Duomenys prarandami ar nutekinami dėl skirtingų priežasčių. Nuolat tobulėjantys profesionalūs programišiai tokias rizikas tik padidina – incidentų nutinka įvairiose srityse: nuo draudimo kompanijų, sveikatos apsaugos įmonių, bankų, iki prekybos įmonių. Informacijos jautrumas taip pat labai skiriasi, nes dalis informacijos pati savaime yra „jautri“ (bankiniai duomenys, nuotraukos ir kt.). Kita informacija gali būti mažiau svarbi, bet atitinkamai panaudojus gali tapti nusikaltimo prielaida. Pavyzdžiui, laiškas iš jūsų el. pašto, kad birželio 15 d. išvykstate ir namuose 3 dienas nieko nebus – labai įdomi informacija vagims.
Pasitaiko, kad yra pavagiami tik informacijos fragmentai, bet juos tinkamai sudėliojus galima gauti ypač nemalonius rezultatus. Labai skirtingi ir pavogtos informacijos kiekiai, bet pasitaiko ir įspūdingų. Pavyzdžiui, 2016 m. „Yahoo“ duomenų vagystės metu buvo prarasta virš 1 mlrd. vartotojų prieigų duomenų. Gal tarp pavogtųjų buvo ir jūsų duomenys? Kur nors kreipėtės? Ne? Kodėl?
Piniginių kompensacijų – nedaug
Asmens duomenų apsaugos reguliavimas Europoje, palyginus su visu pasauliu, stipriai pirmauja. Kitos valstybės, tarp kurių ir JAV, derinasi prie Europos reguliavimo. Tai, kad asmens duomenų apsaugos klausimas yra itin svarbus rodo ir tai, kad jis reguliuojamas ir Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijoje, o Europos Žmogaus Teisių Teismas nustatė, kad asmens duomenų apsauga yra pamatinė sąlyga asmens privataus ir šeimos gyvenimo gerbimui. Analogiškus principus nustato ir mūsų Konstitucija, kiti teisės norminiai aktai.
Kadangi Europa yra lyderė asmens duomenų apsaugos srityje, asmuo, kuris mano, kad jo teisės pažeistos, gali jas ginti kreipdamasis į atitinkamą priežiūros instituciją ar teismą. Bet atvejų, kai Lietuvoje programišiams pavogus ir paviešinus duomenis, asmuo, kurio duomenys buvo pavogti, prisiteisė piniginę kompensaciją – nedaug.
Tokių teisių gynimo procedūros yra specifinės, nes kartais jos susijusios ir su intymiu, asmeninių duomenų viešu aptarimu ir nagrinėjimu. Be to, galimos išieškoti sumos nėra itin didelės, o bylos, priklausomai nuo jų sudėtingumo ir instancijų kiekio, gali trukti ir kelerius metus. Reikėtų nepamiršti ir žalos atlyginimui skirto ieškinio senaties termino – jis yra treji metai.
Nėra dvasinių išgyvenimų kainininko
Neturtinės žalos atlyginimui svarbu ne pavogtų duomenų kiekis, o kiek paviešinti asmens duomenys jus neigiamai paveikė ir sukėlė kitų nepatogumų. Neabejotina, kad teismas negali tiksliai nustatyti neturtinės žalos dydžio. Neįmanoma įkainoti konkrečių dvasinių išgyvenimų ar tikslios pažeminimo kainos – tiesiog nėra tokio kainininko. Teismai stengiasi kiek įmanoma teisingiau kompensuoti nukentėjusiojo patirtą skausmą, nepatogumus, išgyvenimus ir kt. Teismų praktika neturtinės žalos dydžio nustatymo srityje skiriasi, tačiau vienodėja, o konkrečią sumą teismas nustato atsižvelgdamas į tam tikrus kriterijus (žalos sukeltas pasekmes, kaltę ir kt.). Vidutiniškai galima orientuotis į tūkstantį ar kelis tūkstančius eurų.
Atsakingas duomenų tvarkymas – kasdienė užduotis
Kas atsakingas už nutekintą informaciją išsiaiškinama tyrimo metu ir tai priklauso nuo konkrečių aplinkybių. Duomenų valdytojams įstatymai numato griežtus asmens duomenų apsaugos reikalavimus, jų privalu laikytis, tačiau labai svarbu suprasti, kad „nenulaužiamų“ sistemų nėra. Net ir tuo atveju, kai įmonė ėmėsi visų reikiamų veiksmų, siekiant užtikrinti pagrindinius elektroninės informacijos saugos aspektus, ji gali nesugebėti atremti kibernetinių įsilaužėlių, kadangi elektroniniai nusikaltėliai tampa vis labiau kvalifikuoti, įsibraunama net į rimčiausių specialiųjų tarnybų duomenų bazes.
Siekiant tinkamai įgyvendinti asmens duomenų apsaugą, ši sritis turi tapti kasdienine ir prioritetine įmonės veiklos dalimi. Tuo tarpu dabar neretai asmens duomenų apsaugai ypatingą dėmesį skiria tik įmonės, kurios tvarko didelius kiekius asmens duomenų (pavyzdžiui, bankai, elektroninio ryšio paslaugų teikėjai ir kt.). Dabartinis teisinis reguliavimas numato privalomą duomenų valdytojų registraciją, tačiau būsimas (nuo 2018 m.) reguliavimas tokios pareigos nebenumato – jis orientuotas į griežtesnius reikalavimus.
Akcentuodami techninių duomenų apsaugos priemonių svarbą, pamirštame ir žmogiškąjį faktorių. Būtina suprasti, kad nemaža dalis grėsmių asmens duomenų saugumui kyla ne dėl turimų ir naudojamų techninių duomenų apsaugos priemonių, o būtent dėl „minkštųjų“ priemonių.
Įgyvendinant duomenų apsaugos priemones galima naudotis ir vidiniais, ir išoriniais resursais. Pavyzdžiui, įmonės, įsigydamos tokias asmens duomenų tvarkymo paslaugas kaip duomenų saugojimas ar informacinės sistemos priežiūra, retai susimąsto apie tai, kokius specifinius reikalavimus tokia įmonė turi atitikti ir pasitiki tos srities profesionalais.
Jau 2018 m. pradžioje įsigalios ES Bendrasis duomenų apsaugos reglamentas, kuris reikš naują etapą asmens duomenų apsaugos srityje. Reikia tikėtis, kad tiek privataus, tiek viešojo sektoriaus įmonių dėmesys bus sutelktas ne tik į technines apsaugos priemones, bet ir į švietimą duomenų apsaugos srityje: kaip teisėtai tvarkyti asmens duomenis ir kokių priemonių imtis, kai į tavo įmonės duris pasibeldė kibernetinis nusikaltėlis. Tai iš esmės turėtų prisidėti prie teigiamų pokyčių ir labiau apsaugoti duomenų subjektus.
