Svetainių pertvarkymas pagal BDAR reikalavimus
Interneto svetainių kūrimas
Interneto svetainių pertvarkymas BDAR reikalavimų atitikimui
-Interneto svetainių parengimas Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų atitikimui
Teikiame interneto svetainių testavimo ir pertvarkymo paslaugas Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų atitikimui. Pertvarkytos interneto svetainės atitiks BDAR reikalavimus.
Teirautis dėl paslaugų galima el. paštu info@proweb.lt, arba telefono nr. 8 677 84455.
2018-05-25 pradedamas taikyti 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), toliau – BDAR.
BDAR taikomas tiesiogiai, jo nuostatos į nacionalinę teisę neperkeliamos
BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS (ES) 2016/679 - BDAR
Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 (toliau – BDAR) taikomas tiesiogiai, o Lietuvos Respublikos teisės aktai asmens duomenų apsaugos srityje taikomi tiek, kiek tai įpareigoja ir leidžia BDAR.
Nacionalinais teisės aktais gali būti konkrečiau apibrėžiamas BDAR nustatytų taisyklių taikymas, numatytos kai kurios BDAR taikymo išimtys, numatyti procedūriniai klausimai, susiję su priežiūros institucijų atliekamu pažeidimų nagrinėjimu, nustatyti konkrečių asmens duomenų tvarkymo atvejų ypatumai (asmens kodo tvarkymo ypatumai, asmens duomenų tvarkymas ir saviraiškos ir informacijos laisvė, asmens duomenų tvarkymo su darbo santykiais susijusiame kontekste ypatumai, vaiko, kuriam siūlomos informacinės visuomenės paslaugos, amžius sutikimui duoti).
BDAR rekomendacijos interneto svetainėms
-Rekomendacija „Dėl slapukų ir panašių priemonių naudojimo“
Rekomendacija „Dėl slapukų naudojimo: patarimai elektroninių ryšių paslaugų naudotojams“
Rekomendacija „Saugus duomenų perdavimas https protokolu“
Nepageidaujamų elektroninio pašto pranešimų studija
Rekomendacijos dėl asmens tapatybės nustatymo internete
Rekomendacijos „Ką daryti, norint atsisakyti nepageidaujamų elektroninių žinučių?“
Rekomendacijos „Dėl viešųjų elektroninių ryšių paslaugų ir tinklų saugumo užtikrinimo“
Rekomendacijos „Dėl interneto naršyklėse kaupiamų asmens duomenų“
BAUDOS
-Administracinių nusižengimų kodekse numatyta, kad pažeidus asmens duomenų apsaugos srities nuostatas gali būti skiriamos baudos:
- Asmenims 150–580 Eur, už pakartotinį pažeidimą 550–1200 Eur
- Juridinių asmenų vadovams ar kitiems atsakingiems asmenims 300–1150 Eur, už pakartotinai padarytus nusižengimus 1100–3000 Eur.
Nuo 2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą, reikšmingai keisis baudų dydžiai už asmens duomenų apsaugos pažeidimus. Baudos dydis duomenų valdytojui sieks 2–4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos arba 10–20 mln. Eur.
Svetainių slapukai
-Svetainės slapukai
| Pavadinimas | Saugoma informacija | Paskirtis | Galioja |
|---|---|---|---|
| cookieconsent_status | Pasirinkimas | Slapuku patvirtinimo pasirinkimo saugojimas | 1 metus |
Google žemėlapiai
| Pavadinimas | Saugoma informacija | Paskirtis | Galioja |
|---|---|---|---|
| SID, SAPISID, APISID, SSID, HSID, NID, PREF | Įvairūs unikalūs kintamieji, apart PREF, kuris saugo jūsų pasirinkimus, pvz.: priartinimo lygis. | Google priskiria slapukus bet kuriame puslapyje, kuriame naudojamas Google žemėlapis. Mes neturime galimybės kontroliuoti Google slapukus. Šie slapukai renka informacija apie Google žemėlapių vartotojų elgseną. | Daugumų slapukų galioja 10 metų po apsilankymo puslapyje, kuriame yra Google žemėlapis. |
Youtube
| Pavadinimas | Saugoma informacija | Paskirtis | Galioja |
|---|---|---|---|
| SID, LOGIN_INFO, use_hotbox, PREF, SSID, HSID, watched_video_id_list, YSC, GPS, demographics, VISITOR_INFO1_LIVE | Įvairūs unikalūs indentifikatoriai, taip pat prisijungimų informacija, kuri gali būti susijus su Google paskyra. | Google priskiria slapukus bet kuriame puslapyje, kuriame naudojamas Youtube vaizdo įrašai. Mes neturime galimybės kontroliuoti Google slapukus., Šie slapukai renka informacija apie YouTube vartotojų skaičių ir elgseną, taip pat informaciją, kurie sieja jūsų apsilankymą mūsų svetainėje su Google paskyra prie kurios esate prisijungęs. Informacija apie jūsų apsilankymą mūsų svetainėje, įskaitant IP adresas, gali būti perduotas ir patalpintas Google serveriuose JAV. Šis slapukas asmeniškai jūsų neidentifikuoja, nebent jūs esate prisijungęs prie Google paskyros, tuomet identifikuojama paskyra.. | Daugumų slapukų galioja 10 metų po apsilankymo puslapyje, kuriame yra Youtube vaizdo įrašai. Tačiau daugelis jų pasibaigia anksčiau. |
Google analytics
| Pavadinimas | Saugoma informacija | Paskirtis | Galioja |
|---|---|---|---|
| OTZ | Google Analytics: slapukas reikalingas sąsajai su Google Analytics paskyra ir Google+ mygtukui. | 6 mėnesius | |
| __utmt_UA-XXX | Google Analytics: slapukas reikalingas sąsajai su Google Analytics paskyra. | 6 mėnesius | |
| __utmz | Pirmo apsilankymo data, paskutinio apsilankymo data, kiekis. | Google Analytics: sekamas skaičius kiek kartų vartotojas apsilankė svetainėje nuo slapuko sukūrimo. | 6 mėnesius |
| __utma | Google Analytics: saugoma informacija iš kur vartotojas atėjo, kokį paieškos variklį naudojo, kokią nuorodą spaudė, koks raktažodis buvo panaudotas. | 2 metus | |
| __utmb, __utmc | Google Analytics: saugoma informacija kiek truko vartotojo lankymasis svetainėje. __utmb - prisijungimas, __utmc - atsijungimas nuo svetainės. | __utmb - 30 minučių, __utmc - 1 sesiją. | |
| _ga | Trumpas atsitiktinai sugeneruotas ID | Google Analytics: atskiria vartotojus | 2 metus |
| _dc_gtm_UA-XXXXXXXX-X | Skaičius | Google Analytics integruotas su Google Tag manager ir Doubleclick kampanija. Slapukas reikalingas Google Analytics veikimui. | 1 dieną |
| _gid | Trumpas atsitiktinai sugeneruotas ID | Google Analytics: atskiria vartotojus | 1 dieną |
| _gat | Skaičius | Google Analytics: naudojamas norint padidinti užklausų greitį | 1 minutę |
Trečiosios šalys
| Pavadinimas | Saugoma informacija | Paskirtis | Galioja |
|---|---|---|---|
| 1P_JAR | Trumpas atsitiktinai sugeneruotas ID | Šie slapukai naudojami rinkti svetainės statistikas ir sekti konversijų kiekius. | 1 savaitę |
| SIDCC | Apsaugos slapukas padedantis apsaugoti vartotojų informaciją nuo neautoritizuotos prieigos. | 1 dieną | |
| IDE, test_cookie | Šie slapukai priskirti trečiųjų šalių (DoubleClick) yra naudojami tiekti jums aktualias reklamas svetainėje. | 2 metus |
| Pavadinimas | Saugoma informacija | Paskirtis | Galioja |
|---|---|---|---|
| lidc, bcookie, bscookie | Naršyklės ID | Naudojamas LinkedIn dalinimosi mygtukui. | 1 metus |
| visit, sl, sdsc, liap, li_at, lang, _lipt | Slapukai naudojami sąsajai su LinkedIn platforma. | 1 metus |
| Pavadinimas | Saugoma informacija | Paskirtis | Galioja |
|---|---|---|---|
| act,c_user,datr,fr,pl,presence,sb,wd,xs | Slapukai naudojami sąsajai su Facebook platforma ir su vartotojo paskyra jei vartotojas prisijungęs prie Facebook. | 1 metus |
Saugus naršymas internete
-
KAS YRA HTTPS?
