Akibrokštai viešojoje erdvėje
Vienos bankrutuojančios įmonės interneto svetainėje šiuo metu visiems viešai prieinamas skolininkų sąrašas, kuriame be kelių skolingų įmonių nurodyti ir paprastai neskelbtini kitų debitorių, t. y. privačių asmenų duomenys, – jų vardai, pavardės, asmens kodai, tikslus adresas ir skolos dydis.
Toks viešumas yra akivaizdus asmens duomenų apsaugos pažeidimas, kuris kol kas kontroliuojančioms institucijoms dar neužkliuvo.
Vienas skandalingiausių atvejų duomenų apsaugos srityje buvo elektroninė pacientų asmens duomenų vagystė iš klinikos. Nusikaltimą pavyko išaiškinti ir kaltuosius patraukti atsakomybėn.
O per pastaruosius Seimo rinkimus 2016-ųjų spalį Vyriausiosios rinkimų komisijos (VRK) interneto sistemoje kiekvienas norintis galėjo susirinkti duomenis apie rinkimuose dalyvaujančius Lietuvos piliečius – jų vardus, pavardes, gimimo metus ir adresus.
Tai pastebėta, kai savarankiškai kortelę norėję atsispausdinti asmenys dėl sistemos klaidos galėjo matyti kitų rinkėjų asmens duomenis.
Jei ši klaida pasikartotų būsimuose rinkimuose, VRK atstovai atsiprašymais jau neatsipirktų.
Tvarką įvedinės baudomis
Nuo gegužės 25 d. visoje Europos Sąjungoje, taigi ir Lietuvoje, įsigalios labai griežtas Bendrųjų duomenų apsaugos reglamentas, už kurio pažeidimus juridiniams asmenims grės ir milijoninės baudos.
"Jeigu šiandien juridiniams asmenims bauda už aplaidų asmens duomenų tvarkymą gresia iki tūkstančio eurų, tai po gegužės 25 d. kontroliuojanti institucija – Valstybinė duomenų apsaugos inspekcija, priklausomai nuo pažeidimo, galėtų skirti baudą iki 20 mln. eurų arba tokią baudą, kuri siektų 4 procentus metinės tos įmonės apyvartos. Valstybinėms institucijoms numatytos baudos bus mažesnės, maksimali – iki 60 tūkst. eurų, bet jos vis tiek bus daug didesnės nei yra dabar", – teigė UAB "Elsis IS" Informacinių sistemų saugumo skyriaus vadovas Tomas Stamulis.
Duomenys yra ne tik vardas, pavardė, adresas ar asmens kodas, bet ir žmogaus telefono numeris, akių ar plaukų spalva, politinės pažiūros, sveikatos duomenys, tai yra bet kuri informacija, pagal kurią galima nustatyti žmogaus tapatybę.
"Asmens duomenų apsaugos reglamentavimas buvo ir iki šiol, bet to reglamentavimo būta ne tokio griežto, o baudų – ne tokių didelių, ir ši problema nelabai kam rūpėjo", – patikslino Informacinių sistemų saugumo skyriaus vadovas.
Įsilaužimo likvidavimui – 3 paros
Pagal nuo gegužės įsigaliosiantį asmens duomenų apsaugos reglamentą įmonės apie incidentus, kai duomenys virtualiai ar fiziškai buvo pažeisti ar nutekinti, atskleisti, pakeisti ar sunaikinti, ne vėliau nei per tris paras turi pranešti Valstybinei duomenų apsaugos inspekcijai.
Per ne daugiau nei 72 valandas įsilaužimą patyrusios bendrovės turėtų įvertinti pažeidimo mastą, tipą, nustatyti, kiek ir kokie duomenys buvo paveikti, kokį neigiamą poveikį tai gali sukelti susijusiems asmenims.
O jeigu incidentas gali sukelti didelį pavojų asmenų teisėms ir laisvėms – turėtų būti papildomai informuotas kiekvienas asmuo, kurio duomenys buvo pažeisti.
Teisė būti pamirštam
Gyventojams naujasis reglamentas suteiks teisę į duomenų perkeliamumą ir teisę būti pamirštam.
Duomenų perkeliamumas reiškia, kad, jei žmogus pateikė duomenis konkrečiai įmonei, jis turi teisę gauti tuos duomenis įprastai naudojamu ir kompiuterio nuskaitomu formatu ir persiųsti tuos duomenis kad ir kitai įmonei.
O teisė būti pamirštam leis gyventojams reikalauti, kad įmonės ištrintų visą turimą informaciją, kai tik pasibaigs terminas, kuriam buvo nustatytas duomenų tvarkymas, arba atšaukiamas duotas sutikimas duomenis tvarkyti.
"Teisė būti pamirštam bus mums tam tikras iššūkis. Nes duomenys žmonių, kurie kreipiasi į savivaldybės administraciją, yra archyvuojami. Tai čia ir bus tas keblumas, kaip kiekvienu atveju įgyvendinti asmens norą būti pamirštam. Dabar teks įvertinti, ar mums tikrai reikia interesanto asmens dokumento kopijos, ir nerinkti perteklinės informacijos", – teigė Klaipėdos savivaldybės Informavimo ir e. paslaugų skyriaus vedėja Vilija Venckutė-Palaitienė.
Beje, teisė būti pamirštam nėra absoliuti. Ji negalios skolininkams, taip pat tam tikrais atvejais – sveikatos apsaugos sektoriuje, kur ligos įrašai gali būti saugomi 10, 25 ar net 50 metų.
