Asmens duomenų teisinė apsauga

by

Įvadas

Paskutinis dešimtmetis pasižymi dinamiškais pokyčiais. Kinta žmonių gyvenimo stilius. Didėja konkurencija. Smarkiai kinta rinkos: pasiūlos ir paklausos rinkos tampa globaliomis. Milžiniškais šuoliais plėtojasi informacinės technologijos ir nuotoliniai ryšiai. Ryšys tarp šių dviejų tendencijų tiesioginis – informacinių technologijų ir nuotolinių ryšių plėtra skatina globalizavimo procesus, ir atvirkščiai. XX amžiaus antrojoje pusėje prasidėjusi informacinė revoliucija kardinaliai keičia visuomenės gyvenimą. Pasaulis įžengė į informacijos amžių, kuriame pagrindinį vaidmenį vaidina žinios. Sparčiai formuojasi informacinė visuomenė. Tai yra išsilavinusi, nuolat besimokanti, savo veiklą grindžianti informacija ir žiniomis bei plačiai naudojanti informacinių technologijų ir nuotolinių ryšių teikiamomis galimybėmis visuomenė. Vis daugiau žmonių, dirbdami savo kasdienį darbą, naudojasi kompiuteriais, internetu ir nuotoliniais ryšiais. Jie rašo ir gauna elektroninius laiškus, dalyvauja internetinėse konferencijose ir t.t. Jau įprasta apsipirkti internetinėse parduotuvėse. Tai tampa žmonių kasdienybe. Daugelis žmonių (to net neįvardydami) savo darbus atlieka nejučiomis susibūrę į virtualias grupes ar organizacijas.

Informacija tampa ypatingai kone gyvybiškai svarbi ir vertinama. Tačiau iškyla informacijos saugumo problemos, kurios pamažu tampa vienu iš labai rimtų stabdžių tolimesniam informacinių technologijų vystymuisi ir ypač taikymui. Kompiuterinės informacijos saugumą gali pažeisti žmonės, aplinkos ir gamtos keliami pavojai. Tačiau didžiausią pavojų kelia žmonės, kurie kompiuterinės informacijos saugumą gali pažeisti tyčia arba dėl neatsargumo. Nemažą grėsmę kompiuterinės informacijos saugumai kelia kompiuteriniai nusikaltėliai.

Su informacijos saugumo problemomis susiduria daugelis – tiek dirbantieji viešąjame, tiek privačiame sektoriuje, tiek įmonių vadovai, tiek eiliniai darbuotojai. Priklausomai nuo įstaigos ar organizacijos veiklos, jos tikslų ir kitų dalykų, susiduriama su skirtingomis informacijos saugumo problemomis, dėl įvairių priežasčių tos problemos kyla, skirtingais būdais jos ir sprendžiamos. Viešąjame sektoriuje, skirtingai negu privačiąjame, informacijos sauga – įstatymais ir kitais teisiniais aktais stipriai reglamentuota sritis, todėl valstybės institucijose ar kitose viešosiose organizacijose dirbantieji yra įpareigoti saugoti informacinį turtą. Privataus sektoriaus atstovai informacijos sauga rūpinasi dėl kitų priežasčių – pirmiausia dėl to, kad konfidenciali ir saugi įmonės informacija, komercinės paslaptys užtikrina geras pozicijas konkurencinėje kovoje, o apsisaugojimas nuo informacijos incidentų padeda išvengti finansinių nuostolių ar dar sunkesnių padarinių – įmonių bankrotų.

KodĖl reikia saugoti informaciją?

Žvelgiant į informacijos saugumo problemos istoriografiją aišku, kad ši problema buvo aktuali ir seniau, ji egzistavo ir „senose“ telekomunikacinėse sistemose – telegrafo, telefono, radijo ryšio. Tačiau plintant elektroniniams ryšiams ir perkeliant didžiąją dalį informacijos į kompiuterių tinklus ji įgavo visai kitą mastą.

Kalbant apie vieną iš labiausiai plintančių ir efektyviausių ryšio ir bendravimo priemonių – internetą, svarbu suprasti: susijungus į pasaulinį tinklą milijonams kompiuterių, atsiranda ir nuolat didėja pavojus, kad kompiuterinėje įrangoje saugomi asmeniniai duomenys, svarbi įmonės informacija, elektroninio pašto korespondencija gali būti stebima, pakeista ar perimama pašalinių asmenų. Informacijos ir ryšių technologijos – šiuolaikinės visuomenės ir ekonomikos pagrindas, todėl tinklų ir informacijos saugumas tampa vis svarbesnis.

Informacija – tai turtas, kuris kaip ir kitas svarbus veiklos turtas yra būtinas organizacijos veiklai. Todėl jis turi būti tinkamai apsaugotas. Tai ypač svarbu stiprėjant tarpusavio ryšiams, dėl kurių informacija tampa vis labiau ir įvairiau pažeidžiama, jai iškyla vis daugiau ir įvairesnių grėsmių.

Informacijos saugumą užtikrinti nėra lengva. Jis pasiekiamas taikant deramą valdymo priemonių, tokių kaip politikos, procesai, procedūros, organizacinės struktūros bei programinės ir techninės įrangos funkcijos, rinkinį. Šios valdymo priemonės turi būti ne tik įdiegiamos ir pritaikomos, bet ir nuolat prižiūrimos, peržiūrimos ir, jei yra būtinybė, gerinamos, kad būtų įgyvendinti ypatingi organizacijos saugumo bei veiklos tikslai.