Asmens duomenų saugumas internete yra šių dienų aktualija. Mes apsipirkinėjame elektroninėse parduotuvėse, atliekame mokėjimus internetu, įvedame slaptažodžius į savo paskyras socialiniuose tinkluose ir galime bendrauti su valstybinėmis įstaigomis iš namų. Nors tai labai patogu, tačiau kyla rizika, kad perduodamus duomenis kas nors gali perimti. Tad kuo gali būti naudingas HTTPS protokolas?
Tam, kad skirtingi elektroniniai įrenginiai galėtų bendrauti vienas su kitu, informacijos perdavimui ir priėmimui reikalingos tam tikros taisyklės ir susitarimai, kurių įrenginiai laikysis. Tai yra vadinama duomenų perdavimo protokolu. Šiuo metu tinklinio ryšio tarp kompiuterių palaikymo protokolas yra TCP/IP, svetainių turinio priėmimo ir perdavimo protokolas visame žiniatinklyje yra HTTP (angl. Hyper Text Transfer Protocol) ir saugesnė jo versija HTTPS (angl. Hyper Text Transfer Protocol Secure).
Taigi, kai norite atverti jums rūpimą svetainę, jūsų naršyklė siunčia užklausą svetainės tarnybinei stočiai, naudodama HTTP protokolą, o tarnybinė stotis, apdorojusi užklausą, atsakymą persiunčia naršyklei, duomenis apdorodama pagal HTML taisykles, ir apdorotų duomenų rezultatas pateikiamas vartotojui į jo naršyklę, t. y. kompiuterio ekraną. Kiekvieną kartą spustelėję nuorodą internetiniame puslapyje, mes įvedame duomenis į įvairius laukus ir ši informacija perduodama į tarnybinę stotį, ten apdorojama ir siunčiamas atsakymas naršyklei. Taip bendrais bruožais atrodo sąveika tarp jūsų naršyklės ir svetainės tarnybinės stoties.
| Duomenų mainų schema tarp naršyklės ir svetainės tarnybinės stoties nepriklauso nuo naudojamo įrenginio tipo ar jo operacinės sistemos. Veikimas yra vienodas tiek kompiuteryje, tiek ir išmaniajame telefone, planšetėje ar televizoriuje. Ir nesvarbu ar tai bus „Windows“, „macOS“ ar „Android“ operacinė sistema. |
Svarbu žinoti, kad duomenų perdavimas HTTP protokolu turi reikšmingų trūkumų – visi duomenys tinkle perduodami atviru pavidalu per neapsaugotą ryšio kanalą. Šiuo atveju jūsų naršyklė neturi tiesioginio ryšio su svetainės tarnybine stotimi, o ryšys tarp naršyklės ir svetainės tarnybinės stoties vyksta per daugybę tarpinių tinklo taškų. Pirmiausia tai bus jūsų vietinis tinklas (jei jis yra), tada tinklas, kuris priklauso jūsų interneto paslaugų teikėjui, o po to bus kitų organizacijų tinklai su jų tinkline įranga, kol galiausiai pasieksite jums rūpimos svetainės tarnybinę stotį. Tai lengvai galite patikrinti ir patys, savo kompiuteryje pasirinkę „Windows“ „Command Prompt“ komandinės eilutės dialogo langą, kuriame įvedę komandą „tracert hostname“ („Linux“ ir „macOS“ operacinių sistemų vartotojams komanda būtų „traceroute hostname“). „Hostname“ vietoje įrašykite dominančios interneto svetainės adresą. Naudojant DNS tarnybinę stotį, bus nustatytas tarnybinės stoties IP adresas, sukurta paketų perdavimo grandinės dalis iki galutinio tinklinio taško. 1 pav. matyti, kad pabandžius patikrinti, kaip nueina užklausa iš jūsų kompiuterio iki internetinės svetainės www.****.com duomenų paketai praeina 8 skirtingus tinklo taškus.
1 pav. Maršruto patikrinimas „tracert“ komanda
Kai kam tai gali kelti nuostabą, tačiau jei koks nors asmuo, turintis piktų kėslų, prisijungs prie vieno iš grandinėje esančių tarpinių taškų, vedančių link svetainės tarnybinės stoties, jis galės perimti į svetainę jūsų perduodamą duomenų srautą, pavyzdžiui, slaptažodžius, jūsų įvestus kredito kortelių numerius ir kitą jūsų asmeninę informaciją. Esate ypač pažeidžiami, kai viešosiose vietose naudojatės atvirais belaidžiais tinklais (Wi-Fi). Naudojantis tokiais atvirais belaidžiais tinklais piktavalis gali įsibrauti tarp jūsų naršyklės ir svetainės tarnybinės stoties naudojant vadinamąją „Man-In-The-Middle“ ataką.
Tai nėra labai aktualu toms paprastoms informacinio pobūdžio svetainėms, kuriose lankytojai savo duomenų nepateikia, tačiau interneto bankams ir finansinėms institucijoms, socialinių tinklų, internetinių parduotuvių, elektroninio pašto paslaugas teikiančioms įmonėms, elektroninių mokėjimo sistemų ir kitų svetainių, kurios tvarko savo klientų asmens duomenis, tai yra tikras iššūkis ir nemažas galvos skausmas. Nors, kita vertus, prarasti prieigą prie mėgstamiausio forumo taip pat nėra labai malonus dalykas.
Šią problemą galėtų padėti spręsti HTTPS protokolo naudojimas. Koks skirtumas tarp HTTP ir HTTPS protokolų? HTTPS (angl. HyperText Transfer Protocol Secure) yra paprasto HTTP protokolo esamų galimybių praplėtimas perduodamus duomenis šifruojant SSL/TLS priemonėmis, todėl HTTPS laikomas saugiu protokolu.
| Visos šiuolaikinės naršyklės žino, kaip, naudojant kriptografinius metodus, perduoti duomenis HTTPS protokolu. Senesnių naršyklių savininkai turėtų pagalvoti dėl savo naršyklių atnaujinimo, nes rizikuoja atidaryti svetaines, kurios vis dar naudoja pasenusius HTTP protokolus ir tokiu būdu rizikuoja atskleisti perduodamus duomenis bei sumažina savo duomenų saugumą. |
Nors saugaus HTTPS protokolo naudojimas neišsprendžia duomenų srauto perėmimo galimybės pilna apimtimi, tačiau tai, kad visi duomenys perduodami šifruotu pavidalu, žymiai apriboja galimybes piktavaliui juos perimti, nes duomenis dar reikia suspėti iššifruoti žinant slaptą (privatų) raktą, o tai tampa beveik neįmanoma.
KAIP VEIKIA HTTPS?
Duomenys tarp vartotojo naršyklės ir svetainės tarnybinės stoties perduodami šifruotu pavidalu, naudojant SSL (TLS) šifravimo protokolus. Tam, kad naršyklė ir svetainės tarnybinė stotis galėtų saugiai komunikuoti, jos turi sukurti tarpusavyje užšifruotą ryšį. Šiam saugiam ryšiui užtikrinti būtina susitarti dėl privačių raktų, kuriais galima užšifruoti ir iššifruoti vienas kito perduotą informaciją. Problema kyla, nes tiesiog išsiųsti tokį raktą iš vieno kitam negalima, nes atvirai išsiųstas raktas nesaugiame interneto tinkle gali būti lengvai perimtas ir koks nors piktavalis gali iššifruoti duomenų srautą, pasinaudojęs šiuo perimtu slaptu raktu. Tai būtų tas pats, kaip garsiai padiktuoti savo slaptažodį nuo prisijungimo paskyros girdint svetimiems žmonėms.
Nors ši privačios komunikacijos užmezgimo problema yra sudėtinga, tačiau sprendimas yra – reikėtų naudoti kitiems nesuprantamą kalbą. Kalbant apie saugų ryšį kompiuterinėse technologijose, tam naudojama kriptografija.
