Nepaisant ES Reglamento interneto milžinai Facebook ir Google manipuliuoja vartotojų pasitikėjimu

Norvegijos vartotojų teisių gynimo tarnybos atlikto tyrimo ataskaitoje “Pritaikytoji apgaudinėjimui” išsamiai atskleidžiami interneto didžiųjų įmonių “Facebook” ir “Google” manipuliavimo vartotojų pasitikėjimu būdai. Ataskaitos pavadinimas – ironiška nuoroda į Bendrojo duomenų apsaugos reglamento 25 straipsnį, kuriame duomenų valdytojai ar tvarkytojai įpareigojami užtikrinti “Pritaikytąją duomenų apsaugą” .

Ataskaitoje galime pastebėti kaip šios didelės interneto bendrovės, kurių nemažą pelno dalį sudaro pajamos iš asmens duomenų naudojimo,  manipuliuoja vartotojų privatumu ir verčia mus dalijantis privačia informacija apie save. Ši praktika dažnai prieštarauja vartotojų lūkesčiams ir Bendrojo duomenų apsaugos reglamento nuostatoms. Ataskaitoje atkreipdamas dėmesys,  kad “Facebook” ir “Google” taiko tokius pritaikytuosius vartotojų nustatymus, kurie mažiau saugūs privatumo požiūriu, o privatumą labiau užtikrinančios parinktys dažnai paslėptos ir reikalauja daugiau pastangų.

Trečiosios šalys gali skaityti Gmail vartotojų elektroninio pašto laiškus

Prisimenant plačiai nuskambėjusį Cambridge Analytica skandalą, dėl kurio Facebook įkūrėjas turėjo aiškintis Amerikos ir Europos atsakingoms institucijoms, pranešama apie trečiųjų šalių atstovų galimą prieigą prie “Google” kompanijos teikiamos Gmail elektroninio pašto tarnybos tvarkomų vartotojų asmens duomenų. Pasak dienraščio “The wall street journal” ir kitų interneto šaltinių šimtai trečiųjų šalių programuotojų turėjo prieigos galimybę prie Gmail tvarkomų elektroninio pašto laiškų. Reklamos, rinkodaros ir kitais tikslais buvo skaitoma tūkstančiai privačių Gmail vartotojų laiškų.

Paaiškėjus šiems faktams, “Google” kompanija skubėdama nuraminti vartotojus pranešė, kad jiems suteikta galimybė privatumo nuostatose atsisakyti duotų sutikimų trečiosioms šalims naudoti asmens duomenis.

Tačiau tai reiškia, kad vykdant privatų verslo susirašinėjimą reikėtų vengti tokio tipo elektroninio pašto tarnybų, nes ir toliau gali būti didžiųjų interneto kompanijų vykdomi “beveik teisėti” vartotojų asmens duomenų saugumo pažeidimai.

 

Privatumo aktyvistas prieš Google, Facebook, Instagram ir WhatsApp

Privatumo (asmens duomenų apsaugos) aktyvistas austras Max Schrems kreipėsi į kelias Europos Sąjungos narių valstybių duomenų apsaugos priežiūros institucijas su prašymu apginti vartotojų privatumą, kurį pažeidžia tokie interneto gigantai kaip Google, Facebook, Instagram ir WhatsApp. Žmogaus teisių aktyvistas vadovaudamasis  Bendrojo duomenų apsaugos reglamento nuostatomis pateikti Skundą priežiūros institucijoms, atkreipė visuomenės dėmesį į didžiųjų Interneto kompanijų nesąžiningą veiklą, kai vartotojas norėdamas pasinaudoti šių įmonių paslaugomis priverstas duoti sutikimą naudoti jo asmens duomenis. Vartotojas bandantis apsaugoti savo privatumą, šių įmonių sudėtingose privatumo nuostatose dažnai neranda galimybės sumažinti agresyvų veržimasi į jo privatų gyvenimą arba dažniausia priverčiamas sutikti su perteklinių privačių duomenų rinkimu.

