Šiandieniniame skaitmeniniame pasaulyje, kuriame kiekvienas mūsų paspaudimas, pirkimas internetu ar net buvimo vieta yra fiksuojami, asmens duomenų saugumas tapo viena svarbiausių žmogaus teisių. Nors dauguma esame girdėję apie Bendrąjį duomenų apsaugos reglamentą (BDAR) ar nacionalinius įstatymus, retas kuris iš tiesų supranta, kaip šie teisiniai mechanizmai veikia praktikoje ir kokią realią galią jie suteikia paprastam vartotojui. Dažnai manoma, kad duomenų apsauga yra tik biurokratinė našta verslui, tačiau ekspertų teigimu, tai yra esminis įrankis, leidžiantis piliečiams kontroliuoti savo privatumą. Suprasti šiuos procesus būtina ne tik teisininkams, bet ir kiekvienam, kuris naudojasi išmaniuoju telefonu, socialiniais tinklais ar elektroninės bankininkystės paslaugomis.
Kas iš tikrųjų yra asmens duomenys ir kodėl juos reikia saugoti?
Daugelis žmonių klaidingai įsivaizduoja, kad asmens duomenys yra tik vardas, pavardė ir asmens kodas. Tačiau teisinis apibrėžimas yra kur kas platesnis ir apima bet kokią informaciją, pagal kurią galima tiesiogiai arba netiesiogiai identifikuoti fizinį asmenį. Tai reiškia, kad jūsų asmens duomenimis gali būti laikomi:
- Elektroniniai identifikatoriai: IP adresas, naršyklės slapukai (angl. cookies), įrenginio ID.
- Kontaktinė informacija: elektroninio pašto adresas (net jei jame nėra jūsų pavardės, bet jis naudojamas jus identifikuoti), telefono numeris.
- Biometriniai duomenys: veido atvaizdas stebėjimo kamerose, pirštų atspaudai.
- Ekonominė ir socialinė informacija: duomenys apie darbo užmokestį, sveikatos būklę, politines pažiūras ar narystę profesinėse sąjungose.
Asmens duomenų teisinės apsaugos įstatymas ir BDAR yra sukurti tam, kad užkirstų kelią piktnaudžiavimui šia informacija. Be tinkamos apsaugos, jūsų duomenys gali būti parduoti trečiosioms šalims rinkodaros tikslais, panaudoti tapatybės vagystėms arba diskriminacijai darbo rinkoje ar draudimo sektoriuje.
Pagrindiniai principai, kuriais vadovaujasi verslas ir institucijos
Ekspertai pabrėžia, kad bet kuri organizacija – ar tai būtų maža internetinė parduotuvė, ar valstybinė įstaiga – tvarkydama jūsų duomenis privalo laikytis griežtų principų. Jei šie principai pažeidžiami, tai jau yra signalas apie galimą įstatymo pažeidimą.
Pirmasis ir svarbiausias yra teisėtumo, sąžiningumo ir skaidrumo principas. Tai reiškia, kad duomenų valdytojas negali rinkti informacijos apie jus „paslapčia“. Jūs privalote būti informuoti, kokie duomenys renkami ir kokiu tikslu. Dažniausiai tai įgyvendinama per privatumo politikas ir sutikimo formas, kurias, deja, vartotojai dažnai pažymi neskaitę.
Kitas kritinis aspektas yra duomenų kiekio mažinimas. Įmonės turėtų rinkti tik tiek duomenų, kiek būtina konkrečiam tikslui pasiekti. Pavyzdžiui, jei užsisakote naujienlaiškį, įmonei reikalingas tik jūsų el. pašto adresas. Jei tuo pačiu reikalaujama nurodyti namų adresą ar telefono numerį, tai gali būti laikoma pertekliniu duomenų rinkimu ir įstatymo pažeidimu.