Tarnybinėje stotyje įdiegto SSL sertifikato atveju, svetainės lankytojo naršyklė HTTPS protokolu klausdama tarnybinės stoties autentiškumo, gauna tarnybinės stoties autentifikacijos patvirtinimą. Po sėkmingo tarnybinės stoties savininko autentifikavimo svetainės lankytojo naršyklė ir tarnybinė stotis per gana trumpą laiką įvykdo gana sudėtingą raktų apsikeitimo procedūrą. Vykdant saugų HTTPS susijungimą, svetainės lankytojo naršyklė iš tarnybinės stoties gauna viešą užšifravimo 2048 bitų asimetrišką raktą, kuris duomenis gali užšifruoti, bet negali jų iššifruoti. Šis tarnybinės stoties viešasis raktas dalijamas visoms naršyklėms, kurios pateikia užklausą.
Duomenis iššifruoti gali tik privatus iššifravimo raktas, kuris saugomas tarnybinėje stotyje. Kol šis tarnybinės stoties privatus raktas nėra prarastas ar sugadintas, bet kas gali viešuoju raktu patikimai užšifruoti duomenis ir konfidencialiai juos perduoti tarnybinei stočiai. Svetainės lankytojo perduodamus užšifruotus duomenis išsišifruoti gali tik tarnybinė stotis savo privačiu raktu, tačiau niekas kitas tų duomenų iššifruoti negali. Po to, kai tarnybinė stotis pateikia svetainės lankytojo naršyklei savo viešą asimetrinį užšifravimo raktą, svetainės lankytojo naršyklė sukuria ir užšifruoja slaptą sesijos raktą. Šis tarnybinės stoties viešasis SSL sertifikato raktas naudojamas tik ryšio tarp tarnybinės stoties ir svetainės lankytojo naršyklės seanso pradžioje. Naršyklė, gavusi tarnybinės stoties viešąjį raktą, sukuria laikiną 256 bitų simetrišką sesijos raktą, kurs perduodamus duomenis gali ir užšifruoti, ir iššifruoti. Tada svetainės lankytojo naršyklė užšifruoja simetrišką raktą su gautu tarnybinės stoties viešuoju raktu ir išsiunčia užšifruotus duomenis tarnybinei stočiai.
Serveris gautą duomenų paketą išsišifruoja savo privačiu raktu ir tokiu būdu iš svetainės lankytojo naršyklės gauna simetrišką raktą. Po šios duomenų apsikeitimo operacijos tiek svetainės lankytojo naršyklė, tiek ir tarnybinė stotis žino tą patį simetrišką raktą. Taip sukuriamas simetriškas abipusis duomenų šifravimas ir iššifravimas. Toliau visi duomenys tarp tarnybinės stoties ir svetainės lankytojo naršyklės perduodami juos šifruojant simetrišku sesijos raktu. Atsižvelgiant į tai, kad simetriško rakto joks kitas ryšio dalyvis negali turėti, todėl duomenys tarp svetainės lankytojo naršyklės ir tarnybinės stoties perduodami visiškai saugiai.
Ši asimetrinio šifravimo, kaip vienakryptės matematinės funkcijos ypatybė, kurią lengvai galima apskaičiuoti tik viena kryptimi, vadinama Diffie-Hellmano algoritmu. Žinoma, šios duomenų mainų manipuliacijos sukuria papildomą apkrovą tarnybinei stočiai ir esant dideliam vartotojų srautui šiek tiek lėtina jos veikimą, tačiau tai atlikti reikia tik kartą ryšio seanso pradžioje. Net jei kas nors iš pašalinių perimtų išankstinį pasikeitimą pranešimais, tai jums nepakenktų. Tolimesnis pasikeitimas duomenimis yra šifruojamas naudojant gautą slaptą (privatų) raktą ir duomenis patikimai apsaugant nuo pašalinių. Ši procedūra vadinama simetriniu šifravimu.
KODĖL SVETAINEI REIKALINGAS IŠPLĖSTINIS SERTIFIKATAS SU AUTENTIFIKACIJOS PATVIRTINIMU?
Jei vis tik apgaulės (angl. fishing) ar virusinio įskiepio būdu piktavaliui pavyksta įsiterpti tarp jūsų naršyklės ir jus dominančios svetainės tarnybinės stoties, jis gali lengvai jūsų naršyklei prisistatyti kaip svetainės tarnybinė stotis, kuriai buvo pateikta užklausa gauti saugų ryšiui reikalingą raktą. Tuomet piktavalis gali kreiptis į svetainės tarnybinę stotį, į kurą buvo išsiųsta užklausa, prisistatyti kaip vartotojo naršyklė ir užmegzti privatų ryšį. Taip piktavalis gali gauti šifruotas užklausas iš naršyklės, iššifruoti jas ir vėl užšifruoti naudodamas kitą raktą bei persiųsti svetainės tarnybinei stočiai apsimetęs vartotojo naršykle. Piktavalis veiks kaip tarpininkas, visiškai kontroliuojantis ryšį, o naršyklė ir svetainės tarnybinė stotis apie tai net nežinos, galvodami, kad jie bendrauja tiesiogiai be jokių tarpininkų (2 pav.).
2 pav. „Man-In-The-Middle“ atakos schema
Šis pavyzdys akivaizdžiai įrodo būtinybę užtikrinti autentiškumą, nors autentiškumo patvirtinimas nėra toks jau paprastas. Įsivaizduokite, kad jums reikia susitikti su nepažįstamuoju, kurio niekada nematėte, bet jūs žinote tik jo vardą. Kaip įsitikinti, kad asmuo, kuris atvyko į susitikimą, yra būtent tas, kuriuo jis prisistato esąs? Nors galimybių yra daug, tačiau paprasčiausia yra paprašyti jo parodyti asmens tapatybę patvirtinantį dokumentą, pavyzdžiui, pasą, ir, jei vardas sutampa su tuo, kurio laukėte, tai tikėtina, kad tai tas asmuo ir yra. Pasu patikime todėl, kad tai oficialus dokumentas, išduotas visuotinai pripažįstamos institucijos piliečių identifikavimui.
Internete viskas vyksta panašiai. Siunčiant užklausą į svetainę ir naudojant šifravimą, labai svarbu įsitikinti, ar į mūsų užklausą atsakė tinkama svetainė, o ne ta, kuri tik apsimeta tokia esanti. Tokiam autentifikavimui patvirtinti yra skirtos specialios organizacijos, vadinamieji sertifikavimo centrai (angl. Certificate Authority (CA)). Jų užduotis – patikrinti ir patvirtinti (paliudyti) domeno egzistavimą ir jo valdymą. Jei įmonės, kuriai priklauso svetainė, patikra yra sėkminga, sertifikavimo centras išduoda savo parašu patvirtintą skaitmeninį sertifikatą. Kaip ir paso išdavimo atveju, viskas grįsta pasitikėjimu visuotinai pripažįstama organizacija. Naršyklėse iš anksto yra įdiegta informacija apie šiuo metu esamus (galiojančius) sertifikavimo centrus, kuriomis naršyklės pasitiki.
Taigi, svetainės skaitmeninis sertifikatas išsprendžia svetainės autentifikavimo problemą, o SSL/TLS protokolas šifravimu užtikrina saugų duomenų perdavimą atvirais ryšio kanalais. Tik esant tinkamam skaitmeniniam sertifikatui, kurį svetainėje patvirtina patikimas sertifikavimo centras, atsiranda galimybė užmegzti šifruotą HTTPS ryšį.
KAS, JEI SERTIFIKATAS NETURĖS PATVIRTINTOS AUTENTIFIKACIJOS?
|
Svarbiausias dalykas, ar naršyklės pasitiki pateikiamu sertifikatu, nes sertifikatą gali išduoti ir svetainės savininkas pats sau. Tokie sertifikatai vadinami savarankiškai pasirašytais sertifikatais. |
Atrodytų, kad pakaktų vien užmegzti ryšį, tačiau naršyklės vien techniniu ryšiu nepasitiki, nes niekas nepaliudijo svetainės autentiškumo. Vartotojui naršyklė praneš (3 pav.), kad sertifikatas nėra patikimas jei:
- Svetainės sertifikatas yra pasirašytas savarankiškai;
- Išduotas nežinomo sertifikavimo centro;
- Domenas nesutampa;
- Pasibaigė sertifikato galiojimas.