Įsigaliojus Bendrajam duomenų apsaugos Reglamentui naujajai įsteigtai Europos duomenų apsaugos tarnybai ir Austrijos duomenų apsaugos institucijai vadovaujanti Andrea Jelinek, spaudos konferencijoje Briuselyje sutiko su Max Schrems argumentais: “Jei yra priverstinis sutikimas, tai sutikimo nėra “.

Daugiau informacijos galite rasti Naujienų agentūros Reuters straipsnyje apie “priverstinį sutikimą”.

Duomenų valdytojų atsakomybė dėl duomenų saugumo pažeidimo

Bendrojo duomenų apsaugos reglamento (BDAR) 4 straipsnio 12 dalyje apibrėžtas asmens duomenų saugumo pažeidimas: „ – saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga“.

BDAR nustatyta Duomenų valdytojų ir tvarkytojų atsakomybė dėl asmens duomenų saugumo pažeidimo. BDAR preambulės 85 punkte nurodyta: „dėl asmens duomenų saugumo pažeidimo, jei dėl jo laiku nesiimama tinkamų priemonių, fiziniai asmenys gali patirti kūno sužalojimą, materialinę ar nematerialinę žalą, pavyzdžiui, prarasti savo asmens duomenų kontrolę, patirti teisių apribojimą, diskriminaciją, gali būti pavogta ar suklastota jo asmens tapatybė, jam padaryta finansinių nuostolių, neleistinai panaikinti pseudonimai, gali būti pakenkta jo reputacijai, prarastas asmens duomenų, kurie saugomi profesine paslaptimi, konfidencialumas arba padaryta kita ekonominė ar socialinė žala atitinkamam fiziniam asmeniui“.

Todėl duomenų valdytojas įpareigojamas vos sužinojęs, kad padarytas asmens duomenų saugumo pažeidimas, pranešti kompetentingai priežiūros institucijai (Lietuvoje Valstybinei duomenų apsaugos inspekcijai) apie asmens duomenų saugumo pažeidimą nepagrįstai nedelsdamas ir, jei įmanoma, nuo to laiko, kai apie tai buvo sužinota, praėjus ne daugiau kaip 72 valandoms. BDAR nurodytais atvejais apie asmens duomenų pažeidimą privalo būti informuojamas ir duomenų subjektas.

Bendrojo duomenų apsaugos reglamento 83 straipsnyje numatomos taip pat ir administracinės baudos, kurių dydis priklauso nuo pažeidimo pobūdžio, sunkumo ir trukmės, atsižvelgiant į atitinkamo duomenų tvarkymo pobūdį, aprėptį ar tikslą, taip pat į nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį. Reglamento reikalavimus pažeidusiems duomenų valdytojams ir tvarkytojams taip pat gali tekti atlyginti ir duomenų subjekto dėl pažeidimo patirtą turtinę bei neturtinę žalą.

Duomenų saugumo pažeidimo ir kitais asmens duomenų tvarkymo atvejais, tvarkomų asmens duomenų veiklos įrašai, užtikrinantys atskaitomybės ir skaidrumo principus, gali padėti įrodyti, kad asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Svarbų vaidmenį asmens duomenų saugumo pažeidimo valdymui pagal BDAR atlieka duomenų apsaugos pareigūnas, tačiau tik ten kur vadovaujantis teisės aktais buvo nuspręsta jį skirti. Plačiau apie pasirengimą duomenų saugumo pažeidimo valdymui projekte, skirtam Duomenų apsaugos pareigūnui.

Dėl aplaidžios duomenų tvarkymo įrangos priežiūros galite būti nubausti

Bendrasis duomenų apsaugos reglamentas 32 straipsnyje duomenų valdytojus ir tvarkytojus įpareigoja, kad tvarkant asmens duomenis būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant:

  • “reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.”

Reguliariai nevykdant įrodymais pagrįsto  įrangos pažeidžiamumo tvarkymo ir dėl to įvykus duomenų saugumo pažeidimui duomenų valdytojui bus skiriama BDAR 83 straipsnyje numatyta nuobauda, kurios dydis pasak 83 straipsnio 4 dalies gali būti iki 10 mln. eurų.