Jūsų teisės: nuo susipažinimo iki „teisės būti pamirštam“
Įstatymai suteikia duomenų subjektams (t.y. jums) plačias teises, kurios leidžia aktyviai valdyti savo informaciją. Ekspertai išskiria penkias pagrindines teises, kuriomis turėtų mokėti naudotis kiekvienas:
- Teisė žinoti ir susipažinti: Jūs turite teisę bet kada kreiptis į įmonę ir paklausti, ar jie tvarko jūsų duomenis, ir jei taip – paprašyti tų duomenų kopijos. Tai turi būti padaryta nemokamai.
- Teisė ištaisyti duomenis: Pastebėję, kad apie jus turima informacija yra netiksli (pvz., pasikeitė pavardė ar adresas), galite reikalauti ją atnaujinti.
- Teisė būti pamirštam (duomenų ištrynimas): Tai viena stipriausių priemonių. Jei duomenys nebėra reikalingi tikslui, kuriam buvo surinkti, arba jūs atšaukiate savo sutikimą, galite reikalauti, kad įmonė ištrintų visą informaciją apie jus. Tiesa, ši teisė nėra absoliuti (pvz., bankai privalo saugoti tam tikrus duomenis dėl pinigų plovimo prevencijos).
- Teisė apriboti duomenų tvarkymą: Galite prašyti laikinai sustabdyti jūsų duomenų naudojimą, kol, pavyzdžiui, sprendžiamas ginčas dėl duomenų tikslumo.
- Teisė į duomenų perkeliamumą: Turite teisę gauti savo duomenis susistemintu formatu ir perkelti juos kitam paslaugų teikėjui (tai ypač aktualu keičiant socialinius tinklus ar muzikos platformas).
Kaip atpažinti asmens duomenų saugumo pažeidimą?
Duomenų saugumo pažeidimas nėra tik holivudinių filmų scenarijus, kai programišiai įsilaužia į serverius. Kasdienybėje pažeidimai dažnai būna daug banalesni, tačiau ne mažiau pavojingi. Ekspertai nurodo, kad pažeidimu laikomas bet koks saugumo incidentas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, atskleidžiami asmens duomenys.
Tipiniai pavyzdžiai:
- Laiško siuntimas atviru sąrašu: Darbuotojas siunčia el. laišką šimtams klientų ir vietoj „BCC“ (nematoma kopija) naudoja „TO“ arba „CC“ laukelį, taip atskleisdamas visų gavėjų el. pašto adresus kitiems gavėjams.
- Pamesti įrenginiai: Darbo kompiuterio ar USB laikmenos, kurioje yra nesušeifruoti klientų duomenys, praradimas.
- Neteisėta prieiga: Kai darbuotojas, kuriam nepriklauso žinoti tam tikros informacijos (pvz., kolegos atlyginimo ar kliento ligos istorijos), ją peržiūri smalsumo tikslais.
- Programišių atakos: Duomenų bazių nutekėjimas, kai slaptažodžiai ir prisijungimai patenka į „juodąjį internetą“ (Dark Web).
Ką daryti įvykus pažeidimui? Žingsnis po žingsnio instrukcija
Jei įtariate, kad jūsų duomenys buvo tvarkomi neteisėtai arba įvyko saugumo incidentas, svarbu reaguoti nedelsiant. Ekspertai rekomenduoja laikytis šios veiksmų sekos:
1. Kreipkitės į duomenų valdytoją
Pirmiausia visada rekomenduojama susisiekti tiesiogiai su įmone ar organizacija, kuri tvarko jūsų duomenis. Daugelyje didelių įmonių dirba Duomenų apsaugos pareigūnas (DAP), kurio kontaktai privalo būti skelbiami viešai (dažniausiai privatumo politikos skiltyje). Pateikite raštišką užklausą ar skundą, nurodydami situaciją. Įmonė privalo atsakyti per vieną mėnesį.
2. Rinkite įrodymus
Saugokite susirašinėjimą, darykite ekrano kopijas (angl. screenshots), jei duomenys buvo paviešinti internete. Tai bus svarbu, jei ginčas persikels į kitą lygmenį.