3 pav. Pranešimas apie nepatikimą sertifikatą
Kalbant apie svetainės sertifikato patikimumą, galima išskirti tris lygius: paprastas, įmonės patvirtinimo ir išplėstinis įmonės patvirtinimas. Esant paprastam SSL sertifikato patvirtinimui (angl. Domain Validation (DV)), jo išdavimo metu patikrinamas ir patvirtinamas svetainės domeno egzistavimas bei teisės į domeno nuosavybę atitiktis. Tai labiausiai paplitęs internetinių svetainių skaitmeninių sertifikatų tipas. Tačiau visais kitais atvejais to nepakanka. Įsivaizduokite, kad kas nors sukūrė gerai žinomos internetinės parduotuvės ar banko tos pačios išvaizdos ir labai panašaus domeno pavadinimo svetainės kopiją. Toks piktavalis gali teisėtai gauti paprastą skaitmeninį sertifikatą ir stengtis įtikinti nepastabius lankytojus jungtis prie šios svetainės turėdamas kėslų pavogti jų asmens duomenis.
Svetainių savininkai, norėdami apsaugoti savo klientus nuo galimų piktavalių, gali užsakyti savo svetainės SSL sertifikatą, kuriuo papildomai yra patikrinama jų įmonė. Šiuo atveju sertifikavimo centras papildomai patvirtina įmonės egzistavimą, o sertifikatas liudija ne tik domeną, bet ir įmonės, kuriai jis yra išduotas, pavadinimą.
Sertifikatai su išplėstiniu patvirtinimu (angl. Extended Validation (EV)), kaip išplėstinio patvirtinimo santrumpa, yra brangesni ir sudėtingiau pasiekiami. Organizacijoms, norinčioms juos gauti, taikomi specialūs reikalavimai ir atliekami išsamūs patikrinimai. Juos paprastai užsako didelės įmonės, branginančios savo klientų pasitikėjimą, kurių reputacija yra labai svarbi ir joms yra būtina papildoma apsauga. Svetainės, turinčios išplėstinio patvirtinimo sertifikatus, naršyklėse turi papildomą skiriamąjį ženklą – žalios spalvos savo pavadinimą. Tokiais sertifikatais interneto vartotojai labiausiai pasitiki.
Taip pat pažymėtina, kad svetainių puslapiai nėra vientisi. Jie sudaryti iš atskirų dalių, tokių kaip tekstas, paveikslėliai, stilių įvairovė, programinis kodas ir pan. Visą tai yra sudėtinė puslapio dalis, kurie naršyklėje įkeliami atskirai. Tokiu būdu galima situacija, kai kiekvienas iš šių elementų bus svetainėje įkeliamas tuo protokolu, pavyzdžiui, HTTP, kuris aprašytas puslapio kode, vietoj to, koks yra naudojamas šiame puslapyje, pavyzdžiui, HTTPS.
Jei atidarinėtume svetainę su apsaugotu HTTPS protokolu, o paveikslo užklausa būtų vykdoma su paprastu HTTP, tuomet naršyklė atveriamą puslapį traktuotų kaip skirtingo turinio, o tai, žinoma, mažintų sujungimo saugumą. Apie tai svetainė lankytojui praneša naršyklės adresų juostoje esančiu įspėjančiuoju ženklu apie pastebėtą klaidą. Spustelėję ant „Learn more“ nuorodos, pamatysite pranešimo detales.
HTTPS ryšiu bandant įkelti „JavaScript“ kodą arba svetainės CSS stiliaus failus HTTP protokolu, naršyklė tokį puslapį blokuotų, interpretuodama tai kaip rimtą pažeidžiamumą. Likusi įkelta puslapio dalis laikoma saugi, tačiau ji gali veikti nekorektiškai dėl ne nepilnai įkeltų puslapio turinio elementų. Jei vis tik nepaisant saugos perspėjimų norima šiuos elementus atidaryti, galima informaciniame pranešime paspausti atitinkamas nuorodas. Naršyklė atnaujins puslapio įkėlimą, bet visą puslapį pažymės kaip nesaugų.
KAIP PATIKRINTI SSL SERTIFIKATĄ „CHROME“ NARŠYKLĖJE
„Chrome“ naršyklėje saugus HTTPS protokolo ryšys matyti naršyklės adresų juostoje, kai spynelės piktograma yra žalia, o užrašas yra „Saugu“ (angl. Secure).
Ant spynelės spustelėjus dešiniuoju pelės klavišu, iššoka meniu:
Norėdami detaliau patikrinti spynele žymimą saugaus ryšio pranešimą, spaudžiame nuorodą „Sužinokite daugiau“ (angl. Learn more), kuri apibūdina, kad ryšys yra saugus (4 pav.).
4 pav. Langas, paaiškinantis pranešimų apie saugias ir nesaugias svetaines žymėjimą
Pasiekti detalesnes SSL sertifikato savybes galima per bendrąjį naršyklės nustatymų meniu (5 pav.). Tai pamatysite spustelėję piktogramą su vertikaliu daugtaškiu, esančiu naršyklės dešinėje adreso juostos pusėje.
5 pav. Iššokantis meniu detalesnėms SSL sertifikato savybėms pasiekti
Iš išsiskleidusio meniu pasirenkame „Papildomi įrankiai“ (angl. More Tools), iš kurių renkamės „Kūrėjo įrankiai“ (angl. Developer Tools).
Atsidariusiame lanke pasirenkame skirtuką „Sauga“ (angl. Security). Čia galite pamatyti saugaus susijungimo (angl. Security Connection) savybes (6 pav.), o taip pat mygtuką „Peržiūrėti sertifikatą“ (angl. View Sertificate).
6 pav. Skirtuko „Sauga“ langas
Paspaudę mygtuką „Peržiūrėti sertifikatą“, matysite langą su SSL sertifikato savybėmis. Atsidaro langas su informacija apie sertifikatą (7 pav.).
Skirtuke „Bendra“ (angl. General) yra pagrindinė informacija apie sertifikatą: sertifikato paskirtis, kas ir kam šį sertifikatą išdavė bei nurodomas sertifikato galiojimo laikas. Šiuo atveju jis išduotas:
- Nuotolinio kompiuterio (tinklalapio) nustatymui;
- „Google.lt“ domenui ir jo subdomenams (8 pav.);
- „Google“ interneto administravimo G3 sertifikavimo centrui;
- Išduotas laikotarpiui nuo 2017-10-24 iki 2018-01-16.
7 pav. Skirtuko „Bendrasis“ (angl. General) langas
Skirtuke „Sertifikavimo kelias“ (angl. Sertification Path) galite pamatyti, kas kurį sertifikatą patvirtino (8 pav.).
Yra nemažai aukščiausio lygio sertifikavimo centrų. Tarpusavyje patvirtinami įgaliojimai išduoti sertifikatus matosi iš grandinėlės, kuri parodyta žemiau.
Šiuo atveju domeno * „google.lt“ SSL sertifikatas buvo išduotas „Google Internet Authority G3“ sertifikavimo institucijos, kuri jį atitinkamai pasirašė su savo skaitmeniniu parašu. „Google Internet Authority G3“ sertifikatą pasirašė ir kita sertifikavimo institucija – „Google Trust Services – GlobalSign Root CA-R2“.
8 pav. Skirtuko „Sertifikavimo kelias“ (angl. Sertification Path) langas
REKOMENDACIJOS
Žinant, kam reikalingas HTTPS protokolas, reikia pripažinti, kad duomenų srauto šifravimo technologija yra žinoma jau senai, ir ją senai naudojo interneto bankų, mokėjimo sistemų, didelių elektroninių parduotuvių savininkai, kuriems svarbu užtikrinti lankytojų privačios informacijos saugą. Pastaruoju metu situacija pradėjo pastebimai keistis – svetainių, kurios naudoja šifruotą HTTPS ryšį, sparčiai daugėja, įskaitant ir tas svetaines, kurios savo veikloje lankytojo asmens duomenų nenaudoja. Internetinės paieškos sistemų politika verčia svetainių savininkus įdiegti saugų protokolą į savo svetaines. Pavyzdžiui, „Google“ pareiškus, kad nuo 2017 metų svetainių, kurios neturės įsidiegusios saugaus protokolo, reitingai paieškos sistemoje mažės, o „Chrome“ naršyklės tokias svetaines pažymės kaip nesaugias. Kita vertus, toks perėjimas sukuria techninių problemų ir iššūkių, todėl daugelis senesnių svetainių savininkų pereina prie saugaus ryšio protokolo ne taip greitai, kaip to norėtų vartotojai. Migracijos procesas link saugių protokolų sparčiai įsibėgėja ir netolimoje ateityje HTTPS visiškai pakeis nesaugų HTTP.
Saugiam naršymui internete svarbu laikytis šių rekomendacijų:
1. Internete teikdami savo asmens duomenis, visada paisykite saugumo reikalavimų. Būkite apdairūs, ypač jei prie šios informacijos turi prieigą bet kuris vartotojas.