"Tačiau kiekvienas žmogus turės teisę žinoti, kokius jo asmens duomenimis naudos, kokiais tikslais ir kaip jie bus tvarkomi. Daugumai žmonių tai nėra įdomu, bet jie turi turėti tokią teisę. Duomenų subjektai turi teisę ištaisyti ir sunaikinti savo asmens duomenis arba sustabdyti duomenų saugojimo ir tvarkymo veiksmus, jei jie tvarkomi nesilaikant teisės aktų reikalavimų", – pabrėžė advokatų profesinės bendrijos TVINS vyriausiasis teisininkas Tadas Lukošius.
Pažabos elektroninį sekimą?
Teisininkas T.Lukošius teigė, jog pertvarkos asmens duomenų apsaugos srityje prireikė ir dėl aktyvios pastarųjų dešimtmečių duomenų skaitmenizacijos.
"Per pastaruosius kelis dešimtmečius asmens duomenys ėmė cirkuliuoti elektroninėje erdvėje, tokių mastų prieš 15 metų dar nebuvo. Todėl kilo tam tikros rizikos, ir prireikė griežtesnio asmens duomenų apsaugos reguliavimo. Asmens duomenų kultūra turi keistis, negali būti tokios netvarkos", – paaiškino T.Lukošius.
Elektroninėje erdvėje duomenys renkami ir tvarkomi dideliais kiekiais, ir žmonės dažnai net nežino, kam jie yra teikiami.
Ne paslaptis ir tai, jog įeinant į bet kurį tinklalapį, interneto vartotojas yra sekamas, fiksuojama, kokios informacijos jis ieško.
Net ir mobiliosios programėlės prašo prieigos prie asmens nuotraukų, kontaktų, galimybių paskambinti, fotografuoti.
Todėl minėtas reglamentas ir yra ES bandymas šiek tiek sutvarkyti šią sritį.
Gyvenimo aprašymo slaptumas
Taisyklės įsigalios net gyvenimo aprašymo, vadinamojo CV (curriculum vitae), tvarkymui.
Dažna įmonė prieš įdarbindama darbuotojus atlieka atrankas. Tai taip pat yra asmens duomenų tvarkymas.
Todėl darbuotojų atrankos duomenys turės būti tvarkomi tik atrankos tikslais – gavus kandidatų sutikimą, tačiau saugoti šių duomenų nebus galima.
"Norėdami kandidatų anketas saugoti 3 ar 5 metus, turės gauti jų sutikimą. Jei asmuo su tuo nesutiks, jo gyvenimo aprašymą privalės ištrinti. Tačiau nereikėtų naujovių vertinti tiesmukai. Yra įstatymai, kurie numato, jog tam tikriems veiksmams atlikti reikalingi tam tikri duomenys ir nuo to niekur nepabėgsi, pavyzdžiui, banke ar "Sodroje". Tačiau žmonės turės teisę kreiptis į tą įstaigą ir pareikalauti pateikti informaciją, kaip ji tvarko to žmogaus asmens duomenis", – patikslino "Elsis IS" Informacinių sistemų saugumo skyriaus vadovas T.Stamulis.
Pokyčiams ruoštis neskuba?
Teisininkas T.Lukošius pastebėjo, kad verslininkus kol kas labiausiai domina būsimų baudos, kurios grėstų pažeidus asmens duomenų apsaugos reglamentą, bet ne tai, kaip tvarkyti turimus asmens duomenis.
"Pastebiu, kad verslas kol kas pro pirštus žiūrėdavo į tą sritį, nes blogiausiu atveju galėjo tikėtis kelių tūkstančių eurų baudos. Kalbant apie tai, kaip sekasi ruoštis reglamento taikymui, pagrindinė problema – sąmoningumo trūkumas privačiame sektoriuje, nes manoma, kad ši sritis nėra tokia svarbi", – tvirtino T.Lukošius.
Jei tas sąmoningumas neateis savaime, apie tai primins kontroliuojančios institucijos
Verslininkams vertėtų susivokti, kokie procesai, susiję su asmens duomenų tvarkymu ir saugojimu, vyksta jų versle.
"Kiekviena įmonė tvarko bent jau savo darbuotojų asmens duomenis, taip pat – savo klientų, fizinių asmenų, duomenis. Todėl pirmiausia reikėtų atlikti įmonės reviziją ir išsiaiškinti, kokius duomenis ir kokiais pagrindais juos tvarko. Ir šitas tvarkymas turės atitikti naują teisinį tų duomenų tvarkymo reguliavimą. Čia ir yra sąmoningumo elementas, kuris kol kas yra didžiausia problema. Ir jei tas sąmoningumas neateis savaime, apie tai primins kontroliuojančios institucijos", – pabrėžė T.Lukošius.
Apie tai bus aiškinama įmonių vadovams ir specialistams skirtame seminare Klaipėdoje, vasario 22 d.
Kokios baudos?
BDAR numatyta, kad duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Taigi bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.
Palyginimui šiuo metu už asmens duomenų apsaugos pažeidimus baudos, numatytos Administracinių nusižengimų kodekse, yra išties nedidelės. Baudos asmenims siekia 150–580 Eur, už pakartotinį pažeidimą 550–1200 Eur, juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–1150 Eur, už pakartotinai padarytus nusižengimus – 1100–3000 Eur.
Kam galios reglamentas?
BDAR yra taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis. Taigi, galima sakyti, kad BDAR aktualus juridiniams ir fiziniams asmenims, savo profesinėje veikloje tvarkantiems asmens duomenis.
Reikėtų atkreipti dėmesį, kad šis reglamentas netaikomas asmens duomenų tvarkymui, kai duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla ir nesusiedamas to su profesine ar komercine veikla. Tačiau net ir asmeniniais tikslais tvarkant kito asmens duomenis turi būti gerbiamas kito asmens privatumas, nes tai yra viena iš žmogaus teisių, įtvirtintų Lietuvos Respublikos Konstitucijoje.
Naujausi komentarai