3. Kreipkitės į Valstybinę duomenų apsaugos inspekciją (VDAI)
Jei įmonė atsisako spręsti problemą, nepateikia atsakymo per 30 dienų arba atsakymas jūsų netenkina, turite teisę pateikti skundą VDAI. Tai pagrindinė priežiūros institucija Lietuvoje. Skundą galima pateikti elektroniniu būdu. Inspekcija gali pradėti tyrimą ir, nustačiusi pažeidimą, skirti baudą ar nurodyti įmonei pakeisti savo praktiką.
4. Žalos atlyginimas
Jei dėl duomenų nutekėjimo patyrėte materialinę (pvz., pavogti pinigai) arba nematerialinę (pvz., patirtas stresas, reputacijos pablogėjimas) žalą, turite teisę kreiptis į teismą dėl kompensacijos priteisimo. BDAR numato tiesioginę duomenų valdytojo atsakomybę už padarytą žalą.
Dažniausiai užduodami klausimai (DUK)
Žemiau pateikiame atsakymus į klausimus, kurie dažniausiai kyla vartotojams susidūrus su asmens duomenų apsaugos niuansais.
Ar darbdavys gali skaityti mano darbo el. paštą?
Paprastai – ne, nebent darbuotojas buvo iš anksto aiškiai informuotas apie stebėseną ir tam yra svarbus teisėtas pagrindas (pvz., įtariamas nusikaltimas ar komercinės paslapties atskleidimas). Net ir darbo priemonėmis tvarkoma asmeninė informacija yra saugoma, o slapta stebėsena yra griežtai ribojama.
Ar vaizdo stebėjimo kameros viešose vietose nepažeidžia mano teisių?
Vaizdo stebėjimas yra leidžiamas, jei jis vykdomas saugumo tikslais (pvz., parduotuvėje vagysčių prevencijai). Tačiau apie tai privalo būti informuojama specialiais lipdukais ar ženklais, nurodančiais, kas vykdo stebėjimą. Vaizdo įrašai negali būti viešinami internete be nufilmuotų asmenų sutikimo, nebent tai padeda tirti nusikaltimą.
Ar mano telefono numeris yra asmens duomuo?
Taip. Nors pats skaičių derinys atrodo beasmenis, šiuolaikinėmis technologijomis jį labai lengva susieti su konkrečiu asmeniu. Todėl telefono numeris yra saugomas taip pat griežtai, kaip ir vardas ar pavardė.
Kiek laiko įmonė gali saugoti mano duomenis?
Duomenys negali būti saugomi ilgiau, nei tai reikalinga tikslui pasiekti. Pavyzdžiui, kandidatų į darbą CV paprastai saugomi tik atrankos metu, nebent kandidatas duoda sutikimą saugoti ilgiau. Pasibaigus terminui, duomenys privalo būti saugiai sunaikinti.
Skaitmeninė higiena kaip geriausia prevencija
Nors įstatymai ir priežiūros institucijos atlieka milžinišką darbą saugodamos mūsų privatumą, ekspertai vienbalsiai sutaria, kad geriausia apsauga prasideda nuo paties vartotojo. Teisinės priemonės dažnai veikia post factum – kai žala jau padaryta ir duomenys nutekėję. Todėl, norint išvengti ilgų teisinių procesų ir streso, būtina ugdyti asmeninę skaitmeninę higieną.
Tai apima ne tik stiprių, unikalių slaptažodžių naudojimą kiekvienai paskyrai, bet ir dviejų faktorių autentifikacijos (2FA) įjungimą visur, kur tik įmanoma. Taip pat kritiškai vertinkite, kam patikite savo duomenis: ar tikrai tai programėlei reikia prieigos prie jūsų kontaktų, mikrofono ar nuotraukų galerijos? Ar ta internetinė parduotuvė atrodo patikima? Sąmoningas elgesys internete ir atsargus požiūris į savo asmeninės informacijos dalinimąsi yra pirmoji ir efektyviausia gynybos linija, kuri papildo teisinius mechanizmus ir užtikrina, kad jūsų skaitmeninė tapatybė išliktų saugi.
