Privatumo aktyvistas prieš Google, Facebook, Instagram ir WhatsApp

Privatumo (asmens duomenų apsaugos) aktyvistas austras Max Schrems kreipėsi į kelias Europos Sąjungos narių valstybių duomenų apsaugos priežiūros institucijas su prašymu apginti vartotojų privatumą, kurį pažeidžia tokie interneto gigantai kaip Google, Facebook, Instagram ir WhatsApp. Žmogaus teisių aktyvistas vadovaudamasis  Bendrojo duomenų apsaugos reglamento nuostatomis pateikti Skundą priežiūros institucijoms, atkreipė visuomenės dėmesį į didžiųjų Interneto kompanijų nesąžiningą veiklą, kai vartotojas norėdamas pasinaudoti šių įmonių paslaugomis priverstas duoti sutikimą naudoti jo asmens duomenis. Vartotojas bandantis apsaugoti savo privatumą, šių įmonių sudėtingose privatumo nuostatose dažnai neranda galimybės sumažinti agresyvų veržimasi į jo privatų gyvenimą arba dažniausia priverčiamas sutikti su perteklinių privačių duomenų rinkimu.

Įsigaliojus Bendrajam duomenų apsaugos Reglamentui naujajai įsteigtai Europos duomenų apsaugos tarnybai ir Austrijos duomenų apsaugos institucijai vadovaujanti Andrea Jelinek, spaudos konferencijoje Briuselyje sutiko su Max Schrems argumentais: “Jei yra priverstinis sutikimas, tai sutikimo nėra “.

Daugiau informacijos galite rasti Naujienų agentūros Reuters straipsnyje apie “priverstinį sutikimą”.

Dėl aplaidžios duomenų tvarkymo įrangos priežiūros galite būti nubausti

Bendrasis duomenų apsaugos reglamentas 32 straipsnyje duomenų valdytojus ir tvarkytojus įpareigoja, kad tvarkant asmens duomenis būtų užtikrintas pavojų atitinkančio lygio saugumas, įskaitant:

  • “reguliarų techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.”

Reguliariai nevykdant įrodymais pagrįsto  įrangos pažeidžiamumo tvarkymo ir dėl to įvykus duomenų saugumo pažeidimui duomenų valdytojui bus skiriama BDAR 83 straipsnyje numatyta nuobauda, kurios dydis pasak 83 straipsnio 4 dalies gali būti iki 10 mln. eurų.

Duomenų tvarkymą atliekant programinės ir kompiuterinės įrangos pagalba susiduriame su elementariu įrangos atnaujinimo, kibernetinio saugumo  spragų paieškos ir testavimo klausimais. Daugumai įmonių tai papildomas galvos skausmas skiriant resursus bei ieškant kompetentingų bei kvalifikuotų kibernetinio saugumo specialistų, kurie užtikrintų tinkamą įrangos kibernetinio saugumo valdymą bei duomenų apsaugą.

Jungtinės karalystės asmens duomenų apsaugos priežiūros institucija ICO pateikia pavyzdį dėl modernių kompiuterinių sistemų kibernetinio saugumo spragų “Meltdown” ir “Spectre”, pažeidžiamumo valdymo užtikrinant asmens duomenų saugumą.  Nurodomos pasekmes duomenų valdytojui jeigu bus pažeistas duomenų konfidencialumas išnaudojant šis įrangos pažeidžiamumą. Pabrėžiama, kad  įmonės turi nedelsdamos suvaldyti šių spragų, kurios palietė modernias kompiuterines sistemas, keliamą pavojų duomenims, taikydami kelių lygių saugumo sprendimus, atnaujinimų diegimo, pažeidžiamumo aptikimo, tikrinimo, vertinimo ir veiksmingumo vertinimo priemones.

Ar jums reikalingas Duomenų apsaugos pareigūnas?

Bendrasis duomenų apsaugos reglamentas (BDAR)  yra tiesioginio taikymo Europos Sąjungoje teisės aktas. Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, šis reglamentas bus pradėtas taikyti nuo 2018 m. gegužės 25 d.  Visoms įmonėms duomenų valdytojams, savo veikloje tvarkančioms Europos Sąjungos piliečių asmens duomenis, teks prievolė įrodinėti, kad asmens duomenys tvarkomi teisėtai (BDAR 6 straipsnis), atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms. Duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento (BDAR 24 straipsnis).