Informacijos saugumo pasiekimas, priežiūra bei nuolatinis gerinimas yra labai svarbūs siekiant išlaikyti konkurencinį pranašumą, grynųjų pinigų cirkuliaciją, pelningumą, teisinę atitiktį ir organizacijos įvaizdį. Neužtikrinus aukšto informacinio turto apsaugos lygio organizacijoje rizikuojama daugeliu dalykų – reputacija, konkurencingumu, santykiais su verslo partneriais ir kt.

Taigi, pastaraisiais metais informacijos apsauga susirūpinta ne tik siekiant užtikrinti duomenų ir informacinio turto saugumą, bet ir dėl tiesioginių ar netiesioginių rinkos reikalavimų.

Informacijos saugumas svarbus tiek viešojo, tiek privataus sektorių veiklai apsaugant svarbias infrastruktūras. Abiejuose sektoriuose informacijos saugumas laikui bėgant turės funkcionuoti kaip priemonė, leidžianti įgyvendinti elektroninę vyriausybę ar elektroninę prekybą, išvengti ar sumažinti aktualią riziką.

Informacinės visuomenės plėtra ir informacijos saugumo didinimas reikalauja reikšmingų koordinuotų ir nepavėluotų pastangų tiek privačiame, tiek viešąjame sektoriuose. Lietuvoje informacijos saugumo veikla pagrinde yra susitelkus į šias sritis:

  • vartotojų ugdymą ir sąmoningumo informacijos saugumo atžvilgiu didinimą;
  • neigiamo informacijos saugumo pažeidimų poveikio mažinimą;
  • saugumo pažeidimų valdymą;
  • teisinių ir standartizavimo priemonių kūrimo skatinimą.

Asmens duomenų apsauga

Asmens duomenų apsaugos sritis yra palyginti nauja. Sparčiai plintant naujoms technologijoms, kuriant tarptautines informacines sistemas, iškilo būtinybė reglamentuoti asmens duomenų tvarkymą. Šiuolaikiniame pasaulyje, galima sakyti, visos vidutinės ir stambios įmonės savo veikloje naudoja kompiuterizuotas asmens duomenų kaupimo, perdavimo, administravimo sistemas. Asmens duomenys plačiai naudojami bankų, kitų kredito įstaigų, teisėsaugos institucijų, socialinės apsaugos ir sveikatos apsaugos įstaigų veikloje. Nauji laimėjimai telekomunikacijų srityje leidžia naudojantis internetu ne tik susipažinti, bet ir fiksuoti, kopijuoti, apdoroti ir perduoti informaciją, susijusią su asmens duomenimis. Plintančios naujos technologijos iškėlė naujų pavojų asmens privataus gyvenimo neliečiamumui Automatinio duomenų tvarkymo ir laisvo duomenų judėjimo pranašumai bei asmens privataus gyvenimo apsauga paskatino imtis priemonių, kurios užtikrintų laisvo duomenų judėjimo ir asmens duomenų apsaugos darnos principą.  Tarptautiniu lygmeniu pirmuosius žingsnius derindama laisvą informacijos judėjimą ir pagrindinių žmogaus teisių apsaugą žengė Europos Taryba ir Europos bendradarbiavimo ir plėtros organizacija. 1968 m. Europos Tarybos parlamentinė asamblėja rekomendacijoje, adresuotoje Ministrų komitetui, iškėlė klausimą, ar šiuolaikinių technologijų ir mokslo pasaulyje Žmogaus teisių ir pagrindinių laisvių apsaugos konvencija ir valstybių narių nacionaliniai teisės aktai pakankamai apsaugo privataus gyvenimo neliečiamybę. Atsižvelgęs į minėtą rekomendaciją, Ministrų komitetas 1973–1974 m. priėmė dvi rezoliucijas, viena iš jų buvo skirta duomenų apsaugai privačiame, kita – viešajame sektoriuje. Per penkerius metus nuo paskutinės rezoliucijos paskelbimo nemaža dalis Europos valstybių priėmė įstatymus dėl asmens duomenų apsaugos1. 1980 m. Europos bendradarbiavimo ir plėtros organizacija savo rekomendacijoje pasiūlė valstybėms narėms nacionalinių įstatymų leidybos srityje atsižvelgti į asmens privataus gyvenimo apsaugos principą ir tuo pačiu metu stengtis nesudaryti nepagristų apribojimų tarptautiniam informacijos (taip pat ir duomenų) judėjimui.

Lietuvoje asmens duomenų teisinės apsaugos įstatymo vykdymą prižiūri ir kontroliuoja Valstybinė duomenų apsaugos inspekcija. Ši įstaiga prižiūri duomenų valdytojų veiklą tvarkant asmens duomenis, kontroliuoja asmens duomenų tvarkymo teisėtumą, užkerta kelią duomenų tvarkymo pažeidimams bei užtikrina duomenų subjekto teisių apsaugą. Valstybinė duomenų apsaugos inspekcija registruoja duomenų valdytojus bei reguliariai prižiūri jų veiklą. Esant asmens duomenų tvarkymo pažeidimams ji gali Administracinių teisės pažeidimų kodekso nustatyta tvarka surašyti administracinių teisės pažeidimų protokolus. Taip pat nagrinėja duomenų subjektų skundus bei prašymus. Dar viena institucija prižiūrinti asmens duomenų tvarkymą yra žurnalistų etikos inspektorius. Visuomenės informavimo priemonės yra vienintelė sritis, kurios neprižiūri valstybinė duomenų apsaugos inspekcija.