Duomenų tvarkymą atliekant programinės ir kompiuterinės įrangos pagalba susiduriame su elementariu įrangos atnaujinimo, kibernetinio saugumo  spragų paieškos ir testavimo klausimais. Daugumai įmonių tai papildomas galvos skausmas skiriant resursus bei ieškant kompetentingų bei kvalifikuotų kibernetinio saugumo specialistų, kurie užtikrintų tinkamą įrangos kibernetinio saugumo valdymą bei duomenų apsaugą.

Jungtinės karalystės asmens duomenų apsaugos priežiūros institucija ICO pateikia pavyzdį dėl modernių kompiuterinių sistemų kibernetinio saugumo spragų “Meltdown” ir “Spectre”, pažeidžiamumo valdymo užtikrinant asmens duomenų saugumą.  Nurodomos pasekmes duomenų valdytojui jeigu bus pažeistas duomenų konfidencialumas išnaudojant šis įrangos pažeidžiamumą. Pabrėžiama, kad  įmonės turi nedelsdamos suvaldyti šių spragų, kurios palietė modernias kompiuterines sistemas, keliamą pavojų duomenims, taikydami kelių lygių saugumo sprendimus, atnaujinimų diegimo, pažeidžiamumo aptikimo, tikrinimo, vertinimo ir veiksmingumo vertinimo priemones.

Pagrindiniai darbai siekiant atitikti Reglamento reikalavimus per kelis mėnesius

Iki Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžios 2018 m. gegužės mėn. 25 dienos likus vos keliems mėnesiams, didžioji dalis įmonių, kurioms bus taikomi šie reikalavimai dar tik pradeda domėtis teisiniais ar techniniais Reglamento taikymo aspektais.

Garsus visame pasaulyje Europos vedantysis kibernetinio saugumo  internetinis dienraštis  SC Media UK pateikia sekančią Europos duomenų valdytojų pasirengimo taikyti BDAR statistiką (2018-01-23, url.: https://www.scmagazineuk.com): dagiau kaip 70% Jungtinės karalystės verslo įmonių įsitikinę, kad jos tinkamai vykdo pasirengimą BDAR. Tačiau likusioje Europos dalyje, pavyzdžiui Vokietijoje tik 52%, o Ispanijoje tik 27% verslo įmonių supranta kaip pasirengti atitikti Reglamento reikalavimus ir deda tam pastangas. Duomenų apsaugos sprendimų pasaulinė lyderė kompanija Varonis, 2017 metų rugsėjo – spalio mėnesiais atlikusi JAV ir Europos kompanijų apklausą nustatė, kad 60% Europos ir 50% JAV kompanijų nespės laiku pasirengti ar turės rimtų iššūkių  pasirengiant atitikti BDAR reikalavimams.

Todėl spaudoje publikuojama vis daugiau  patarimų ir siūlymų, kaip “paskutinę minutę” spėti pasirengti BDAR taikymui. Apibendrinant ir pasirenkant racionaliausius sprendimus siūlytume:

  • Kuo skubiau informuoti vadovybę apie atsakomybę už Reglamento reikalavimų nevykdymą, įvardinti BDAR prioritetine kryptimi ir suplanuoti žmogiškuosius bei finansinius išteklius Reglamento reikalavimų įgyvendinimui;
  • Nustatyti BDAR įgyvendinimo projekto komandą, atsižvelgiant į kompetencijas paskirstyti funkcijas, atsakomybes ir laiko rodiklius;
  • Apmokyti projekto komandos personalą bei duomenis tvarkančius atsakingus asmenis  bent pagrindinių BDAR nuostatų ir reikalavimų;
  • Atlikti asmens duomenų tvarkymo auditą ar bent jau inventorizaciją, įvertinti pagal BDAR duomenų tvarkymo teisėtumą, sunaikinti perteklinius asmens duomenis, esant poreikiui duomenis šifruoti ar suteikti pseudonimus;
  • Parengti ar atnaujinti privatumo politiką bei privatumo pranešimus jeigu jie taikomi;
  • Parengti ar atnaujinti incidentų valdymo, duomenų saugumo pažeidimų tvarkas bei procedūras. Apmokyti personalą;
  • Parengti ar atnaujinti duomenų subjekto užklausų duomenų valdytojui dėl asmens duomenų tvarkymo bei kitų BDAR numatytų duomenų subjekto teisių įgyvendinimo tvarkas bei procedūras. Apmokyti personalą;
  • Atnaujinti duomenų saugumo technines ir organizacines priemones, ypatingą dėmesį skiriant kibernetiniam saugumui. Didelė dalis duomenų saugumo pažeidimų įvyksta dėl kibernetinio saugumo spragų;
  • Parengti ir vykdyti personalo mokymus BDAR klausimais.