2. Apdairiai naudokitės tomis elektroninėmis paslaugomis, kurioms reikia Jūsų asmens duomenų. Prieš pateikdami savo asmens duomenis įsitikinkite, kad interneto svetainė, kuriai teikiami duomenys, yra patikima. Jei elektroniniu paštu gaunate nenumatytą laišką, kuriame prašoma pateikti savo asmens duomenis ir (arba) slaptažodį, – būkite budrūs. Tai dar vienas būdas piktavaliams gauti prieigą prie Jūsų duomenų.
3. Venkite puslapių, kuriuose turite registruoti savo paskyras, užsakyti ir sumokėti už prekes, jei adresai prasideda „http://...“, vietoj „https://....“. Interneto svetainėje, kurios adresas prasideda „https://...“, ryšio duomenys yra šifruojami. Tai, kad ryšys su interneto svetaine ar jos dalimi yra saugus, dažnai parodo mažas pakabinamos spynelės simbolis. „Chrome“ naršyklėje greitai sertifikato peržiūrai naudokite klavišų kombinaciją + + „I“.
4. Jungiantis prie savo internetinio banko ar elektroninio pašto paskyros įsitikinkite, kad adresas yra toks, kuriuo įprastai jungiatės. Nenaudokite klaidinančių nuorodų, kurios gali atidaryti fiktyvias interneto svetaines.
5. Nepageidaujami reklaminiai pranešimai ir kitas elektroninio pašto šlamštas (angl. spam) ne tik užpildo asmeninio elektroninio pašto erdvę, tačiau su jais gali atkeliauti virusai, suteikiantys neteisėtą prieigą prie Jūsų kompiuterio. Rekomenduojama neatidarinėti prisegtų failų ar nuorodų, gautų elektroniniu paštu iš nepažįstamųjų.
6. Naudokitės tik patikimu interneto ryšiu. Viešose vietose venkite nežinomų tinklų, kurie gali būti piktavalių spąstai. Junkitės prie konkretaus pavadinimo tinklo su Wi-Fi tinklo prisijungimo slaptažodžiu. Prisijungę prie viešo Wi-Fi venkite naudotis elektronine bankininkyste ar apsipirkimo internetu.
7. Apie internete esamas grėsmes informuokite savo vaikus, suteikite jiems žinių apie saugų elgesį elektroninėje erdvėje.
BDAR Reforma - Laukiantys pokyčiai
-Reglamente (ES) 2016/679 numatyti svarbiausi pasikeitimai duomenų subjektams (žmonėms), duomenų valdytojams (verslui, įstaigoms, įmonėms, organizacijoms ir kt., profesinėje veikloje naudojantiems asmens duomenis) ir duomenų tvarkytojams.
Reglamente (ES) 2016/679 numatyti svarbiausi pasikeitimai:
1. Reglamento svarbiausi pakeitimai susiję su trimis asmens duomenų apsaugos reformos tikslais:
- Duomenų subjektų teisių stiprinimas;
- Duomenų tvarkytojų ir duomenų subtvarkytojų atsakomybės nustatymas;
- Reguliavimo skaidrumas ir patikimumas.
2. Įtvirtinamos naujos duomenų subjekto teisės:
- Teisė į duomenų perkeliamumą (duomenų subjektas turės teisę gauti susijusius su juo asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti tuos duomenis kitam duomenų valdytojui);
- Teisė būti pamirštam.
3. Įtvirtinamas duomenų subjektų atstovavimas – duomenų subjektas turi teisę įgalioti ne pelno įstaigą, organizaciją ar asociaciją, kuri tinkamai įsteigta pagal valstybės narės teisę ir kurios įstatais nustatyti tikslai atitinka viešąjį interesą, kuri veikia duomenų subjekto teisių bei laisvių apsaugos srityje, kiek tai susiję su jų asmens duomenų apsauga, jo vardu pateikti skundą ir jo vardu naudotis jam tam tikromis Reglamente numatytomis teisėmis.
4. Sugriežtinami sutikimo reikalavimai – numatoma, kad, kai duomenys tvarkomi gavus duomenų subjekto sutikimą, duomenų valdytojas turi galėti įrodyti, kad duomenų subjektas sutiko su duomenų tvarkymo operacija. Apsaugos priemonėmis turi būti užtikrinama, kad duomenų subjektas suvoktų, kad jis duoda sutikimą ir dėl ko jis jį duoda. Duomenų valdytojo iš anksto suformuluotas sutikimo pareiškimas turi būti pateiktas suprantama ir lengvai prieinama forma, aiškiai ir paprasta kalba, jame neturėtų būti nesąžiningų sąlygų. Sutikimas neturi būti dviprasmiškas.
5. Pirmą kartą Europos Sąjungos teisėje reglamentuojamas nepilnamečio iki 16 m. asmens duomenų tvarkymas. Nustatyta, kad kai vaikas yra jaunesnis negu 16 metų, toks tvarkymas yra teisėtas tik tuo atveju, jeigu tą sutikimą davė arba tvarkyti duomenis leido vaiko tėvų pareigų turėtojas, ir tokiu mastu, kokiu duotas toks sutikimas ar leidimas. Vaikui tapus suaugusiu, jis turi teisę sutikimą atšaukti ir reikalauti duomenis sunaikinti.
6. Reglamentas yra tiesioginio taikymo teisės aktas, todėl nuo 2018 m. gegužės 25 d. duomenų tvarkymas Lietuvoje turės atitikti Reglamente nustatytą teisinį reguliavimą ir kiekvienas duomenų valdytojas turi pats pasirūpinti, kad būtų atnaujinti reikiami vidiniai asmens duomenų tvarkymo dokumentai, atsižvelgiant į Reglamente nurodytus reikalavimus.
7. Išplėsta teritorinė Reglamento taikymo sritis, t. y. Reglamentas yra taikomas ne tik tuo atveju, kai asmens duomenis tvarko Europos Sąjungoje įsisteigęs duomenų valdytojas arba duomenų tvarkytojas, vykdydamas savo veiklą, bet ir tuo atveju, kai Europos Sąjungoje esančių duomenų subjektų asmens duomenis tvarko Europos Sąjungoje neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla susijusi su prekių arba paslaugų siūlymu duomenų subjektams Europos Sąjungoje arba elgesio, kai jie veikia Europos Sąjungoje, stebėsena.
8. Pagal naują reglamentavimą atsakomybė už asmens duomenų tvarkymą tenka duomenų valdytojams, Reglamentas išplečia pareigų duomenų tvarkytojams ratą. Anksčiau už asmens duomenis buvo atsakingas duomenų valdytojas, o Reglamente numatyta, kad atsakomybę turės pagal susitarimą dalytis tiek duomenų valdytojas, tiek duomenų tvarkytojas.
9. Nustatomas „vieno langelio“ principas, t. y. duomenų valdytojo arba duomenų tvarkytojo pagrindinės buveinės arba vienintelės buveinės priežiūros institucija turi kompetenciją veikti kaip vadovaujanti priežiūros institucija, kai tas duomenų valdytojas arba duomenų tvarkytojas vykdo tarpvalstybinį duomenų tvarkymą. Vadovaujanti priežiūros institucija yra vienintelė institucija, su kuria duomenų valdytojas arba duomenų tvarkytojas palaiko ryšius, kai jie vykdo tarpvalstybinį duomenų tvarkymą.
10. Stiprinamas priežiūros institucijų bendradarbiavimas. Visais atvejais, kai bus atliekamas tarpvalstybinis duomenų tvarkymas, t. y. kai asmens duomenų tvarkymas lies kelių valstybių narių gyventojus, skirtingų šalių priežiūros institucijos bus kompetentingos spręsti dėl asmens duomenų tvarkymo atitikimo Reglamentui. Siekiant užtikrinti vienodą praktiką, vadovaujanti priežiūros institucija bendradarbiaus su atitinkamų valstybių narių priežiūros institucijomis atliekant bendrus tyrimus, priimant bendrą sprendimą bei taikant sankcijas. Nustatoma pareiga vadovaujančiai priežiūros institucijai pateikti sprendimo projektą kitoms susijusioms priežiūros institucijoms, kad jos pateiktų savo nuomonę. Susijusios priežiūros institucijos per keturias savaites turės pareikšti tinkamą ir pagrįstą prieštaravimą dėl sprendimo projekto arba jam pritarti. Jeigu į prieštaravimą nėra atsižvelgiama, klausimas toliau sprendžiamas Europos duomenų apsaugos valdyboje. Europos duomenų apsaugos valdybos sprendimas vadovaujančiai priežiūros institucijai yra privalomas. Nepriklausomai nuo to, ar buvo kreiptasi į Europos duomenų apsaugos valdybą ar ne, vadovaujančios priežiūros institucijos priimtas sprendimas, apie kurį informuojamos susijusios valstybių narių priežiūros institucijos, gali būti skundžiamas teismui.
