Kas yra asmens duomenys ir kodėl svarbu juos saugoti?

Posted on

Šiuolaikiniame skaitmeniniame pasaulyje mūsų kasdienybė yra neatsiejamai susijusi su duomenų mainais. Kiekvienas paspaudimas internete, apsišopirkimas el. parduotuvėje ar net paprastas registravimasis naujoje programėlėje palieka pėdsaką, kuris vadinamas asmens duomenimis. Nors dažnai šiuos duomenis atiduodame net nesusimąstydami, svarbu suprasti, kad tai yra itin vertingas mūsų privatumo turtas. Supratimas apie tai, kas tiksliai yra šie duomenys ir kaip jie yra saugomi, nebėra tik IT specialistų ar teisininkų sritis – tai esminis skaitmeninio raštingumo įgūdis, būtinas kiekvienam piliečiui, norinčiam apsisaugoti nuo sukčiavimo, tapatybės vagysčių ar manipuliacijų.

Kas tiksliai yra asmens duomenys?

Asmens duomenys – tai bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybę galima nustatyti tiesiogiai arba netiesiogiai. Tai nėra tik mūsų vardas ar pavardė. Ši sąvoka yra kur kas platesnė ir apima įvairius identifikatorius, leidžiančius „sujungti“ informaciją su konkrečiu žmogumi. Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR) šiuos duomenis klasifikuoja gana plačiai.

Asmens duomenis galima suskirstyti į kelias pagrindines kategorijas:

  • Tiesioginiai identifikatoriai: Tai informacija, kuri iškart pasako, kas jūs esate. Tai vardas, pavardė, asmens kodas, paso ar tapatybės kortelės numeris, telefono numeris, el. pašto adresas.
  • Netiesioginiai identifikatoriai: Tai duomenys, kurie patys savaime ne visada atskleidžia tapatybę, tačiau kartu su kitais duomenimis leidžia identifikuoti asmenį. Tai IP adresai, slapukai (cookies), automobilio valstybiniai numeriai, geografinės vietos duomenys (GPS), banko sąskaitų numeriai ar net naršymo istorija.
  • Specialių kategorijų asmens duomenys (jautrūs duomenys): Tai informacija, reikalaujanti ypatingos apsaugos, nes jos nutekėjimas gali padaryti didelę žalą asmens privatumui ar sukelti diskriminaciją. Tai rasinė ar etninė kilmė, politinės pažiūros, religiniai ar filosofiniai įsitikinimai, narystė profesinėse sąjungose, genetiniai ir biometriniai duomenys, duomenys apie sveikatą bei seksualinį gyvenimą ar orientaciją.

Svarbu suprasti, kad net ir „nekalta“ informacija, pavyzdžiui, jūsų pomėgiai ar lankymosi kavinėse istorija, surinkta dideliais kiekiais, gali sudaryti išsamų jūsų profilį, kurį verslo įmonės naudoja tikslinei reklamai ar net elgesio modeliavimui.

Kodėl duomenų saugojimas yra toks svarbus?

Duomenų saugojimas – tai ne tik techninis serverių ir užkardų klausimas. Tai pasitikėjimo, etikos ir saugumo pamatas. Kai organizacija renka jūsų duomenis, ji tampa atsakinga už jų saugumą. Jei duomenys nėra saugomi tinkamai, kyla keletas kritinių rizikų:

  1. Tapatybės vagystės rizika: Piktavaliams gavus prieigą prie jūsų asmens kodo, paso kopijos ar kitų duomenų, jie gali jūsų vardu imti greituosius kreditus, sudaryti sutartis ar vykdyti neteisėtą veiklą.
  2. Finansiniai nuostoliai: Nutekėję mokėjimo kortelių duomenys arba prisijungimo prie elektroninės bankininkystės informacija gali leisti sukčiams tiesiogiai pasisavinti jūsų lėšas.
  3. Šantažas ir kibernetinės atakos: Jautrių duomenų, pavyzdžiui, sveikatos įrašų ar privačių susirašinėjimų, nutekėjimas gali būti naudojamas šantažui ar reputacijos griovimui.
  4. Nepageidaujama sekimo ir manipuliacijos kampanija: Surinkus pakankamai duomenų apie jūsų nuostatas, įmonės gali manipuliuoti jūsų sprendimais – nuo pirkinių el. parduotuvėse iki politinių pažiūrų formavimo naudojant „algoritminius burbulus“.