Atsakomybė už Asmens duomenų teisinės apsaugos įstatymo normų nesilaikymą Lietuvos teisinėje sistemoje numatyta administracinė atsakomybė, baudžiamoji ir turtinės ar neturtinės žalos išieškojimo tvarka. Už asmens duomenų tvarkymo pažeidimus yra numatyta administracinė atsakomybė. Lietuvos Respublikos administracinių teisės pažeidimų kodekso (toliau – LR ATPK ).

 21414 str. „Neteisėtas asmens duomenų tvarkymas“  – užtraukia baudą nuo penkių šimtų iki vieno tūkstančio litų. Tokie pat veiksmai, padaryti asmens, bausto administracine nuobauda už šio straipsnio pirmojoje dalyje numatytus pažeidimus, – užtraukia baudą nuo vieno tūkstančio iki dviejų tūkstančių litų.

214(15) straipsnis. Neteisėtas valstybės informacinių sistemų duomenų tvarkymas Valstybės informacinių sistemų duomenų (išskyrus asmens duomenis) rinkimas, kaupimas, saugojimas, papildymas, keitimas, ištrynimas, taisymas, klasifikavimas, sunaikinimas, teikimas arba atsisakymas juos teikti pažeidžiant informacinių sistemų tvarkymą reglamentuojančius teisės aktus – užtraukia baudą nuo trijų šimtų iki šešių šimtų litų. Tokie pat veiksmai, padaryti asmens, bausto administracine nuobauda už šio straipsnio pirmojoje dalyje numatytus pažeidimus, – užtraukia baudą nuo šešių šimtų iki vieno tūkstančio dviejų šimtų litų.

LR ATPK 21419 straipsnis. Neigiamą poveikį nepilnamečių vystymuisi darančios viešosios informacijos žymėjimo ir (ar) skleidimo reikalavimų pažeidimas Neigiamą poveikį nepilnamečių vystymuisi darančios viešosios informacijos žymėjimo ir (ar) skleidimo reikalavimų pažeidimas arba neigiamą poveikį nepilnamečių vystymuisi darančios draudžiamos skelbti viešosios informacijos, susijusios su asmens duomenų paskelbimu, paskelbimas – užtraukia įspėjimą arba baudą nuo penkių šimtų iki dviejų tūkstančių litų. Tokie pat veiksmai, padaryti asmens, bausto administracine nuobauda už šio straipsnio pirmojoje dalyje numatytus pažeidimus, – užtraukia baudą nuo dviejų tūkstančių iki septynių tūkstančių litų. Neigiamą poveikį nepilnamečių vystymuisi darančios viešosios informacijos žymėjimo ir (ar) skleidimo reikalavimų pažeidimas arba neigiamą poveikį nepilnamečių vystymuisi darančios draudžiamos skelbti viešosios informacijos, susijusios su asmens duomenų paskelbimu, paskelbimas radijo ir televizijos programose – užtraukia baudą nuo vieno tūkstančio iki trijų tūkstančių litų. Tokie pat veiksmai, padaryti asmens, bausto administracine nuobauda už šio straipsnio trečiojoje dalyje numatytus pažeidimus, – užtraukia baudą nuo trijų tūkstančių iki dešimties tūkstančių litų. Neigiamą poveikį nepilnamečių vystymuisi darančios viešosios informacijos žymėjimo ir (ar) skleidimo reikalavimų pažeidimas kompiuteriniuose žaidimuose – užtraukia įspėjimą arba baudą nuo penkių šimtų iki dviejų tūkstančių litų. Tokie pat veiksmai, padaryti asmens, bausto administracine nuobauda už šio straipsnio penktojoje dalyje numatytus pažeidimus, – užtraukia baudą nuo dviejų tūkstančių iki septynių tūkstančių litų.

214(23) straipsnis. Neteisėtas asmens duomenų tvarkymas ir privatumo apsaugos pažeidimas elektroninių ryšių srityje Elektroninių ryšių įstatyme numatyto asmens duomenų tvarkymo ir privatumo apsaugos pažeidimas – užtraukia baudą nuo penkių šimtų iki vieno tūkstančio litų. Tokie pat veiksmai, padaryti asmens, bausto administracine nuobauda už šio straipsnio pirmojoje dalyje numatytus pažeidimus, – užtraukia baudą nuo vieno tūkstančio iki dviejų tūkstančių litų. Be administracinės atsakomybės Lietuvos Respublikos įstatymai numato ir griežtesnę – baudžiamąją atsakomybę.

167 straipsnis. Neteisėtas informacijos apie privatų asmens gyvenimą rinkimas 1. Tas, kas neteisėtai rinko informaciją apie privatų asmens gyvenimą, baudžiamas viešaisiais darbais arba bauda, arba laisvės apribojimu, arba areštu, arba laisvės atėmimu iki trejų metų. 2. Už šiame straipsnyje numatytą veiką atsako ir juridinis asmuo.

168 straipsnis. Neteisėtas informacijos apie asmens privatų gyvenimą atskleidimas ar panaudojimas.

