Nepaisant ES Reglamento interneto milžinai Facebook ir Google manipuliuoja vartotojų pasitikėjimu

Norvegijos vartotojų teisių gynimo tarnybos atlikto tyrimo ataskaitoje “Pritaikytoji apgaudinėjimui” išsamiai atskleidžiami interneto didžiųjų įmonių “Facebook” ir “Google” manipuliavimo vartotojų pasitikėjimu būdai. Ataskaitos pavadinimas – ironiška nuoroda į Bendrojo duomenų apsaugos reglamento 25 straipsnį, kuriame duomenų valdytojai ar tvarkytojai įpareigojami užtikrinti “Pritaikytąją duomenų apsaugą” .

Ataskaitoje galime pastebėti kaip šios didelės interneto bendrovės, kurių nemažą pelno dalį sudaro pajamos iš asmens duomenų naudojimo,  manipuliuoja vartotojų privatumu ir verčia mus dalijantis privačia informacija apie save. Ši praktika dažnai prieštarauja vartotojų lūkesčiams ir Bendrojo duomenų apsaugos reglamento nuostatoms. Ataskaitoje atkreipdamas dėmesys,  kad “Facebook” ir “Google” taiko tokius pritaikytuosius vartotojų nustatymus, kurie mažiau saugūs privatumo požiūriu, o privatumą labiau užtikrinančios parinktys dažnai paslėptos ir reikalauja daugiau pastangų.

Pagrindiniai darbai siekiant atitikti Reglamento reikalavimus per kelis mėnesius

Iki Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžios 2018 m. gegužės mėn. 25 dienos likus vos keliems mėnesiams, didžioji dalis įmonių, kurioms bus taikomi šie reikalavimai dar tik pradeda domėtis teisiniais ar techniniais Reglamento taikymo aspektais.

Garsus visame pasaulyje Europos vedantysis kibernetinio saugumo  internetinis dienraštis  SC Media UK pateikia sekančią Europos duomenų valdytojų pasirengimo taikyti BDAR statistiką (2018-01-23, url.: https://www.scmagazineuk.com): dagiau kaip 70% Jungtinės karalystės verslo įmonių įsitikinę, kad jos tinkamai vykdo pasirengimą BDAR. Tačiau likusioje Europos dalyje, pavyzdžiui Vokietijoje tik 52%, o Ispanijoje tik 27% verslo įmonių supranta kaip pasirengti atitikti Reglamento reikalavimus ir deda tam pastangas. Duomenų apsaugos sprendimų pasaulinė lyderė kompanija Varonis, 2017 metų rugsėjo – spalio mėnesiais atlikusi JAV ir Europos kompanijų apklausą nustatė, kad 60% Europos ir 50% JAV kompanijų nespės laiku pasirengti ar turės rimtų iššūkių  pasirengiant atitikti BDAR reikalavimams.

Todėl spaudoje publikuojama vis daugiau  patarimų ir siūlymų, kaip “paskutinę minutę” spėti pasirengti BDAR taikymui. Apibendrinant ir pasirenkant racionaliausius sprendimus siūlytume:

  • Kuo skubiau informuoti vadovybę apie atsakomybę už Reglamento reikalavimų nevykdymą, įvardinti BDAR prioritetine kryptimi ir suplanuoti žmogiškuosius bei finansinius išteklius Reglamento reikalavimų įgyvendinimui;
  • Nustatyti BDAR įgyvendinimo projekto komandą, atsižvelgiant į kompetencijas paskirstyti funkcijas, atsakomybes ir laiko rodiklius;
  • Apmokyti projekto komandos personalą bei duomenis tvarkančius atsakingus asmenis  bent pagrindinių BDAR nuostatų ir reikalavimų;
  • Atlikti asmens duomenų tvarkymo auditą ar bent jau inventorizaciją, įvertinti pagal BDAR duomenų tvarkymo teisėtumą, sunaikinti perteklinius asmens duomenis, esant poreikiui duomenis šifruoti ar suteikti pseudonimus;
  • Parengti ar atnaujinti privatumo politiką bei privatumo pranešimus jeigu jie taikomi;
  • Parengti ar atnaujinti incidentų valdymo, duomenų saugumo pažeidimų tvarkas bei procedūras. Apmokyti personalą;
  • Parengti ar atnaujinti duomenų subjekto užklausų duomenų valdytojui dėl asmens duomenų tvarkymo bei kitų BDAR numatytų duomenų subjekto teisių įgyvendinimo tvarkas bei procedūras. Apmokyti personalą;
  • Atnaujinti duomenų saugumo technines ir organizacines priemones, ypatingą dėmesį skiriant kibernetiniam saugumui. Didelė dalis duomenų saugumo pažeidimų įvyksta dėl kibernetinio saugumo spragų;
  • Parengti ir vykdyti personalo mokymus BDAR klausimais.

Šis projektas turi būti vykdomas nuolatos, projekto grupei reguliariai atsiskaitant vadovybei apie pažangą.

Apie Centro Kompetencijas

VšĮ Informacijos Saugumo Centro darbuotojų kompetencija, konsultuojant informacijos apsaugos valdymo sistemų diegimo, asmens duomenų  techninių bei organizacinių saugumo priemonių vertinimo bei kibernetinio saugumo užtikrinimo klausimais, paremta informacijos saugumo srityje veikiančių tarptautinių sertifikavimo organizacijų ISACA, CompTIA, EC Ecouncil sertifikatais ir praktine duomenų apsaugos veikla sveikatos priežiūros, elektroninės komercijos bei finansinių paslaugų sektorių įmonėse. Centro specialistai yra serifikuoti informacijos valdymo vadovai (CISM), CompTIA saugumo analitikai profesionalai (CSAP), informacijos saugumo sistemų pažeidžiamumų testuotojai (CEH). Centro darbuotojai nuolatos kelia kvalifikaciją elektroninių ryšių tinklų ir informacijos saugumo užtikrinimo, incidentų valdymo ir įmonių veiklos tęstinumo srityse.