Ar tinkamai duomenų valdytojas (duomenų tvarkytojas) tvarko asmens duomenis gali vertinti tik duomenų apsaugos teisės ir praktikos ekspertinių žinių turintis duomenų apsaugos pareigūnas. Ar pareigūnas sugebės tinkamai atlikti jam pavestas bent Reglamento 39 straipsnyje nurodytas užduotis, priklausys kaip bus valdoma įmonėje asmens duomenų saugumui kylanti rizika. Nepakankamai atitikti BDAR reikalavimus taip pat gali sąlygoti finansinius nuostolius bei reputacijos praradimą, o jeigu pareigūno kvalifikacija nepakankama ar pareigūnas nebuvo paskirtas galima patirti iš ties rimtų nuostolių priežiūros institucijai paskyrus baudą (kuri gali siekti 20 mln. eurų).

2017 metais diskusijų su Valstybinės duomenų apsaugos inspekcijos (VDAI) atsakingais darbuotojais  metu nebuvo konkretizuoti duomenų apsaugos pareigūno skyrimo kriterijai, tačiau reglamento įgyvendinimo priežiūrą vykdyti ir taikyti sankcijas duomenų valdytojams Lietuvoje paskirta VDAI pacitavo Reglamento 83 straipsnio 1 dalį: “Kiekviena priežiūros institucija užtikrina, kad pagal šį straipsnį skiriamos administracinės baudos už 4, 5 ir 6 dalyse nurodytus šio reglamento pažeidimus kiekvienu konkrečiu atveju būtų veiksmingos, proporcingos ir atgrasomos“. Todėl kai neaišku ar reikia įmonėje skirti duomenų apsaugos pareigūną, geriau jį skirti, o jeigu pareigūnas nebuvo paskirtas, turėti tokius motyvus pagrindžiančius įrašus, kuriuose būtų tinkamai pagrįsta neskyrimo priežastys.

Bendrasis duomenų apsaugos reglamentas BDAR 37 straipsnyje bendrai traktuoja prievolę įmonėms tvarkančioms asmens duomenis skirti duomenų apsaugos pareigūną, (neskaitant valdžios institucijas). Duomenų valdytojas ar duomenų tvarkytojas privalo pats įvertinti: ar jo pagrindinė veikla yra duomenų tvarkymo operacijos, dėl kurių pobūdžio, aprėpties ir (arba) tikslų būtina reguliariai ir sistemingai dideliu mastu stebėti duomenų subjektus ar duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu. Daugiau detalizuoti šiuos bendro pobūdžio teiginius padeda Direktyvos 95/46/EB 29 straipsnio darbo grupė, kuri parengė gaires Reglamento (ES) 2016/679 duomenų apsaugos pareigūno tema.

Daugiau informacijos apie duomenų apsaugos pareigūno poreikio vertinimą ir Direktyvos 95/46/EB 29 straipsnio darbo grupės parengtose “Duomenų apsaugos pareigūnų gairės” WP 243 pateikto algoritmo taikymą pateikta internetiniame projekte “Duomenų apsaugos pareigūnas”.

Kaip suspėti laiku atitikti BDAR reikalavimus

Bendrasis duomenų apsaugos reglamentas įsigalios visoje Europoje vienu metu – 2018 m. gegužės 25 dieną. Vertinant BDAR projekto sudėtingumą ir resursų poreikį dauguma įmonių gali nespėti laiku įgyvendinti gan griežtus reikalavimus asmens duomenų apsaugai. Pavyzdžiui pateiktoje internete atskaitoje “Kibernetinio saugumo pažeidimų apžvalga 2018: pasirengimas naujam duomenų apsaugos įstatymui” nurodyta, kad 2018 metų sausį tik 38 % Jungtinės Karalystės verslo įmonių žinojo apie BDAR ir tik 21 % pradėjo ruošti ar koreguoti turimas organizacines priemones atitikties BDAR įgyvendinimui.

Siekiant  kuo per trumpesnį laiką įgyvendinti šį projektą, būtina tinkamai paskirstyti prioritetus. Visų pirma būtina informuoti įmonių vadovus ir administraciją apie atsakomybę dėl neatitikimo BDAR reikalavimams.