Atsakingos organizacijos privalo vadovautis duomenų minimalizavimo principu – rinkti tik tą informaciją, kuri yra būtina paslaugai suteikti, ir ją saugoti tik tol, kol to reikia. Tai vienas iš kertinių saugumo principų.

Kaip duomenys turėtų būti saugomi techniškai ir organizaciškai

Duomenų apsauga yra kompleksinis procesas, apimantis tiek technines priemones, tiek žmonių elgseną. Organizacijos, kurios rimtai žiūri į asmens duomenų saugumą, naudoja šias priemones:

Techninės apsaugos priemonės

Technologinis saugumas yra pirmasis barjeras, stabdantis kibernetinius nusikaltėlius. Tai apima:

  • Šifravimas: Tai pats svarbiausias duomenų saugojimo metodas. Net jei piktavaliams pavyktų pavogti duomenų bazę, be šifravimo rakto jie matytų tik beprasmių simbolių rinkinį. Duomenys turi būti šifruojami tiek saugomi (serveriuose), tiek perduodami (internetu).
  • Prieigos kontrolė: Ne kiekvienas darbuotojas turi turėti prieigą prie visų duomenų. Turi būti taikomas „mažiausių privilegijų“ principas – prieiga suteikiama tik tiems asmenims, kuriems tai būtina darbui atlikti.
  • Atsarginės kopijos (backups): Reguliarus duomenų kopijavimas užtikrina, kad įvykus sistemų gedimui ar atakoms (pvz., užšifravus duomenis išpirkos reikalaujančiais virusais), informacija nebus prarasta visam laikui.
  • Reguliarūs saugumo auditai: Sistemų testavimas imituojant įsilaužimus padeda rasti spragas, kol jomis nepasinaudojo tikri nusikėlėliai.

Organizacinės priemonės

Net ir geriausia techninė įranga nepadės, jei darbuotojai nebus apmokyti. Organizacijos privalo:

  • Darbuotojų švietimas: Reguliarios mokymų programos apie sukčiavimo (phishing) atpažinimą, saugų elgesį su slaptažodžiais ir konfidencialumo svarbą.
  • Privatumo politika: Aiškus dokumentas, kuriame vartotojas informuojamas, kokie duomenys renkami, kodėl jie renkami ir kas su jais daroma. Tai turi būti pateikta paprasta, suprantama kalba.
  • Duomenų tvarkymo sutartys: Jei įmonė naudojasi trečiųjų šalių paslaugomis (pvz., debesų kompiuterijos tiekėjais), ji privalo užtikrinti, kad ir šie partneriai laikosi griežtų saugumo reikalavimų.

Ką daryti vartotojui: jūsų teisių užtikrinimas

Svarbu ne tik žinoti, kaip organizacijos saugo duomenis, bet ir suprasti savo, kaip duomenų subjekto, teises. BDAR suteikia vartotojams galingus įrankius kontroliuoti savo informaciją:

  • Teisė būti informuotam: Jūs turite teisę žinoti, kas renka jūsų duomenis, kokiu tikslu ir kiek laiko jie bus saugomi.
  • Teisė susipažinti su duomenimis: Galite bet kada paprašyti įmonės pateikti visus turimus jūsų duomenis.
  • Teisė ištaisyti duomenis: Jei informacija apie jus yra netiksli, įmonė privalo ją pataisyti.
  • Teisė „būti pamirštam“ (ištrinti duomenis): Esant tam tikroms sąlygoms, turite teisę reikalauti, kad jūsų duomenys būtų ištrinti.
  • Teisė apriboti duomenų tvarkymą: Galite reikalauti sustabdyti jūsų duomenų tvarkymą, jei abejojate jų tikslumu ar teisėtumu.
  • Teisė į duomenų perkeliamumą: Galite prašyti gauti savo duomenis struktūrizuotu formatu, kad galėtumėte juos perduoti kitam paslaugų teikėjui.

