O gal tai iš tikrųjų pamatinė žmogaus teisė? Ramūnas Žika, kibernetinio saugumo įmonių grupės „Tesonet“ rizikų valdymo vadovas, pokalbio metu atskleidė daug intriguojančių detalių apie tai, kokias teises turime internetinėje erdvėje ir kaip galima joje apsisaugoti.
– Ką reiškia sąvoka „privatumas internete“? Kaip ji susijusi su žmogaus teisėmis?
– Mano nuomone, sąvoka „privatumas internete“ pirmiausia susijusi su žinojimu, kokie asmens duomenys yra renkami, kas juos renka, kaip jie naudojami ir kokia galimybė visa tai kontroliuoti tiek, kiek leidžia technologijos. Asmens teisė į privatumą apima ir privatumą internetinėje erdvėje, ji susijusi su asmeninės informacijos saugojimu, naudojimu, teikimu tretiesiems asmenims ir pateikimu internete. Teisė į privatumą neatsiejamai susijusi su asmens duomenimis, kurie gali būti labai įvairūs (pvz., vardas, pavardė, gyvenamosios vietos adresas, atvaizdas, asmens kodas, pirštų atspaudai, akies rainelė, telefono numeris, elektroninio pašto adresas, interneto protokolo (IP) adresas, automobilio numeris ir t. t.), taip pat kita informacija (pvz., žmonių elgesys interneto svetainėse). Kai kuriais atvejais pakanka interneto svetainėje nurodyti žmogaus amžių bei adresą ir bus galima nustatyti, koks tai asmuo, net jam aiškiai neatskleidus savo vardo. Amerikoje atliktas tyrimas parodė, kad 87 proc. visų amerikiečių galima unikaliai identifikuoti naudojant tik tris duomenis: pašto kodą, gimimo datą ir lytį.
Visi mūsų pateikti duomenys interneto svetainėje turi būti saugomi duomenų valdytojų. Duomenų saugumas pažeidžiamas tada, kai asmens duomenys, už kuriuos atsako duomenų valdytojas, atsitiktinai arba neteisėtai atskleidžiami neteisėtiems gavėjams arba tokie duomenys tampa laikinai neprieinami arba pakeičiami.
Galvodami apie privatumą internete, pagalvokime apie teisę į privatumą, kai esame savo namuose. Juk tikrai nenorime, kad mūsų kaimynai nuolat stebėtų, ką darome savo patogioje ir saugioje erdvėje – namuose. Tad kyla klausimas, kodėl teisė į privatumą internete turėtų skirtis nuo privatumo namuose?
Jungtinės Tautos teigia, kad „žmonių teisės taip pat turi būti ginamos internete“, ir priduria, jog visos valstybės narės turėtų „gerbti ir saugoti teisę į privatumą skaitmeniniame bendravime“ Europos Sąjungos (ES) Bendrasis duomenų apsaugos reglamentas (BDAR) priimtas teigiant, jog duomenų privatumas yra viena pagrindinių žmogaus teisių, o verslas, kuris tvarko duomenis, turi imtis tam tikrų veiksmų, kad užtikrintų, jog jų vartotojų privati informacija yra tinkamai apsaugota ir naudojama.
– Visi žinome, kad teisę į privataus gyvenimo neliečiamumą mums garantuoja Lietuvos Konstitucija (22 straipsnis). O kas užtikrina tai, kad mūsų privataus gyvenimo detalės būtų saugios internetinėje erdvėje?
– Išskirčiau dvi svarbias šio klausimo dalis – tai asmenų teisė į privatumą ir teisė į duomenų apsaugą.
Pirmuoju atveju informacija apie mūsų privatų gyvenimą gali būti skelbiama viešojoje erdvėje (įskaitant ir internetą) tik su mūsų sutikimu (su tam tikromis išimtimis), kartu ši teisė apima ir kitus dalykus (pavyzdžiui, teisę, kad kaimynas nestebėtų manęs pro langą, kai esu savo namuose), todėl įstatymai siekia apsaugoti nuo neteisėtų trečiųjų asmenų veiksmų prieš mus (informacijos rinkimo, saugojimo, skelbimo ir kt.). Teisė į privatumą yra daug platesnė nei teisė į duomenų apsaugą. Privatumas apima ir tai, ką asmenys, kurie legaliai surinko duomenis apie mane, gali su tais duomenimis daryti. Antru atveju susiduriame su situacija, kai informacija apie mus yra renkama ir saugoma trečiųjų asmenų (paslaugų teikėjų, pardavėjų ir pan.).
Pastaruoju atveju asmenys, kuriems tokia asmeninė informacija buvo pateikta, turi pareigą tinkamai saugoti mūsų pateiktus duomenis.