  1. Tas, kas be asmens sutikimo viešai paskelbė, pasinaudojo ar kitų asmenų labui panaudojo informaciją apie kito žmogaus privatų gyvenimą, jeigu tą informaciją jis sužinojo dėl savo tarnybos ar profesijos arba atlikdamas laikiną užduotį, arba ją surinko darydamas šio kodekso 165–167 straipsniuose numatytą veiką, baudžiamas viešaisiais darbais arba bauda, arba laisvės apribojimu, arba areštu, arba laisvės atėmimu iki trejų metų.
  2. Už šiame straipsnyje numatytą veiką atsako ir juridinis asmuo.
  3. Už šiame straipsnyje numatytą veiką asmuo atsako tik tuo atveju, kai yra nukentėjusio asmens skundas ar jo teisėto atstovo pareiškimas, ar prokuroro reikalavimas. Dėl neteisėtų asmens duomenų tvarkymo, dėl duomenų valdytojo ar duomenų tvarkytojo, ar kitų asmenų veiksmų ar neveikimo atsiradusi žala turi būti atlyginta. Asmuo turi teisę reikalauti, kad turtinė ar neturtinė žala jam būtų atlyginta. Žalos atlyginimo išieškojimo tvarką nustato Lietuvos Respublikos civilinis kodeksas.

Informacijos apsaugos kompiuteryje priemonės

Siekiant apsaugoti asmeninę informaciją kompiuteryje būtina imtis tam tikrų apsaugos priemonių. Išskiriamos kelios pagrindinės:

Užkarda gali apsaugoti kompiuterį neleisdama programišiams ir kenkėjiškai programinei įrangai jį pasiekti. Užkarda yra programinė įranga arba aparatūra, kuri tikrina internetu arba tinklu kompiuterio gaunamą informaciją, tada ją nukreipia arba leidžia patekti į kompiuterį, atsižvelgiant į užkardos parametrus. Taip užkarda neleidžia programišiams ir kenkėjiškai programai gauti prieigos prie jūsų kompiuterio. Windows užkarda įtaisyta į Windows ir įjungta automatiškai.

Jei naudojate tiesioginių pranešimų ar panašią programą arba žaidžiate kompiuterinius žaidimus tinkle keliese ir reikia gauti informacijos internete ar tinkle, užkarda paklausia, ar norite blokuoti, ar atblokuoti (leisti) ryšį. Jei nusprendžiate atblokuoti ryšį, „Windows“ užkarda sukuria išimtį, kad nereikėtų rūpintis dėl šios programos, kai ateityje reikės gauti informacijos.

Apsauga nuo virusų. Antivirusinė programinė įranga padeda apsaugoti kompiuterį nuo virusų, kirminų ir kitokių saugos grėsmių. Virusai, kirminai ir Trojos arkliai yra įsilaužėlių sukurtos programos, kurios naudoja internetą pažeidžiamiems kompiuteriams užkrėsti. Virusai ir kirminai gali replikuotis iš kompiuterio į kompiuterį, tačiau Trojos arkliai pasiekia kompiuterį slėpdamiesi akivaizdžiai patikimoje programoje, pvz., ekrano užsklandoje. Žalingi virusai, kirminai ir Trojos arkliai gali ištrinti informaciją iš standžiojo disko arba visiškai uždrausti naudotis kompiuteriu. Kiti nesukelia tiesioginės žalos, bet blogina kompiuterio efektyvumą ir stabilumą.

Antivirusinės programos nuskaito el. paštą ir kitus failus, esančius kompiuteryje, ieškodamos virusų, kirminų ir Trojos arklių. Jei randa, antivirusinė programa jį izoliuoja (atskiria) arba visai panaikina, kol jis nepažeidė kompiuterio ir failų.

Kadangi naujų virusų aptinkama kasdien, svarbu naudoti antivirusinę programą, turinčią automatinio naujinimo funkciją. Atnaujinus programą, nauji virusai įtraukiami į ieškomų virusų sąrašą ir programa apsaugo kompiuterį nuo naujų atakų. Jei virusų sąrašas pasenęs, kompiuterį gali pažeisti naujos grėsmės. Kad gautumėte naujinimus, paprastai reikia kasmetinio prenumeratos mokesčio. Prenumeruokite, kad reguliariai gautumėte naujinimų.

Apsauga nuo šnipinėjimo ir kitų kenkėjiškų programų. Apsaugos nuo šnipinėjimo programinė įranga padeda apsaugoti kompiuterį nuo šnipinėjimo programų ir kitos galimos nepageidautinos programinės įrangos. Šnipinėjimo programa yra programinė įranga, kuri gali rodyti skelbimus, rinkti apie jus informaciją arba keisti parametrus kompiuteryje paprastai be jūsų leidimo. Pavyzdžiui, šnipinėjimo programa gali įdiegti nepageidautinas įrankių juostas, saitus arba parankinius į jūsų žiniatinklio naršyklę, keisti numatytąjį pagrindinį puslapį arba dažnai rodyti išskleidžiamąsias reklamas. Kai kurios šnipinėjimo programos nerodo jokių pastebimų požymių, bet jos renka slaptą informaciją, pvz., kuriose svetainėse lankotės arba kokį tekstą įvedate. Dauguma šnipinėjimo programų diegiamos atsisiunčiant nemokamą programinę įrangą, bet kai kuriais atvejais tiesiog apsilankant svetainėje

Operacinės sistemos naujinimas. Operacinė sistema gali reguliariai ieškoti kompiuterio naujinimų ir automatiškai juos įdiegti. Naujausios žiniatinklio naršyklės versijos diegimas ir nuolatinis naujinimas

Naudoti naujausią žiniatinklio naršyklės versiją ir nuolatos ją naujinti yra du geriausi bėdų internete išvengimo būdai. Dažniausiai naujausioje žiniatinklio naršyklės versijoje būna saugos pataisų ir naujų funkcijų, kurios gali padėti apsaugoti jūsų kompiuterį ir privatumą naršant internete.

