Evropský sbor pro ochranu osobních údajů (EDPB) a Evropský inspektor pro ochranu osobních údajů (EDPS) spojili své síly ve společném stanovisku, ve kterém zdůrazňují nezbytnost zajištění nejvyšších standardů ochrany dat a soukromí v rámci plánovaného digitálního eura. Tato digitální měna, navržená Evropskou centrální bankou (ECB), má přinést rychlou a bezpečnou možnost provádět elektronické platby online i offline.
EDPB a EDPS v tomto společném stanovisku přinášejí několik klíčových návrhů, které mají zajistit, že ochrana osobních údajů a soukromí budou mít v tomto novém digitálním finančním prostředí prvořadý význam. Oba subjekty si uvědomují, že navrhované nařízení již obsahuje mnoho ustanovení týkajících se ochrany osobních údajů, s důrazem na minimalizaci zpracování osobních údajů jednotlivců při provádění a evidování online transakcí.
V souladu s tím, co navrhuje EDPB a EDPS, může ECB a národní centrální banky zřídit jedno centrální místo pro ověření, které bude monitorovat, zda množství digitálních eur v držení každého uživatele nepřesahuje stanovený maximální limit, známý jako tzv. limit držení. EDPB a EDPS zdůrazňují důležitost důkladného posouzení způsobu zpracování ověření, zejména prostřednictvím identifikátorů uživatelů digitálního eura a souvisejících limitů držení.
Pokud jde o mechanismus odhalování a prevence podvodů (FDPM), který je součástí navrhovaného nařízení upravujícího používání digitálního eura, EDPB a EDPS vyjadřují obavy ohledně jeho nepředvídatelnosti a nejasné definice zpracování osobních údajů ze strany ECB a poskytovatelů platebních služeb. Z tohoto důvodu obě subjekty doporučují prověřit nezbytnost FDPM a zvážit méně invazivní alternativy, které by zajistily ochranu údajů.
Důležitým bodem ve společném stanovisku EDPB a EDPS je také návrh zavést tzv. práh ochrany soukromí pro online transakce, což by minimalizovalo riziko spojené s praním špinavých peněz a financováním terorismu. Nařízení by tak mělo jasně stanovit právní základy a druhy osobních údajů, které budou zpracovávány v rámci používání nové digitální měny.
Hackeři ukradli aerolince platební údaje klientů
Španělská letecká společnost Air Europa se stala terčem kyberútoku. Hackeři se úspěšně vloupali do vnitřních databází této aerolinky a získali citlivé údaje o cestujících, včetně informací o jejich platebních kartách.
Podle dostupných zpráv útočníci získali nejen čísla platebních karet, ale také informace o jejich platnosti a třímístné kontrolní kódy (CVV), což by mohlo usnadnit jejich případné zneužití, včetně online plateb. Nastalá situace tak v tomto ohledu může představovat opravdu vysoké riziko pro dotčené klienty společnosti Air Europa. Air Europa navíc doposud nezveřejnila přesný počet dotčených klientů.
Je však důležité poznamenat, že ne všichni klienti letecké společnosti jsou tímto bezpečnostním incidentem postiženi. Air Europa již kontaktovala ty, kteří byli zasaženi, a vyzvala je k zablokování svých platebních karet u svých bank. Zároveň se zdá, že hackerům se podařilo získat údaje pouze od těch klientů, kteří využili své platební karty k nákupu letenek na webových stránkách letecké společnosti.
Zatím neexistují žádné důkazy o tom, že by útočníci využili získané údaje k provádění podvodných transakcí. I přes to je ale nezbytné, aby subjekty údajů dále monitorovaly své bankovní účty a sledovaly neobvyklé transakce.
Španělská organizace pro ochranu spotřebitelů (OCU) se již začala celou věcí zabývat a doporučila klientům Air Europa, aby postupovali dle bezpečnostních pokynů letecké společnosti. Taktéž vyzvala španělský dozorový úřad, aby pečlivě prošetřil celou situaci.
Pro Air Europa jde o další prohřešek proti pravidlům ochrany osobních údajů v období účinnosti nařízení GDPR, který souvisí v únikem dat. V roce 2018 byla společnost španělským dozorovým úřadem potrestána za to, že dotčené subjekty údajů informovala až 40 dní poté, co se o úniku dat dozvěděla.