2018 m. pabaigoje Valstybinė duomenų apsaugos inspekcija atliko Lietuvos gyventojų tyrimą, kad išsiaiškintų, ką mūsų šalies žmonės žino apie asmens duomenų apsaugą. Tyrimo duomenimis, daugiau kaip du trečdaliai apklausos dalyvių žinojo apie BDAR, o dėl netinkamo asmens duomenų tvarkymo daugiausia žmonių kreiptųsi į Valstybinę duomenų apsaugos inspekciją. Į klausimą „Ar Jūs žinote apie įstatymų Jums suteiktas teises ir nustatytas pareigas asmens duomenų apsaugos srityje?“ 68 proc. respondentų atsakė, kad žino ar mano, jog žino. 2016 m. šis rodiklis siekė 35 proc., tad lyginant 2016-ųjų ir 2018-ųjų tyrimų duomenis matyti, jog kone dvigubai padaugėjo žmonių, žinančių apie savo teises ir pareigas asmens duomenų apsaugos srityje. Apie suteiktas teises ir nustatytas pareigas daugiau žino 36–55 metų Lietuvos gyventojai.
– Kas privatumui internete kelia didžiausią grėsmę, ar tikrai nesiregistravimas interneto svetainėse yra išeitis siekiant apsisaugoti? Kaip išvengti šių grėsmių?
– Turbūt visiems žinoma situacija, kai neskaitydami sąlygų spaudžiame mygtuką „Sutinku“, be jokių dvejonių socialiniuose tinkluose dalijamės gražiausiomis atostogų akimirkomis, o gavę iš pažiūros rimtai atrodantį elektroninį laišką jį atidarome. Iš tiesų dauguma žmonių papuola į tokias situacijas, tačiau turėtume stengtis išvengti šių blogų įpročių. Internete yra begalė būdų, kaip pakliūti į bėdą, tačiau norėčiau atkreipti dėmesį į 3 dažniausiai pasitaikančias grėsmes ir aptarti, kaip jų išvengti.
Atsidarę neaiškias elektroninių laiškų nuorodas galite pakliūti į duomenų vagių rankas. Duomenų vagystė (angl. phishing) – tai tokia sukčiavimo forma prieš organizacijas ar privačius asmenis, kai pasinaudojant nepageidaujamomis elektroninio pašto žinutėmis ar falsifikuotais interneto tinklalapiais siekiama išgauti prisijungimo prie informacinių sistemų slaptažodžius ar kitus konfidencialius duomenis. Dažniausiai tokio pobūdžio atakos būna nukreiptos prieš bankų klientus, siekiant sužinoti jų prisijungimo prie elektroninės bankininkystės sistemų slaptažodžius ar kreditinių kortelių duomenis.
Kaip apsisaugoti? Labai atidžiai įvertinkite laiškus, kuriuose prašoma pateikti konfidencialią informaciją. Žinokite, kad patikimos bendrovės, o ypač bankai, niekada neprašo tokios informacijos pateikti elektroninio pašto laiškais. Jeigu visgi nusprendėte „prisijungti“, padarykite tai atskirame naršyklės lange, rankiniu būdu įvesdami savo elektroninės bankininkystės sistemos adresą, kuriuo lankotės įprastai (t. y. ne tą, kuris pateikiamas el. laiške). Nerašykite svarbios informacijos į iššokančius (pop-up) langus.
Atsisiųsti nemokamus piratinius filmus, žaidimus ir programas – vienas iš paprasčiausių būdų gauti į savo įrenginį kenkėjiškas programas. Būkite labai atsargūs svetainėse, kuriomis nepasitikite, arba dar geriau – visai ten neikite.
Nepamirškite savo saugumo socialiniuose tinkluose. Viešai skelbdami daug asmeninės informacijos leidžiame nustatyti dažnai lankomas vietas ar net gyvenamosios vietos adresą. Pasipuikavę naujais daiktais ir kelionių planais, galite sulaukti ne tik sukčių, bet ir vagių dėmesio.
– Atvėrus interneto svetainę iššoka langas su prašymu patvirtinti Cookies. Kas yra vadinamieji Cookies (slapukai)? Ar tai siejama su informacijos rinkimu apie mus?
– Dažnai interneto tinklalapiuose iškyla langas su klausimu „Ar sutinkate, kad į jūsų kompiuterį būtų įrašyti slapukai? Jeigu sutinkate, spauskite „Taip“, jeigu nesutinkate, spauskite „Ne“.“ Slapukas (angl. Cookies) – tai nedidelė teksto rinkmena, kurią svetainė išsaugo jūsų kompiuteryje arba mobiliajame įrenginyje, kai joje apsilankote. Slapukai taip pat išsaugo duomenis apie jūsų naršymo įpročius: atsimenama apsilankymo trukmė, atversti puslapiai, pageidaujama tinklalapio kalba, šriftų dydis ir kiti nustatymai. Todėl kitas apsilankymas svetainėje gali būti paprastesnis, greitesnis ir efektyvesnis.