Be to, daugelis žiniatinklio naršyklių periodiškai siūlo saugos naujinimus. Todėl būtinai įdiekite naršyklės naujinimus, kai jie tik atsiranda.

Standartinio vartotojo abonemento naudojimas. Įėjus į kompiuterį, sistema „Windows“ suteikia tam tikrą teisių ir privilegijų lygį atsižvelgiant į turimą vartotojo abonemento tipą. Vartotojų abonementai yra trijų tipų: standartinis, administratoriaus ir svečio.

Nors administratoriaus abonementas suteikia visišką teisę valdyti kompiuterį, standartinio vartotojo abonemento naudojimas gali labiau apsaugoti kompiuterį. Taip, jei kiti asmenys (programišiai) gaus prieigą prie jūsų kompiuterio, kol būsite įėję, jie negalės pakeisti kompiuterio saugos parametrų arba kitų vartotojo abonementų.

Patarimai, kaip saugiai naudoti el. paštą ir žiniatinklį

Būkite atsargūs atidarydami el. pašto priedus. El. pašto priedai (prie el. laiškų pridėti failai) yra pirminis virusų šaltinis. Niekada neatidarinėkite atsiųsto nepažįstamo asmens priedo. Jei pažįstate siuntėją, bet nelaukėte priedo, prieš atidarydami priedą, patikrinkite, ar siuntėjas tikrai jį atsiuntė jums.

Atsargiai saugokite savo asmeninę informaciją. Jei svetainėje bus prašoma pateikti kreditinės kortelės numerį, banko informaciją arba kitą asmeninę informaciją, įsitikinkite, kad pasitikite svetaine ir patikrinkite, ar operacijos sistema yra saugi.

Būkite atsargūs spustelėdami el. laiškų hipersaitus. Hipersaitai (saitai, kurie atidaro svetaines juos spustelėjus) dažnai yra sukčiavimo apsimetant ir šnipinėjimo programų dalis, jie gali perduoti virusus. Spustelėkite tik patikimų el. laiškų saitus.

Diekite priedus tik iš patikimų svetainių. Žiniatinklio naršyklės išoriniai priedai suteikia galimybę tinklalapiuose rodyti tokius dalykus kaip įrankių juostos, biržos kursai, vaizdo įrašai ir animacija. Tačiau priedai gali taip pat diegti šnipinėjimo programas arba kitokią kenkėjišką programą. Jei svetainė prašys diegti priedą, pirmiausia įsitikinkite, ar jis patikimas.

INTERNETINĖS PREKYBOS problematika

 

Atsiradus pasauliniam interneto tinklui žmonija rado būdų, kaip jį išnaudoti verslo tikslams. Dabartiniu metu beveik kiekviena kompanija turi savo interneto tinklapį. Daugelis jų savo tinklapiuose siūlo prekes ir paslaugas. Buvo sukurta daug atskirų interneto prekyviečių, kur siūlomos įvairių kompanijų parduodamos prekės ar paslaugos. Žinoma, pačiame internete apstu ir kitų elektroninių paslaugų, tokių kaip faksas, elektroninis paštas ir pan. Tačiau kartu su elektroninės komercijos atsiradimu gimė ir visa eilė poreikių. Tai ir elektroninio parašo problema, ir telekomunikaciniais kanalais perduodamų duomenų apsaugos problemos.

Žinant, nemažą elektroninės komercijos paslaugų ratą išskirkime taip vadinamą interneto prekybą. Deja nėra vieningos elektroninės prekybos apibrėžimo. Elektroninė prekyba yra daugiau nei vien tik prekių ir paslaugų pirkimas bei pardavimas internetu. Iš esmės ji apima bet kokią transakciją atliktą elektroniniu būdu, elektroninėmis priemonėmis, elektroninėje aplinkoje. Dabartinis elektroninės prekybos įstatymo projektas elektroninę prekybą apibrėžia taip:

“Elektroninė prekyba – tai prekybinės veiklos būdas, kai sutartys sudaromos, o esant reikalui – ir vykdomos, naudojant informacines technologijas bei priemones kompiuterių tinklais keičiantis elektroniniais duomenų pranešimais.”

Tačiau, neliečiant kitų elektroninės komercijos pakraipų, apsistokime ties duomenų apsaugos problemomis, su kuriomis susiduria interneto parduotuvių savininkai (prekeiviai) ir jų klientai (pirkėjai).

Interneto prekyvietėse yra renkami ir automatiškai apdorojami klientų duomenys. Duomenis pirkėjai pateikia patys. Keista, tačiau kaip rodo Lietuvos kompiuterininkų sąjungos šiais metais atlikti privatumo ir saugumo lietuviškajame internete tyrimai, “Informacijos kiekis, kurį prašoma pateikti perkant produktą, dažniausiai yra perteklinis ir nebūtinas šiai paslaugai”

Kriterijai

Duomenų rinkimo taisykles nustato Europos Sąjungos duomenų apsaugos direktyva 95/46/EC priimta 1995 spalio 24 dieną. Ji užtikrina laisvą informacijos judėjimą Europos Sąjungos bendrijos viduje, išsaugant pagrindines asmenų teises ir laisves. Garantuojamas elektroninių žinučių slaptumas ir draudžiamas bet koks trečiųjų asmenų įsikišimas ar stebėjimas. Pagal šios direktyvos nuostatas valstybės narės turi sudaryti sąlygas, kurioms esant asmeninių duomenų naudojimas yra teisėtas. Bet kokiu atveju duomenys gali būti renkami tik teisėtais tikslais. Renkant tokius duomenis turi būti atkreiptas dėmesys į žemiau vardinamus kriterijus.

