Kaskart prisijungdami prie naujos interneto svetainės, kuri prašo pateikti savo asmeninę informaciją, „Facebook“ profilio duomenis, ar pildydami naujos lojalumo kortelės anketą, mes savo asmeninius duomenis perduodame kitiems. Jie nesunkiai gali atsidurti netinkamose rankose ir staiga į savo elektroninio pašto dėžutę imame gauti „šlamštą“, reklaminius pasiūlymus ar net sulaukiame skambučių telefonu.
Net jei nedavėme sutikimo, jog duomenys būtų naudojami reklamos ar kitais tikslais, informacija gali nutekėti iš juos saugojančios įmonės. Tai gali būti padaryta specialiai arba netyčia – dėl nepakankamų saugos priemonių.
Sutinkame patys
Asmeniniai duomenys pas tuo suinteresuotus asmenis gali patekti iš įvairių šaltinių. Juos įmanoma „ištraukti“ ir iš kasdien naudojamų socialinių tinklų.
„Techniškai tai įmanoma, dažniausiai per įvairias programėles („apps‘us“). Dabar šių dalykų nebeliko, nes „Facebook“ sugriežtino keitimosi duomenimis taisykles. Užsienio tinkluose, tokiuose kaip „Vkontakte“ ir kt., kurie Lietuvoje nėra itin populiarūs, galima gauti informaciją apie vartotojus“, – pasakoja Tarptautinio saugumo klasterio vadovas Marius Pareščius. Esminė čia kylanti problema, jog šalyse, kuriose yra įregistruoti šie socialiniai tinklai, toks duomenų „perdavimas“ nėra laikomas nusikalstama veikla. Bet jų panaudojimas, pavyzdžiui, Lietuvoje, jau būtų nelegalus. Tai patektų pirmiausiai į policijos akiratį.
Registruojantis socialiniame tinkle, interneto svetainėse ar norint įsigyti parduotuvės lojalumo kortelę, reikia sutikti su tam tikromis naudojimo sąlygomis, kurias perskaito retas. Būtent jose yra aiškinama, kaip ir kam gali būti perduota jūsų asmeninė informacija.
„Pavyzdžiui, medicininė įstaiga išrašė receptą arba ligos istoriją. Prie duomenų gali prieiti ne tik ligonių kasos, bet ir kita medicininė įstaiga, kuriai reikia tų duomenų“, – pasakoja M. Pareščius. Kartais šie duomenys gali patekti ir trečiosioms šalims bei būti panaudotos marketingo tikslais.
Vis tik, kaip pažymi Valstybinės duomenų apsaugos inspekcijos (VDAI) vyr. specialistė Raminta Sinkevičiūtė-Šečkuvienė, duomenų valdytojas klientui privalo suteikti informaciją apie tai, kur ir kokiais tikslais yra naudojama jo asmeninė informacija.
Įsigyti nesudėtinga
Nors asmeninių duomenų apsaugą reglamentuoja griežti įstatymai, tačiau juos įsigyti nėra itin sudėtinga. „Anksčiau bankai pirkdavo duomenis nelegaliai apie gyventojų sodrą, kad patikrintų gyventojų kreditingumą. Dabar jie tuos duomenis gauna legaliai“, – įstatymų grimasas apibūdina M. Pareščius.
Itin pažeidžiami yra verslu užsiimančių žmonių duomenys. Mat registruojant įmonę reikia pateikti daug asmeninės informacijos, kuri dažnai yra nutekinama. „Be problemų už keliasdešimt eurų galima nusipirkti įmonių ir organizacijų katalogus. Pasiūlymus pirkti siuntinėja el. paštu, kai kurie iš karto siūlo brukalą siųsti“, – pasakoja M. Pareščius.
Panašu, jog šie duomenys į netinkamas rankas pakliūva iš „Sodros“ ir Registrų centro duomenų bazių. Iš tiesų, panašių siūlymų pirkti verslo įmonių kontaktus sulaukia ir portalas Alfa.lt, todėl atrodo, kad šia veikla užsiimantys asmenys pernelyg nesislepia.
VDAI Informacijos ir technologijų skyriaus vyr. specialistė R. Sinkevičiūtė-Šečkuvienė teigia, jog inspekcija kasmet nagrinėja vis daugiau skundų dėl asmens duomenų nutekinimo. 2016 metais tokių skundų buvo išnagrinėta 420, taip pat suteikta virš 5 tūkst. konsultacijų. Taigi, ši problema išties opi ir žmonės jai skiria vis daugiau dėmesio.
Didėjančios nuobaudos
Šiandien Lietuvoje, kaip ir visoje Europos Sąjungoje, už sąmoningą duomenų nutekinimą arba aplaidų jų saugojimą, numatytos piniginės baudos.
VDAI pateiktais duomenimis, fizinis asmuo už nelegalią veiklą gali būti nubaustas 150–580 eurų siekiančia bauda, o juridiniai asmenys – 300–1150 eurų. Už pakartotinius pažeidimus šios baudos kiek didesnės.
Nuo 2018 metų gegužės Lietuvoje įsigalios bendros ES direktyvos. Jos žada gerokai didesnes pinigines nuobaudas, kurios turėtų atgrąsyti nuo netinkamo duomenų naudojimo. Pagal jas, už įstatymų pažeidimus įmonė galės būti baudžiama 2–4 proc. metų apyvartą siekiančia bauda, arba 10–20 mln. eurų nuobauda.
Kaip pažymi M. Pareščius, iki šiol situacija ES šalyse skyrėsi nesmarkiai: „Balkanuose įstatymai kiek lengvesni, tuo tarpu, pavyzdžiui, Vokietijoje, baudos yra labai didelės, todėl visi bijo. JAV įstatymai taip pat yra itin griežti“, – apie duomenų nutekinimo tendencijas teigia specialistas.
Pagal naująją tvarką asmuo turės teisę prašyti būti „pamirštas“, t. y. kad visa su juo susijusi informacija būtų pašalinta tiek iš viešosios erdvės, tiek ir iš įvairių įmonių duomenų saugyklų.