripcija podataka u tranzitu i u mirovanju

֍ Sigurnost pristupa bazama podataka korisnika

֍ Sigurnost baza korisničkih kredencijala

֍ Integracija s chatbotovima i klasičnim messaging platformama

֍ Testiranje aplikacija na živim podacima

 

A od svih navedenih potencijalnih sigurnosnih rupa najgora je ona koja se dogodila svima nama poznatoj banci u Rumunjskoj koja uopće nije provela sigurnosne testove svoje nove aplikacije.

Takav pristup s njihove strane imao je posljedicu povrede osobnih podataka klijenata, od imena, prezimena, podataka o bankovnim računima i stanju računa i salda na kreditnim karticama, podataka o transakcijama, email adresama, razlozima odbijanja plaćanja i sl.

Osim upravne novčane kazne za propuste u provođenju sigurnosnih mjera, nadzorno tijelo je banci naložili implementaciju plana testiranja za sve aplikacije i sva komunikacijska rješenja kao i sigurnosnu analizu svih funkcionalnosti aplikacija prije puštanja aplikacija u komercijalnu uporabu.

 

Više o slučaju banke:

https://gdprhub.eu/index.php?title=ANSPDCP_(Romania)_-_Unicredit&mtc=today

 

Image from Freepik

#gdprcroatia