11. Reglamentas remiasi atitikties logika, kuri grindžiama duomenų valdytojų ir duomenų tvarkytojų skaidrumu ir atskaitomybe (kitaip negu Direktyvoje 95/46/EB, kuri numatė atitiktis asmens duomenų tvarkymo teisiniam reguliavimui grindžiama tam tikrais išankstiniais formalumais (pranešimais, leidimais).
- Naujasis reguliavimas numato, kad duomenų valdytojas, prieš pradėdamas tvarkyti duomenis, atlieka numatytų duomenų tvarkymo operacijų poveikio asmens duomenų apsaugai vertinimą (ypač tais atvejais, kai numatoma tvarkyti jautrius duomenis ar atlikti profiliavimą).
- Numatyta pareiga pranešti duomenų subjektui apie asmens duomenų saugumo pažeidimą.
- Tiek duomenų valdytojui, tiek duomenų tvarkytojui numatoma pareiga paskirti duomenų apsaugos pareigūną.
- Reglamentas taip pat numato tokius naujus atitikties vertinimo kriterijus kaip elgesio kodeksų laikymasis bei sertifikavimą.
- Reglamente numatomos išankstinės konsultacijos tais atvejais, kai duomenų valdytojas, atlikęs poveikio duomenų apsaugai vertinimą, nustato, kad tvarkant duomenis kiltų didelis pavojus, jei duomenų valdytojas nesiimtų priemonių pavojui sumažinti.
12. Reglamentas numato pareigą rengiantiems pasiūlymus dėl teisėkūros priemonių, kurias priima nacionalinis parlamentas, arba tokia teisėkūros priemone grindžiamos reguliavimo priemonės, susijusios su asmens duomenų tvarkymu, konsultuotis su priežiūros institucija.
13. Duomenų valdytojai ir duomenų tvarkytojai gali perduoti asmens duomenis į trečiąją valstybę tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis, t. y. Reglamento nuostatos bus taikomos ne tik asmens duomenų perdavimui, bet ir vėlesniam asmens duomenų tvarkymui.
14. Kaip ir anksčiau, duomenų apsaugos priežiūros institucijai (Lietuvoje ši institucija yra Valstybinė duomenų apsaugos inspekcija (VDAI)) suteikta teisė tikrinti duomenų valdytojus dėl galimų asmens duomenų apsaugos pažeidimų, tiek savo iniciatyva, tiek pagal galimai nukentėjusiųjų skundus.
15. Reglamente numatytas baudų dydis priverčia suklusti esamus ir būsimus duomenų valdytojus ir pažvelgti asmens duomenų apsaugą labai atsakingai. Duomenų valdytojui ir duomenų tvarkytojui, pažeidusiam Reglamento nuostatas, gali būti skiriamos administracinės baudos, kurios kiekvienu konkrečiu atveju turi būti veiksmingos, proporcingos ir atgrasomos. Priklausomai nuo Reglamento pažeidimo pobūdžio bauda gali siekti nuo 2 iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba nuo 10 000 000 iki 20 000 000 EUR.
12 žingsnių, kuriuos turite žengti jau dabar, kad pasirengtumėte taikyti Bendrąjį duomenų apsaugos reglamentą
-Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) parengė 12 žingsnių rekomendacijas, kuriomis galite vadovautis, kad pasiruoštumėte nuo 2018 m. gegužės 25 d. taikyti Bendrąjį duomenų apsaugos reglamentą (ES) 2016/679 (toliau – Reglamentas (ES) 2016/679). Šios rekomendacijos, pritaikius Lietuvai, buvo parengtos pagal Jungtinės Karalystės Informacijos komisionieriaus tarnybos (Information Commissioner‘s Offise) parengtas gaires „Preparing for the General Data Protection Regulation (GDPR). 12 steps to take now“, kurias galite rasti adresu https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf
Pagrindinės Reglamento (ES) 2016/679 sąvokos ir principai yra beveik tokie patys, kaip ir šiuo metu Lietuvoje galiojančiuose asmens duomenų apsaugą reglamentuojančiuose teisės aktuose, tačiau Reglamentas (ES) 2016/679 numato ir tam tikrų svarbių naujovių bei pokyčių. Suprasti esminius skirtumus tarp dabartinio teisinio reglamentavimo ir Reglamento (ES) 2016/679 Jums padės šie 12 žingsnių bei kita informacija.
Labai svarbu pradėti ruoštis įgyvendinti Reglamentą (ES) 2016/679 kuo anksčiau, nes atsižvelgiant į Reglamento (ES) 2016/679 nuostatas, susijusias su skaidrumu ar asmens teisių įgyvendinimu, Jums, pavyzdžiui, gali prireikti įdiegti naujas procedūras, o tam gali prireikti nemažų finansinių, informacinių technologijų, personalo, valdymo ar kitų išteklių.
Reglamente (ES) 2016/679 didelis dėmesys skiriamas duomenų valdytojų atskaitomybei, todėl tam, kad įrodytumėte, jog laikotės Reglamento (ES) 2016/679, turėtumėte tvarkyti asmens duomenų tvarkymo veiklos, už kurią esate atsakingi, įrašus.
Siekdami įgyvendinti šiame dokumente išvardytus 12 žingsnių, Jūs turėtumėte peržiūrėti, kokie asmens duomenys vykdant veiklą Jūsų įmonėje yra tvarkomi ir kokia yra jų apsauga. Vienas iš aspektų galėtų būti sudarytų asmens duomenų teikimo sutarčių ir kitų susitarimų peržiūrėjimas.
Svarbu atkreipti dėmesį, kad kai kurios Reglamento (ES) 2016/679 dalys turės daugiau įtakos tam tikrų juridinių asmenų veiklai (pavyzdžiui, nuostatos, susijusios su profiliavimu ar vaikų asmens duomenų tvarkymu), todėl patartina išnagrinėti ir nustatyti, kurios Reglamento (ES) 2016/679 nuostatos turės didžiausios įtakos Jūsų veiklai ir pasiruošimo metu skirti toms sritims daugiausiai dėmesio.
1. SĄMONINGUMAS. Turite įsitikinti, kad Jūsų organizacijoje asmenys, priimantys sprendimus, būtų informuoti, jog nuo 2018 m. gegužės 25 d. pradedamas tiesiogiai taikyti Bendrasis duomenų apsaugos reglamentas (ES) 2016/679 (toliau – Reglamentas (ES) 2016/679).
2. INFORMACIJA, KURIĄ JŪS TURITE (TVARKOMI ASMENS DUOMENYS). Jūs turėtumėte aprašyti asmens duomenų tvarkymo procesus, t. y., kokius asmens duomenis tvarkote, iš kur jie yra gauti ar kam jie yra teikiami. Jums gali prireikti atlikti tvarkomų asmens duomenų auditą.
3. INFORMACIJOS APIE PRIVATUMĄ PATEIKIMAS. Turėtumėte peržiūrėti savo organizacijos asmens duomenų tvarkymo taisykles (ar privatumo politiką) ir susiplanuoti reikiamus pakeitimus, susijusius su Reglamento (ES) 2016/679 taikymu.
4. DUOMENŲ SUBJEKTŲ TEISĖS. Turėtumėte peržiūrėti, kaip įgyvendinate duomenų subjekto teises bei įsitikinti, kad jos visos bus įgyvendintos, įskaitant duomenų subjekto teisę reikalauti ištrinti duomenis („teisė būti pamirštam“) ar teisę į duomenų perkeliamumą įprastai naudojamu ir kompiuterio skaitomu formatu.
5. DUOMENŲ SUBJEKTO PRAŠYMŲ DĖL TEISĖS SUSIPAŽINTI ĮGYVENDINIMAS. Turėtumėte atsinaujinti taisykles ir procedūras, atsižvelgiant į Reglamente (ES) 2016/679 įtvirtintus terminus duomenų subjekto prašymams įgyvendinti.