Jei manote, kad jūsų duomenys tvarkomi neteisėtai arba įmonė nereaguoja į jūsų prašymus, visada galite kreiptis į Valstybinę duomenų apsaugos inspekciją (VDAI) Lietuvoje.

Dažniausiai užduodami klausimai (FAQ)

Kuo skiriasi asmens duomenų saugojimas nuo jų tvarkymo?

Duomenų tvarkymas yra labai plati sąvoka, apimanti bet kokį veiksmą su duomenimis: rinkimą, įrašymą, sisteminimą, saugojimą, keitimą, naudojimą, atskleidimą, naikinimą. Saugojimas yra tik viena iš duomenų tvarkymo stadijų. Tai reiškia, kad įmonė ne tik saugo jūsų duomenis, bet ir atlieka su jais kitus veiksmus, kurie turi atitikti teisėtumo principus.

Ar tikrai verta nerimauti dėl slapukų (cookies)?

Dalis slapukų yra būtini techniniam svetainės veikimui (pvz., kad įsimintų, ką įsidėjote į krepšelį). Tačiau kiti – rinkodaros ar sekimo slapukai – renka informaciją apie jūsų elgseną visame internete, kad vėliau galėtų rodyti tikslinę reklamą. Nors tai tiesiogiai „ne pavojinga“, tai yra jūsų privatumo ribų peržengimas, todėl visada rekomenduojama peržiūrėti svetainių nustatymus ir atsisakyti nebūtinų slapukų.

Ką daryti, jei sužinojau apie duomenų nutekėjimą iš paslaugos, kuria naudojuosi?

Pirmiausia, nesupanikuokite. Jei įmanoma, nedelsdami pakeiskite slaptažodį toje platformoje ir visose kitose, kuriose naudojote tą patį slaptažodį (visada rekomenduojama naudoti skirtingus slaptažodžius). Įjunkite dviejų veiksnių autentifikaciją (2FA). Stebėkite savo banko sąskaitų operacijas ir el. paštą dėl įtartinų laiškų, kurie gali būti bandymai išvilioti dar daugiau informacijos.

Kaip suprasti, ar įmonė saugiai tvarko mano duomenis?

Atkreipkite dėmesį į jų privatumo politiką. Ar ji parašyta aiškiai? Ar joje nurodyti kontaktai, kur kreiptis dėl duomenų? Ar svetainė naudoja saugų HTTPS ryšį (adresas prasideda spyna ir https://)? Jei įmonė renka perteklinius duomenis, pavyzdžiui, prašo asmens kodo, kai to visai nereikia paslaugai suteikti – tai įspėjamasis signalas.

Atsakingas skaitmeninis elgesys kasdieniame gyvenime

Kuo daugiau esame prisijungę, tuo daugiau atsakomybės tenka mums patiems. Techninės priemonės, kurias naudoja įmonės, yra svarbios, tačiau mūsų asmeninis budrumas yra ne ką mažiau reikšmingas. Saugus elgesys internete turėtų tapti įpročiu: niekada nenaudokite to paties slaptažodžio keliose svetainėse, naudokite slaptažodžių tvarkykles, visada įjunkite dviejų veiksnių autentifikaciją, kur tik įmanoma, ir būkite itin kritiški prašymams atskleisti asmeninę informaciją el. paštu ar telefonu. Supratimas, kad jūsų duomenys yra vertybė, yra pirmas žingsnis link saugesnės skaitmeninės ateities.