Privatumas.

Žinome, kad internete yra labai paprasta rinkti asmeninę informaciją. Asmeniniai duomenys gali būti renkami, apdorojami ir panaudojami tik tokiu atveju, jeigu tai leidžia įstatymas arba asmuo davė savo sutikimą. Bet kurioje elektroninėje prekyvietėje pirkėjas, norėdamas nusipirkti prekę, privalės pateikti savo duomenis. Tai reikalinga paprasčiausiai tam, kad prekės būtų pristatytos reikiamu adresu. Tačiau pirkdamas prekes duomenų subjektas jas pateikia savo noru, o elektroninė prekyvietė įsipareigoja nenaudoti duomenų kitais negu nustato įstatymas tikslais, taip užtikrinant duomenų subjekto teisę į privatumą.

Naudojimas.

Panaudoti duomenis galima tik tokiais tikslais, kuriais jie buvo renkami. Duomenis draudžiama perleisti tretiesiems asmenims, duomenų subjektui nesutikus. Tam, kad duomenys nebūtų atsitiktinai ar neteisėtai sugadinti arba prarasti, jie turi būti atatinkamai apsaugoti. Kitaip tariant, turi būti naudojamos atatinkamos saugumo priemonės. Duomenų naudojimo terminas taip pat yra apibrėžtas. “Asmens duomenys saugomi ne ilgiau, nei to reikalauja duomenų tvarkymo tikslai. Kai asmens duomenys nebereikalingi jų tvarkymo tikslams, jie turi būti sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.”

Prieinamumas.

Žinome, kad duomenų aktualumas yra labai svarbus veiksnys. Todėl jie turi būti tikslūs ir nuolatos atnaujinami. Pagal LR asmens duomenų teisinės apsaugos įstatymo 17 str. p. 1, p.2 ir p.3 nustato asmens duomenų teisę į žinojimą apie jo duomenų tvarkymą, galimybę susipažinti su duomenimis, bei teisę reikalauti ištaisyti arba ištrinti duomenis. Kaip matome, šios įstatymo nuostatos duomenų subjektui sukuria teisę prieiti prie savo duomenų. Vartotojas taipogi turi turėti galimybę uždrausti jo duomenų kaupimą ir naudojimą. Ypač tiesioginės rinkodaros tikslais.

Saugumas.

Svarbi problema, susijusi su kompiuteriniu informacijos apdorojimu, yra didelis tokios informacijos pažeidžiamumas bei didesnės galimybės pažeisti informacijos saugumą, pavogti, sunaikinti arba pakeisti duomenis.

Įvairiuose informacijos ar duomenų apsaugos žinynuose, bei vadovuose duomenų apsauga įvardinama įvairiai, tačiau visuose jų pabrėžiami trys pagrindiniai duomenų apsaugą (angl. Safety) reglamentuojantys lygiai:

  1. Administracinis – techninis saugumas
  2. Fizinis saugumas
  3. Teisinis reglamentavimas

Administracinis – techninis saugumas.

Šis lygis daug kur dar vadinamas administraciniu ir organizaciniu saugumu. Administracinis-techninis saugumas traktuojamas kaip techninių priemonių organizavimas, siekiant užtikrinti kompiuterinėse (ir ne tik) laikmenose saugomą informaciją. Šiam lygiui galime priskirti tokias priemones, kaip saugumo politikos nuostatas, kurios aiškiai apibrėžia, kokia informacija yra saugoma, o kokia ne. Pagaliau yra nustatomi apsaugos lygiai. T.y. informacijai priskiriami taip vadinami “jautrumo” lygiai.

Šiam lygiui priklauso ir apsaugos organizavimas techninėmis priemonėmis. Tai ugniasienių įdiegimas bei jų taisyklių nustatymas (angl. configure). Antivirusinės programinės įrangos įdiegimas įmonės kompiuterinėse sistemose ir jos nustatymas. Įsilaužimo (angl. Intrusion) nustatymo sistemų (IDS – Intrusion Detection System) įdiegimas kompiuterinėse sistemose. Duomenų šifravimo priemonės taip pat yra svarbi duomenų apsaugos priemonė.

Labiausiai pažeidžiama bet kokios kompiuterių sistemos vieta ir didžiausia grėsmė kompiuterių saugumui yra žmonės. Kai kurie žmonės gali būti tiesiog nemokšos ir net nenorėdami gali sunaikinti svarbią informaciją, esančią kompiuterių sistemose. Kiti žmonės gali piktavališkai pažeisti nustatytas taisykles. Nemažiau svarbus yra vartotojų teisių nustatymas kompiuterinėse sistemose. Didesnėse įmonėse ne kiekvienam darbuotojui leidžiama susipažinti su tam tikra informacija, o ir ne kiekvienam leidžiama tokią informaciją administruoti, ją koreguoti. Todėl čia svarbų vaidmenį vaidina vartotojų teisių sistema įmonės kompiuterinėje sistemoje. Tikslus vidinio įmonės kompiuterinio tinklo vartotojų teisių nustatymas labai daug prisideda prie kompiuterinėse sistemose saugomų duomenų apsaugos.