Pradėtas taikyti BDAR atitinkamai sugriežtino slapukų naudojimo politiką. Pagal BDAR, dabar verslas privalo informuoti savo svetainių lankytojus apie jų naršymo informacijos rinkimą ir galimybę pasirinkti, ar sutinka šią informaciją teikti.
Nusprendus atsisakyti slapukų galima sulaukti nesklandumų. Jų atsisakyti galima pakoregavus interneto naršyklės nustatymus ir ištrynus kompiuteryje esančius slapukus, tačiau interneto svetainėse perspėjama, jog ištrynus slapukus gali sutrikti tinklalapio veikla arba neveikti kai kurios funkcijos. Svarbu paminėti, jog slapukai gali būti naudingi ne tik juos įdiegusiems asmenims, bet ir patiems vartotojams. Jie gali padėti greičiau ir lengviau rasti ieškomą informaciją, sužinoti apie panašias prekes ir paslaugas bei gauti konkrečiam vartotojui pritaikytus skelbimus. Vartotojui nebereikia gaišti laiko, nes visa susijusi informacija jam pateikiama automatiškai. Taigi vartotojas, nenorintis leisti rinkti savo asmens duomenis, turi apsispręsti, kas jam svarbiau – anonimiškumas naršant internete ar sklandus interneto svetainės veikimas. Tokioje situacijoje atsidūręs dažnas vartotojas nesijaučia gerai, nes, nedavęs sutikimo kaupti savo asmens duomenis, jis negauna tam tikrų pasiūlymų.
Svarbu žinoti, kad daugelio naršyklių naudotojai gali patys pasižiūrėti, kokie slapukai yra jų kompiuteriuose. Juos galima bet kada ištrinti visus ar po vieną arba nurodyti naršyti tam tikrose svetainėse anonimiškai. Dėl slapukų internetas tapo daug patogesnis naršyti: galima greičiau ir lengviau rasti ieškomą informaciją, laiko sutaupoma dar ir dėl to, kad svetainės automatiškai susieja mus dominančius dalykus. Tad vartotojui belieka pasirinkti, kas jam svarbiau – anonimiškumas naršant ar sklandesnis ir patogesnis naudojimasis internetu.
– Ar žmogus apskritai turi teisę žinoti ir paklausti apie tai, kas atsitinka su ta informacija, kur ji saugoma, kam naudojama, su kuo ja keičiamasi ir pan.?
– Visais atvejais – taip. ES duomenų apsaugos taisyklėmis užtikrinama asmens duomenų apsauga juos renkant, tvarkant ir naudojant. Kad ir kokiu būdu duomenys būtų renkami – internetu kompiuterinėje sistemoje ar popieriniame dokumente, visais atvejais, kai saugoma arba tvarkoma informacija, kuria remiantis gali būti tiesiogiai ar netiesiogiai nustatoma asmens tapatybė, turi būti paisoma duomenų apsaugos teisių.
Pagal BDAR, asmens duomenų apsaugos srityje turime tokias teises:
• gauti informaciją apie savo asmens duomenų tvarkymą;
• susipažinti su savo asmens duomenimis, kurie yra saugomi;
• prašyti ištaisyti neteisingus, netikslius ar neišsamius asmens duomenis;
• prašyti ištrinti (teisė „būti pamirštam“) asmens duomenis, kurių nebereikia arba kurie tvarkomi neteisėtai;
• nesutikti, kad asmens duomenys būtų tvarkomi rinkodaros tikslais, arba nesutikti, jog būtų tvarkomi bet kokie su konkrečiu atveju susiję asmens duomenys;
• prašyti konkrečiais atvejais apriboti savo asmens duomenų tvarkymą;
• gauti savo asmens duomenis kompiuterio skaitomu formatu ir persiųsti juos kitam duomenų valdytojui („duomenų perkeliamumas“);
• prašyti, kad automatizuotu duomenų tvarkymu grindžiamus sprendimus, kurie susiję su mumis arba turi mums reikšmingos įtakos ir yra pagrįsti asmens duomenimis, priimtų fiziniai asmenys, o ne tik kompiuteriai.
Tokiu atveju taip pat turime teisę išreikšti savo nuomonę ir ginčyti sprendimą.