6. ASMENS DUOMENŲ TVARKYMO TEISINIS PAGRINDAS. Turėtumėte peržiūrėti ir įvertinti, kokius asmens duomenis ir kokiais teisiniais pagrindais vadovaudamiesi tvarkote.
7. SUTIKIMAS. Turėtumėte peržiūrėti, kaip prašote, gaunate ir užfiksuojate duomenų subjekto sutikimą ir ar Jums nereikia atlikti kokių nors pakeitimų, susijusių su sutikimo gavimu.
8. VAIKAI. Turėtumėte pagalvoti apie sistemų, kurios galėtų patikrinti asmenų amžių, įdiegimą bei apie tai, kaip galėtų būti gaunamas tėvų arba teisėtų atstovų sutikimas dėl vaikų asmens duomenų tvarkymo.
9. ASMENS DUOMENŲ SAUGUMO PAŽEIDIMAI. Turite įsitikinti, kad esate nustatę tinkamas procedūras, kaip aptikti, pranešti ir ištirti asmens duomenų saugumo pažeidimus.
10. PRITAIKYTOJI DUOMENŲ APSAUGA IR POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS. Gera praktika pripažįstamas pritaikytosios (angl. by design) duomenų apsaugos požiūrio laikymasis, o poveikio duomenų apsaugai vertinimas laikytinas jos dalimi. Pritaikytoji duomenų apsauga ir duomenų kiekio mažinimas visada buvo laikomi besąlygiškais asmens duomenų apsaugos principais. Taigi, Reglamente (ES) 2016/679 šie principai įtvirtinti kaip aiškūs teisiniai reikalavimai.
11. DUOMENŲ APSAUGOS PAREIGŪNAS. Turėtumėte paskirti duomenų apsaugos pareigūną savo organizacijoje, jeigu tokio reikia, ar kitą asmenį iš išorės, kuris būtų atsakingas už asmens duomenų apsaugos reikalavimų laikymąsi, ir įvertinti šios pareigybės padėtį organizacijoje.
12. TARPTAUTINIS ELEMENTAS. Jeigu Jūsų organizacija veikia tarptautiniu mastu, Jūs turėtumėte nuspręsti, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.
Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) parengė 12 žingsnių rekomendacijas Pasirengimas taikyti BDAR (.PDF)
Priimti 7 VDAI direktoriaus įsakymai
-2018 m. gegužės 25 d. įsigalios šie 2017–2018 m. priimti 7 VDAI direktoriaus įsakymai:
- 2017 m. gruodžio 19 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-67(1.12.E) „Dėl Valstybinės duomenų apsaugos inspekcijos direktoriaus 2016 m. birželio 22 d. įsakymo Nr. 1T-23(1.12.E) „Dėl išankstinės patikros atlikimo taisyklių patvirtinimo“ pripažinimo netekusiu galios“
- 2017 m. gruodžio 19 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-68(1.12.E) „Dėl Valstybinės duomenų apsaugos inspekcijos direktoriaus 2016 m. birželio 22 d. įsakymo Nr. 1T-24(1.12.E) „Dėl pranešimų dėl išankstinės patikros formų patvirtinimo“ pripažinimo netekusiu galios“
- 2017 m. gruodžio 19 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-69(1.12.E) „Dėl Valstybinės duomenų apsaugos inspekcijos 2008 m. lapkričio 12 d. direktoriaus įsakymo Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ pripažinimo netekusiu galios“
- 2017 m. gruodžio 19 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-70(1.12.E) „Dėl Valstybinės duomenų apsaugos inspekcijos 2015 m. balandžio 24 d. direktoriaus įsakymo Nr. 1T-25(1.12.E) „Dėl asmens duomenų apsaugos priemonių aprašų formų patvirtinimo“ pripažinimo netekusiu galios“
- 2017 m. gruodžio 19 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-71(1.12.E) „Dėl Valstybinės duomenų apsaugos inspekcijos 2016 m. vasario 19 d. direktoriaus įsakymo Nr. 1T-3(1.12.E) „Dėl pranešimo apie duomenų tvarkymą rekomenduojamų formų patvirtinimo“ pripažinimo netekusiu galios“
- 2017 m. gruodžio 19 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-72(1.12.E) „Dėl Valstybinės duomenų apsaugos inspekcijos 2016 m. sausio 12 d. direktoriaus įsakymo Nr. 1T-1(1.12.E) „Dėl vaizdo duomenų tvarkymo pavyzdinių taisyklių patvirtinimo“ pripažinimo netekusiu galios“
- 2018 m. balandžio 18 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-39(1.12.E) „Dėl VDAI 2015 m. vasario 25 d. direktoriaus įsakymo Nr. 1T-9(1.12.E) „Dėl pavyzdinės asmens duomenų teikimo sutarties formos patvirtinimo“ pripažinimo netekusiu galios“
- 2018 m. gegužės 24 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-52(1.12.) „Dėl prašymo dėl leidimo perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms išdavimo rekomenduojamos formos patvirtinimo“
- 2018 m. gegužės 24 d. Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas Nr. 1T-53(1.12.) „Dėl pranešimo apie asmens duomenų saugumo pažeidimą rekomenduojamos formos patvirtinimo“
2018 m. VDAI planuoja patvirtinti VDAI direktoriaus įsakymų projektus
-2018 m. VDAI planuoja patvirtinti VDAI direktoriaus įsakymų projektus:
- „Dėl Pranešimo apie duomenų saugumo pažeidimą tvarkos aprašo patvirtinimo“;
- „Dėl Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą, sąrašo patvirtinimo“;
- „Dėl Akreditavimo kriterijų patvirtinimo“;
- „Dėl Sertifikavimo kriterijų patvirtinimo“;
- „Dėl Sertifikavimo įstaigų akreditavimo kriterijų patvirtinimo“;
- „Dėl Standartinių duomenų apsaugos sąlygų patvirtinimo“;
- „Dėl VDAI direktoriaus 2011 m. birželio 17 d. įsakymo Nr. 1T-34(1.12) „Dėl Duomenų subjekto teisių susipažinti su savo asmens duomenimis ir ištaisyti, sunaikinti ar blokuoti asmens duomenis įgyvendinimo, kai duomenų subjektas šias teises įgyvendina per VDAI, tvarkos aprašo patvirtinimo“ pakeitimo“;
- „Dėl VDAI vykdomų tyrimų ir (ar) tikrinimų atlikimo taisyklių patvirtinimo“;
- „Dėl Akreditavimo ir akreditavimo pažymėjimų išdavimo tvarkos aprašo patvirtinimo“;
- „Dėl Leidimų perduoti asmens duomenis į trečiąsias valstybes ar tarptautinėms organizacijoms suteikimo tvarkos aprašo“;
- „Dėl išankstinių konsultacijų teikimo taisyklių“ ir kt.
Svarbu atkreipti dėmesį, kad dalies BDAR įgyvendinančių teisės aktų VDAI negali priimti, kol nėra priimta toliau pateikti įstatymai. Taip pat dalis BDAR įgyvendinančių teisės aktų turi būti suderinta europiniu lygiu. Dėl jų tinkamumo spręs Europos duomenų apsaugos valdyba, kuri formaliai pradeda veikti nuo 2018 m. gegužės 25 d.
BDAR - Jūsų teisės
-Terminai
Asmens duomenys – bet kuri informacija, susijusi su žmogumi, iš kurios galima nustatyti jo tapatybę tiek tiesiogiai, tiek netiesiogiai pagal fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymius. Asmens duomenimis laikoma, pvz., vardas, pavardė, gyvenamosios vietos adresas, veido atvaizdas, asmens kodas, pirštų atspaudai, akies rainelė, telefono numeris, elektroninio pašto adresas, interneto protokolo (IP) adresas, automobilio numeris ir t. t.
Duomenų tvarkymas – bet kuris su asmens duomenimis atliekamas veiksmas ar veiksmų rinkinys. Pvz., rinkimas, užrašymas, saugojimas, grupavimas, jungimas, keitimas, paskelbimas, paieška, naikinimas ir t. t.
Duomenų tvarkymas automatiniu būdu – duomenų tvarkymo veiksmai, atliekami elektroninėmis priemonėmis, t. y. įvairiomis informacijos ir ryšių priemonėmis: kompiuteriais, telefonais, planšetiniais kompiuteriais, išmaniaisiais laikrodžiais, vaizdo registratoriais, fotoaparatais, diktofonais ir t. t.