Fizinis saugumas.

Jam priskiriami metodai, skirti apsaugoti aparatines ir kompiuterinės technikos ryšių priemones nuo nelaukiamo fizinio pašalinių jėgų poveikio. Tokioms jėgoms galime priskirti stichines nelaimes, techninius gedimus, dėl kurių galimas svarbių duomenų sugadinimas ar sunaikinimas. Tokiais gedimais gali būti trūkę vandentiekio vamzdžiai, elektros įtampos šuolis, kuris neatstatomai gali sugadinti kietajame kompiuterio diske saugomus duomenis; pagaliau kondicionavimo sistemos gedimas tarnybinių stočių patalpoje, galintis sukelti kompiuterinių sistemų gedimą ir svarbių duomenų praradimą. Tokioms grėsmėms mažinti yra taikomos taip vadinamos aparatinės apsaugos priemonės nepertraukiamo maitinimo šaltiniai (angl. UPS) ir kitos priemonės.

Fiziniam saugumui taip pat priskiriamas ir signalizacijų sistemų įvedimas. Priešgaisrinė signalizacijos sistema. Gaisro gesinimo sistemų įvedimas. Patalpų apsaugos sistemos nuo įsilaužimų. Praėjimo kontrolės sistemos leidžiančios riboti patekimą į patalpas, kur yra saugomi svarbūs duomenys. Pagaliau fizinis apsaugos darbuotojų budėjimas, saugant patalpas.

Teisinis reglamentavimas.

Šiam apsaugos lygiui priskiriamas norminių dokumentų paketo įmonėje įvedimas, kuris reglamentuotų tos įmonės darbuotojų elgesį su svarbiais duomenimis bei duomenimis sudarančiais įmonės komercinę paslaptį.

Dažnai šis vaidmuo įmonėse tenka taip vadinamiems saugumo nuostatams (angl. Security policy). Tačiau tenka pastebėti, kad dažnai šie reikalavimai sprendžiami taisyklių kūrimu ir jų patvirtinimu bendrovių vadovų įsakymais. Svarbu, kad jose būtų apibrėžta, kokia informacija patenka į saugomų duomenų ratą, o kokia ne. Tokių norminių aktų buvimas įmonėse vėliau leidžia juos pažeidusius darbuotojus traukti administracinėn, o padarius didelę žąlą, ir baudžiamojon atsakomybėn.

Dabartinė būklė.

Įstatymai

“Duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytiniame ar jam prilygintos formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.” Aukščiau minėtų tyrimų duomenys atspindi realią šių dienų situaciją Lietuvos elektroninėje prekyboje.

Saugumo būklė

Lietuvos kompiuterininkų sąjungos atliktų tyrimų metu “iš viso ištirtos 44 svetainės, siūlančios prekes ar paslaugas internetu. Iš jų 8 buvo neveikiančios arba rekonstruojamos. Naudojant bankų korteles galima apsipirkti 8 svetainėse, iš kurių 5 naudoja saugius prisijungimo mechanizmus.” Tokia situacija akivaizdžiai rodo, kad Lietuvos elektroninių prekyviečių savininkai nepakankamai užtikrina pirkėjų duomenų apsaugą. Net ir tokios nebrangios technologijos kaip SSL (angl. Secure Sockets Layers) nėra diegiamos, o tai rodo, kad esamų Lietuvos elektroninių prekyviečių savininkai mažai kreipia dėmesio saugumo problemoms spręsti.

Elektroninis parašas

Elektroninis parašas (toliau – el. parašas) – duomenys, kurie įterpiami, prijungiami ar logiškai susiejami su kitais duomenimis pastarųjų autentiškumui patvirtinti ir (ar) pasirašančiam asmeniui identifikuoti.

El. parašai gali būti skirstomi į kvalifikuotus ir nekvalifikuotus el. parašus.

Kvalifikuotam el. parašui keliami trys reikalavimai:

  • jis turi būti saugus;
  • sudarytas saugia parašo formavimo technologija;
  • patvirtintas galiojančiu kvalifikuotu sertifikatu.

Sertifikatas – elektroninis liudijimas, kuris susieja parašo tikrinimo duomenis su pasirašančiu asmeniu ir patvirtina arba leidžia nustatyti pasirašančio asmens tapatybę. Kvalifikuotam sertifikatui keliami papildomi reikalavimai – jį privalo sudaryti Vyriausybės ar jos įgaliotos institucijos nustatytus reikalavimus atitinkantis sertifikavimo paslaugų teikėjas.

Lietuvoje šiuo metu kvalifikuotus elektroninius sertifikatus platina šie sertifikavimo paslaugų teikėjai:

Atkreipiame dėmesį į tai, jog kvalifikuotas elektroninis sertifikatas visuomet siejamas tik su fiziniu asmeniu, t.y. juridinio asmens vardu jis negali būti išduotas (juridinio asmens vardu gali pasirašyti įgaliotas fizinis asmuo).

Dažniausiai naudojamas elektroninio parašo technologinis sprendimas vadinamas viešojo rakto infrastruktūra (angl. PKI – Public Key Infrastructure). Šiuo atveju elektroninis parašas yra sukuriamas pasirašomų duomenų santrauką (angl. Hash) užšifruojant asmens privačiuoju raktu. Kadangi elektroninio parašo kūrimui naudojami pasirašomi duomenys, elektroninis parašas kiekvienu pasirašymo atveju yra unikalus.