Toliau skaityti “Kaip suspėti laiku atitikti BDAR reikalavimus”

ADTAĮ projektas

Projekto tekstas iš LR Seimo teisės aktų portalo, 2018-03-01, url.

Projektas

 LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMO NR. I-1374 PAKEITIMO ĮSTATYMAS

2018 m.                              d. Nr.

Vilnius

1 straipsnis. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo Nr. I-1374 nauja redakcija

Pakeisti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą Nr. I-1374 ir jį išdėstyti taip:

LIETUVOS RESPUBLIKOS ASMENS DUOMENŲ TEISINĖS APSAUGOS ĮSTATYMAS

I SKYRIUS

BENDROSIOS NUOSTATOS

 1 straipsnis. Įstatymo paskirtis ir taikymas

  1. 1. Šio įstatymo paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma jo teisę į asmens duomenų apsaugą, ir užtikrinti aukštą asmens duomenų apsaugos lygį taikant Reglamentą (ES) 2016/679 ir jo įgyvendinamuosius teisės aktus.

Toliau skaityti “ADTAĮ projektas”

Duomenų apsaugos reglamentas

2012 m. Europos Komisijos pradėta Asmens duomenų apsaugos reforma – tai būtinybė turėti visose Europos Sąjungos valstybėse narėse vienodus ir atnaujintus asmens duomenų apsaugą reglamentuojančius teisės aktus,  užtikrinti vieną iš pagrindinių žmogaus teisių – teisę į asmens duomenų apsaugą, sudaryti sąlygas skaitmeninės ekonomikos plėtrai ir sustiprinti kovą su nusikalstamumu ir terorizmu. 2016 m. balandžio 27 d. buvo patvirtintas Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), toliau tekste – BDAR arba angliškai GDPR arba  Reglamentas (ES) 2016/679) . Reglamentas (ES) 2016/679 yra tiesioginio taikymo Europos Sąjungoje teisės aktas. Lietuvoje, kaip ir kitose Europos Sąjungos valstybėse narėse, šis reglamentas bus pradėtas taikyti nuo 2018 m. gegužės 25 d. Pasirengimui ir atitikties įvertinimui liko [countdown date=”25 may 2018″ format=”dHMS” hour=”02″ minutes=”00″ color=”#cc0000″ bgcolor=”#ffffff” width=”400″ height=”30″ radius=”2″ link=false ]BDAR skatins įmones prisiimti atsakomybę už tai, kad naudodamos savo veikloje asmens duomenis (toliau – duomenys) jos negalėtų pakenkti fiziniams asmenims (duomenų subjektams arba toliau tekste – DS), gerbtų žmonių teises, nustatytų naujus reikalavimus saugumo priemonėms ir griežčiau kontroliuotų atskaitomybės bei skaidrumo principus.

Informacijos saugumo valdymas

Informacijos saugumo užtikrinimas įmonėje dažniausiai vykdomas organizuojant  Informacijos saugumo valdymo sistemos diegimo projektą. Projektas įmonėse gali būti vykdomas vidinių ar išorinių specialistų pagalba. Informacijos saugumo užtikrinimo procesai įmonėje tampa efektyvūs tik tada,  kai administracija pritaria projektui ir skiriant reikiamus resursus. Tačiau kvalifikuotų informacijos saugumo valdymo specialistų trūkumas ir  tarptautinių saugumo valdymo standartų ISO 27000, NIST ir pan. neišmanymas, trukdo tinkamai diegti projektą arba vėliau prižiūrėti ir tobulinti procesus.

Informacijos saugumo valdymas privalo būti integruojamas į visas įmonės veiklas, priešingu atveju  informacijos saugumu valdymas neduos laukiamo efekto, progresui stebėti parinkti rodikliai ir jų vertinimas neatspindės projekto sėkmingumo. Pavyzdžiui įdiegus kompiuterių tinklo ir serverių technines apsaugos priemones, informacijos saugumo techninių priemonių efektyvumo rodikliai nerodys realios situacijos, kurią sąlygos  fizinės saugos ar organizacinių saugumo priemonių trūkumas.

Efektyviausias informacijos saugumo projekto įgyvendinimo įmonėje užtikrinimo būdas – taikyti informacijos saugumo valdymo ISO/IEC 27000 grupės standartų šablonus ir juos individualiai pritaikyti prie įmonės vadybos sistemos, darbo kultūros bei atliekamų operacijų.