Šis projektas turi būti vykdomas nuolatos, projekto grupei reguliariai atsiskaitant vadovybei apie pažangą.

Ar jums reikalingas Duomenų apsaugos pareigūnas?

Bendrasis duomenų apsaugos reglamentas (BDAR)  yra tiesioginio taikymo Europos Sąjungoje teisės aktas. Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, šis reglamentas bus pradėtas taikyti nuo 2018 m. gegužės 25 d.  Visoms įmonėms duomenų valdytojams, savo veikloje tvarkančioms Europos Sąjungos piliečių asmens duomenis, teks prievolė įrodinėti, kad asmens duomenys tvarkomi teisėtai (BDAR 6 straipsnis), atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento (BDAR 24 straipsnis).

Ar tinkamai duomenų valdytojas (duomenų tvarkytojas) tvarko asmens duomenis gali vertinti tik duomenų apsaugos teisės ir praktikos ekspertinių žinių turintis duomenų apsaugos pareigūnas. Ar pareigūnas sugebės tinkamai atlikti jam pavestas bent Reglamento 39 straipsnyje nurodytas užduotis, priklausys kaip bus valdoma įmonėje asmens duomenų saugumui kylanti rizika. Nepakankamai atitikti BDAR reikalavimus taip pat gali sąlygoti finansinius nuostolius bei reputacijos praradimą, o jeigu pareigūno kvalifikacija nepakankama ar pareigūnas nebuvo paskirtas galima patirti iš ties rimtų nuostolių priežiūros institucijai paskyrus baudą (kuri gali siekti 20 mln. eurų).

2017 metais diskusijų su Valstybinės duomenų apsaugos inspekcijos (VDAI) atsakingais darbuotojais  metu nebuvo konkretizuoti duomenų apsaugos pareigūno skyrimo kriterijai, tačiau reglamento įgyvendinimo priežiūrą vykdyti ir taikyti sankcijas duomenų valdytojams Lietuvoje paskirta VDAI pacitavo Reglamento 83 straipsnio 1 dalį: “Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos“. Todėl kai neaišku ar reikia įmonėje skirti duomenų apsaugos pareigūną, geriau jį skirti, o jeigu pareigūnas nebuvo paskirtas, turėti tokius motyvus pagrindžiančius įrašus, kuriuose būtų tinkamai pagrįsta neskyrimo priežastys.

Bendrasis duomenų apsaugos reglamentas BDAR 37 straipsnyje bendrai traktuoja prievolę įmonėms tvarkančioms asmens duomenis skirti duomenų apsaugos pareigūną, (neskaitant valdžios institucijas). Duomenų valdytojas ar duomenų tvarkytojas privalo pats įvertinti: ar jo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus ar duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu. Daugiau detalizuoti šiuos bendro pobūdžio teiginius padeda Direktyvos 95/46/EB 29 straipsnio darbo grupė, kuri parengė gaires Reglamento (ES) 2016/679 duomenų apsaugos pareigūno tema.

Daugiau informacijos apie duomenų apsaugos pareigūno poreikio vertinimą ir Direktyvos 95/46/EB 29 straipsnio darbo grupės parengtose “Duomenų apsaugos pareigūnų gairės” WP 243 pateikto algoritmo taikymą pateikta internetiniame projekte “Duomenų apsaugos pareigūnas”.