Jeigu manote, kad jūsų duomenų apsaugos teisių nebuvo paisoma, galite tiesiogiai savo nacionalinei duomenų apsaugos institucijai pateikti skundą arba kreiptis į teismą.
– ES šalyse narėse galioja BDAR taisyklės. Kokia situacija kitose didžiosiose valstybėse – Jungtinėse Amerikos Valstijose ( JAV), Kinijoje?
– ES galioja vienos griežčiausių duomenų privatumo taisyklių. JAV neturi nei BDAR atitikmens, nei bendro „asmens duomenų“ apibrėžimo – ši sąvoka kiekvienoje valstijoje (ar net valstijos viduje) interpretuojama skirtingai. Federaliniu lygiu numatytos tam tikros pareigos bendrovėms, tvarkančioms finansinius duomenis, taip pat duomenis, susijusius su sveikata, ir vaikų asmens duomenis. Kai kurios valstijos, pavyzdžiui, Kalifornija, saugo privatumą skaitmeninėje erdvėje. Atsižvelgiant į daugybę skirtingų teisės aktų ir tai, kad juos taiko įvairios priežiūros institucijos, JAV gerokai sudėtingiau užtikrinti vienodą teisės taikymo praktiką.
– Saugus naršymas. Su kokiais įrankiais galėtų susipažinti ir pradėti naudotis paprastas pradedantysis vartotojas, kad apsaugotų savo duomenis internete?
– Apie saugų naršymą reikėtų galvoti nuolat, todėl jei norite apsunkinti įsilaužėliams galimybes prisijungti prie jūsų paskyros, galite naudoti kelis kiekvienam prieinamus įrankius.
Naudokite virtualų privatų tinklą (VPN). Tai svarbus ir dažnai nepastebimas tiek įrenginių, tiek asmeninių duomenų gynybos nuo grėsmių būdas. VPN yra ryšio metodas, taikomas siekiant padidinti saugumą ir privatumą naudojant privačius ir viešuosius tinklus, įskaitant WiFi viešąsias interneto prieigos vietas ir asmeninius interneto prisijungimus. Kai naudojatės virtualiuoju privačiu tinklu, galite būti tikri, kad Jūsų IP adresas bus privatus, nes jis bus pakeistas VPN teikėjo IP adresu. Tai tarsi privatus tunelis nuo kompiuterio iki interneto, kuris yra saugus ir užšifruotas. Jei dažnai naudojatės viešaisiais WiFi tinklais, labai pravartu įsidiegti VPN ir jį nuolatos naudoti, jungiantis prie viešojo belaidžio ryšio tinklo.
Nepamirškite antivirusinės programos. Legali ir laiku atnaujinta antivirusinė programa turi būti privaloma kiekviename kompiuteryje, norint jį apsaugoti nuo įvairių kenkėjiško pobūdžio negandų. Nepakanka vien tik įdiegti antivirusinę programą – reikėtų reguliariai profilaktiškai skenuoti visas kompiuterio bylas ir laiku aptikti kenkėjiškas programas, jeigu joms kažkaip pavyko prasmukti pro visas naudojamas apsaugas.
Atnaujinkite programinę įrangą. Programinės įrangos atnaujinimai atlieka daug įvairių funkcijų. Jie gali ištaisyti programines klaidas, pagerinti programinės įrangos veikimą ar pridėti naujų funkcijų. Jie taip pat apsaugo jūsų duomenis nuo kibernetinių nusikaltėlių, kurie ieško programinės įrangos trūkumų, kad pakenktų jūsų įrenginiui.
Nebijokite dvigubos vartotojo autorizacijos. Kai kurios sistemos, pavyzdžiui, elektroninė bankininkystė, taiko dvigubą vartotojo autorizacijos algoritmą. Jungiantis prie tokios sistemos, pirmiausia prašoma įvesti nuolatinį slaptažodį, o tuomet pereinama prie antrojo apsaugos lygio – prašoma įvesti kintamą slaptažodį, kuris būna užrašytas slaptažodžių kortelėje, kodų generatoriuje ar atsiunčiamas SMS žinute.
Tokia prisijungimo sistema yra sudėtingesnė nei įprastinė ir užtrunka daugiau laiko, tačiau yra nepalyginamai saugesnė. Mat piktavaliams nepakanka sužinoti nuolatinio prisijungimo slaptažodį: dar reikia įveikti ir antrąją apsaugos pakopą, o tai nėra labai paprasta. Deja, dviguba vartotojo autorizacija naudojama labai retai – dažniausiai tik jungiantis prie elektroninių banko paslaugų. Vis dėlto dvigubą autorizaciją siūlo ir kitos interneto tarnybos, pavyzdžiui, populiarusis „Gmail“.