1.2.2. Valstybinės institucijos

Seimo informacinės visuomenės plėtros kkomitetas. Šiam komitetui pavesta rengti ir svarstyti informacinės visuomenės plėtrą reglamentuojančių įstatymų ir kitų teisės aktų projektus, svarstyti ir teikti pasiūlymus naujų technologijų bei informacinės ir žinių visuomenės plėtros klausimais, svarstyti ir teikti Seimui išvadas bei pasiūlymus dėl informacinės visuomenės plėtros politikos formavimo, ilgalaikės naujų technologijų bei informacinės visuomenės plėtros strategijos parengimo bei jos įgyvendinimo [1]

Informacinės visuomenės plėtros komisija, kuriai pavesta teikti pasiūlymus dėl Vyriausybės programos įgyvendinimo priemonių plano dalies, susijusios su informacinės visuomenės plėtra, tobulinimo ir atnaujinimo, koordinuoti įgyvendinimo priemonių, susijusių su informacinės visuomenės plėtra, vykdymą bei ministerijų ir Vyriausybės įstaigų, kitų valstybės institucijų veiklą šioje srityje. [1]

Informacinės visuomenės plėtros komitetui prie Lietuvos Respublikos Vyriausybės pavesta dalyvauti formuojant valstybės informacijos technologijų ir telekomunikacijų kūrimo Lietuvos Respublikoje politiką ir koordinuoti informacijos technologijų ir telekomunikacijų plėtrą valstybėje, o taip pat koordinuoti Informacinės visuomenės plėtros plano įgyvendinimą.

Vidaus reikalų ministerijos Informacinės politikos departamentas dalyvauja formuojant bendrą valstybės informacinės politikos strategiją ir informacinę infrastruktūrą, tenkinančias valstybės institucijų, ūkio subjektų bei gyventojų informatikos poreikius, prisideda prie jų įgyvendinimo

Valstybinę duomenų apsaugos inspekciją prižiūri asmens duomenų tvarkymo teisėtumą ir plėtoja duomenų apsaugos sistemą Lietuvos Respublikoje. Inspekcija paskirta atsakinga už Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu nuostatų įgyvendinimą. [1]

.4. Teisėti veiksmai su asmens duomenimis

Asmens duomenys gali būti renkami tik aiškiais tikslais, jie turi būti tikslūs, tokios apimties, kokia yra būtina. [2].

Asmens duomenys gali būti tvakomi tik gavus duomenų subjekto ssutikimą. Be asmens sutikimo duomenų valdytojas gali tvarkyti asmens duomenis tik įstatymo numatytais atvejais.

Įstatymas netaikomas, jeigu asmens duomenis tvarko fizinis asmuo ir tik savo asmeniniams poreikiams, nesusijusiems su verslu ar profesija, tenkinti [2, 1 sk.]

Duomenų subjektas turi teisę žinoti, kokie duomenys apie jį yra tvarkomi, kaip tai daroma, turi teisę susipažinti su savo asmeniniais duomenimis, reiklauti juos ištaisyti. Taip gali uždrausti tvarkyti savo asmens duomenis. Duomenų valdytojas privalo sudaryti sąlygas duomenų subjektui įgyvendinti šias teises.

Taip pat duomenų subjektui turi būti aiškiai nurodyti duomenų tvarkymo tikslas(-ai), kuriuo valdytojas renka duomenis internetu. Pavyzdžiui, kai duomenys yra renkami tiek siekiant įvykdyti sutartį (internetinė prenumerata, produktų užsakymas, ir pan.), tiek ir tiesioginės rinkodaros tikslais, valdytojas turi aiškiai nurodyti abu šiuos tikslus. [2]

Išvados

Lietuvos įstatymai numato kokia tvarka gali būti išieškota turtinė ar neturtinė žala, atsiradusi dėl neteisėto asmens duomenų tvarkymo ar dėl duomenų valdytojo (tvarkytojo) veikimo ar neveikimo. Tokia tvarka numatyta Lietuvos Respublikos Civiliniame Kodekse. Be numatytos administracinės atsakomybės, yra ir griežčiausia atsakomybės forma – baudžiamoji atsakomybė.

Be nacionalinių aktų asmens teisę į duomenų apsauga garantuoja Europos Sąjungos, kurios nare nuo 2003 m. gegužės mmėnesio tapo Lietuva, teisės aktai – Europos Žmogaus teisių ir pagrindinių laisvių apsaugos konvencija, Direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo. Be to, sudarytos visos sąlygos asmeniui kreiptis į Europos Žmogaus teisių teismą jei jo teisės buvo pažeistos.

Taigi asmens duomenų teisinės apsaugos pagrindai Lietuvoje yra visapusiški, nes be nustatytų normų yra ir priežiūros įstaiga, garantuojanti duomenų subjektų teisių apsaugą, be to, sudarytos galimybės kreiptis į teismą dėl pažeistos teisės kiek valstybės viduje, tiek iir į Europos Žmogaus Teisių Teismą.

Literatūros sąrašas

  1. Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencija
  2. Lietuvos Respublikos administracinių teisės pažeidimų kodeksas
  3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas
  4. Lietuvos Respublikos baudžiamasis kodeksas
  5. Lietuvos Respublikos gyventojų registro įstatymas
  6. Lietuvos Respublikos Konstitucija