Duomenų apsaugos pareigūnas turi tinkamai įvertinti duomenų tvarkymui kylantį pavojų

Bendrajame duomenų apsaugos reglamente 39 straipsnyje nurodoma, kad “Duomenų apsaugos pareigūnas, vykdydamas savo užduotis, tinkamai įvertina su duomenų tvarkymo operacijomis susijusį pavojų, atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus.” Tinkamai vertinti tokio pobūdžio informaciją ekspertinių teisės žinių nepakanka, o kreipiantis į informacinių technologijų ekspertinių žinių turinčius darbuotojus dažnai gali kilti interesų konfliktas, apibūdintas Direktyvos 95/46/EB 29 straipsnio darbo grupės parengtose gairėse Reglamento (ES) 2016/679 duomenų apsaugos pareigūno tema.

Vertindamas įmonės asmens duomenų tvarkymui kylantį pavojų Pareigūnas visų pirma turi skirti dėmesį labiausiai pažeidžiamoms informacinėms sistemoms ir turėti pakankamą kvalifikaciją tinkamai vertinti pavojų. Pavyzdžiui turinio valdymo sistema WordPress yra viena iš populiariausių nemokamų interneto svetainių turinio valdymo programinių įrangų pasaulyje.  Jos populiarumas sąlygoja didelį kibernetinių įsilaužėlių dėmesį saugumo spragų paieškai ir pažeidžiamumo išnaudojimui.  2017 metų sausį nustatyta kritinė WordPress saugumo spraga leidžianti neteisėtai redaguoti svetainių turinį ar užkrėsti svetainę piktybine programine įranga, o naujausia 2018 metų vasarį aptikta Wordpress TVS saugumo spraga WordPress CVE-2018-6389 Denial of Service Vulnerability suteikia piktavaliams  galimybę sutrikdyti svetainės veiklą net naujausiose WordPress versijose. Nacionalinio standartų ir technologijų instituto (NIST) Informacinių technologijų laboratorija nurodo aukštą pažeidžiamumo išnaudojimo ir pavojingumo lygį (CVSS Severity (version 3.0) – 7,5), todėl rekomenduojama kuo skubiau atnaujinti TVS programinę įrangą.

Tinkamas kibernetinių grėsmių asmens duomenims įvertinimas, kompensuojamų  ir incidentų valdymo veiklos priemonių rekomendavimas padės laiku užkirsti kelią neteisėtai prieigai prie asmens duomenų.

Kaip suspėti laiku atitikti BDAR reikalavimus

Bendrasis duomenų apsaugos reglamentas įsigalios visoje Europoje vienu metu – 2018 m. gegužės 25 dieną. Vertinant BDAR projekto sudėtingumą ir resursų poreikį dauguma įmonių gali nespėti laiku įgyvendinti gan griežtus reikalavimus asmens duomenų apsaugai. Pavyzdžiui pateiktoje internete atskaitoje “Kibernetinio saugumo pažeidimų apžvalga 2018: pasirengimas naujam duomenų apsaugos įstatymui” nurodyta, kad 2018 metų sausį tik 38 % Jungtinės Karalystės verslo įmonių žinojo apie BDAR ir tik 21 % pradėjo ruošti ar koreguoti turimas organizacines priemones atitikties BDAR įgyvendinimui.

Siekiant  kuo per trumpesnį laiką įgyvendinti šį projektą, būtina tinkamai paskirstyti prioritetus. Visų pirma būtina informuoti įmonių vadovus ir administraciją apie atsakomybę dėl neatitikimo BDAR reikalavimams.

Toliau skaityti “Kaip suspėti laiku atitikti BDAR reikalavimus”

ADTAĮ projektas

Projekto tekstas iš LR Seimo teisės aktų portalo, 2018-03-01, url.

Projektas

 LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO NR. I-1374 PAKEITIMO ĮSTATYMAS

2018 m.                              d. Nr.

Vilnius

1 straipsnis. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 nauja redakcija

Pakeisti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą Nr. I-1374 ir jį išdėstyti taip:

LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMAS

I SKYRIUS

BENDROSIOS NUOSTATOS

 1 straipsnis. Įstatymo paskirtis ir taikymas

  1. 1. Šio įstatymo paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma jo teisę į asmens duomenų apsaugą, ir užtikrinti aukštą asmens duomenų apsaugos lygį taikant Reglamentą (ES) 2016/679 ir jo įgyvendinamuosius teisės aktus.

Toliau skaityti “ADTAĮ projektas”