Duomenų subjektas – tai Jūs ir kiekvienas žmogus, kurio asmens duomenys yra tvarkomi.
Duomenų valdytojas – organizacija ar asmuo, kuris naudoja asmens duomenis profesiniais tikslais, pvz., valstybės institucija, įstaiga, savivaldybė, ligoninė, poliklinika, policija, bankas, kredito unija, draudimo bendrovė, e. parduotuvė, kelionių agentūra, mokykla, advokatas, antstolis, notaras ir t. t. Jis nustato duomenų tvarkymo tikslus ir priemones, t. y. kokiu apibrėžtu ir teisėtu tikslu, teisiniu pagrindu vadovaudamasis ir kokius asmens duomenis tvarko, kam teikia, kaip užtikrina duomenų subjekto teises, kokią programinę įrangą naudoja duomenims tvarkyti ir t. t.
Duomenų tvarkytojas – organizacija, duomenų valdytojo įgaliota atlikti duomenų tvarkymo darbą. Duomenų tvarkytojas veikia laikydamasis duomenų valdytojo nurodymų.
JŪSŲ TEISĖS
Lietuvoje kiekvienas žmogus (duomenų subjektas) turi 4 teises asmens duomenų apsaugos srityje, t. y. teisė žinoti, teisė susipažinti, teisė ištaisyti, sunaikinti, sustabdyti ir teisė nesutikti. Šias teises privalo įgyvendinti jo asmens duomenis profesiniais tikslais naudojanti organizacija ar fizinis asmuo (duomenų valdytojas), pvz., valstybės institucija, įstaiga, savivaldybė, ligoninė, poliklinika, policija, bankas, kredito unija, draudimo bendrovė, e. parduotuvė, kelionių agentūra, mokykla, advokatas, antstolis, notaras ir t. t.
Šios teisės padeda užtikrinti, kad informacija apie Jus yra teisinga, kad ji prieinama tik tiems, kam suteikta teisė prie jos prieiti, ir naudojama tik teisėtais tikslais.
TEISĖ ŽINOTI, BŪTI INFORMUOTAM APIE SAVO ASMENS DUOMENŲ TVARKYMĄ
Duomenų valdytojas privalo suteikti duomenų subjektui, kurio duomenis tvarko ar ketina tvarkyti, tam tikrą informaciją tiek, kai asmens duomenis gauna iš paties duomenų subjekto, tiek iš kitur:
- Juridinio asmens pavadinimą, kodą ir buveinę arba fizinio asmens tapatybę, nuolatinę gyvenamąją vietą;
- Kokiais tikslais ketinama tvarkyti duomenis ir kitą papildomą informaciją.
SVARBU
- Duomenų valdytojas privalo informuoti duomenų subjektą apie vykdomą vaizdo stebėjimą dar prieš patenkant į vaizdo stebėjimo lauką ir nurodyti kitą reikiamą informaciją.
- Duomenų subjektui turi būti suteikta minėta duomenų valdytojo informacija ir tuo atveju, kai asmuo pats kreipiasi paslaugos, pvz., perka e. parduotuvėje.
- Duomenų valdytojai turi pateikti informaciją apie asmens duomenų tvarkymą taip, kad žmonės žinotų, kur jos ieškoti. Dažnai tokia informacija yra pateikiama privatumo politikoje, prie informacijos rinkimo, registracijos formų.
- Prieš pateikdami savo asmens duomenis pasidomėkite, kokiais tikslais jie bus tvarkomi, kam teikiami ar visus duomenis privaloma pateikti ir kitomis sąlygomis.
TEISĖ SUSIPAŽINTI SU SAVO ASMENS DUOMENIMIS
- Duomenų subjektas, pateikęs duomenų valdytojui ar duomenų tvarkytojui asmens tapatybę patvirtinantį dokumentą arba tinkamai identifikavęsis elektroninėmis priemonėmis, turi teisę gauti informaciją, iš kokių šaltinių ir kokie jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo teikti bent per paskutinius 1 metus.
- Duomenų valdytojas, gavęs tokį paklausimą, privalo atsakyti, ar su tuo žmogumi susiję asmens duomenys yra tvarkomi, ir pateikti duomenų subjektui prašomus duomenis ne vėliau kaip per 30 kalendorinių dienų nuo kreipimosi dienos.
- Duomenų subjekto prašymu tokie duomenys turi būti pateikiami raštu.
- Neatlygintinai tokius duomenis duomenų valdytojas teikia duomenų subjektui 1 kartą per kalendorinius metus.
- Duomenų subjektas, pateikdamas prašymą susipažinti su tvarkomais savo asmens duomenimis, neturi nurodyti asmens duomenų naudojimo tikslo.
- Duomenų valdytojas turi pateikti ne apibendrintą informaciją, kad tvarkomas vardas, pavardė, adresas ir kt., bet konkrečią asmens informaciją.
TEISĖ REIKALAUTI IŠTAISYTI, SUNAIKINTI AR SUSTABDYTI SAVO ASMENS DUOMENŲ TVARKYMO VEIKSMUS
- Duomenų subjektas turi teisę prašyti ištaisyti neteisingus, neišsamius, netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą. Duomenų valdytojas privalo nedelsdamas tokius asmens duomenis patikrinti ir, jeigu reikia, ištaisyti.
- Duomenų subjektas turi teisę prašyti sunaikinti neteisėtai, nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą. Duomenų valdytojas privalo nedelsdamas neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą ir, jeigu reikia, sunaikinti duomenis.
- Duomenų subjekto prašymu sustabdžius asmens duomenų tvarkymo veiksmus, asmens duomenys turi būti saugomi tol, kol bus ištaisyti ar sunaikinti.
SVARBU
- Jeigu gaunate laiškus dėl komunalinių paslaugų su klaidingai nurodoma Jūsų pavarde, kreipkitės į paslaugų teikėją (duomenų valdytoją), kad Jūsų pavardę ištaisytų.
- Jeigu dokumente (Jums pateiktame notaro, banko, draudimo bendrovės ir t. t., diplome, pažymėjime) pastebite klaidą, kreipkitės į duomenų valdytoją, kad klaidingai pateiktus Jūsų asmens duomenis ištaisytų.
- Duomenų valdytojas privalo nedelsdamas pranešti duomenų subjektui, kad jo prašymu asmens duomenys ištaisyti, neištaisyti, sunaikinti ar sustabdytas asmens duomenų tvarkymas.
- Asmens duomenys taisomi ir naikinami arba jų tvarkymas sustabdomas, kai duomenų subjektas patvirtina savo tapatybę ir pateikia prašymą raštu.
- Duomenų valdytojas privalo nedelsdamas informuoti ir duomenų gavėjus apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytą asmens duomenų tvarkymą ir t. t.
TEISĖ NESUTIKTI, KAD BŪTŲ TVARKOMI JŪSŲ ASMENS DUOMENYS
Tuo atveju, kai asmens duomenys tvarkomi tiesioginės rinkodaros ar socialinio ir viešosios nuomonės tyrimo tikslais, asmuo, nenurodydamas nesutikimo motyvų, turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys.
SVARBU
Asmuo turi teisę bet kada atsiimti duotą sutikimą, pvz., e. parduotuvės paskyroje ar specialioje sutikimo pateikimo ir atšaukimo skiltyje interneto svetainėje, ir nebesutikti dėl jam siunčiamų tiesioginės rinkodaros pranešimų.
- Tuo atveju, kai duomenų valdytojas įgyvendina oficialius įgaliojimus, suteiktus teisės aktais, ar asmens duomenys tvarkomi dėl teisėto intereso, asmuo turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, pateikdamas rašytinį prašymą duomenų valdytojui, tačiau nesutikimas turi būti teisiškai pagrįstas. Gavęs tokį prašymą duomenų valdytojas privalo nedelsdamas neatlygintinai nutraukti asmens duomenų tvarkymo veiksmus ir apie tai informuoti duomenų gavėjus.
- Duomenų subjekto prašymu duomenų valdytojas privalo pranešti duomenų subjektui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti duomenų tvarkymo veiksmus.
PASTABA. Nuo 2018 m. gegužės 25 d. pradėjus taikyti Bendrąjį duomenų apsaugos reglamentą (Reglamentas (ES) 2016/679) ir Jūsų teisės pasipildys dar 3:
- teise reikalauti ištrinti duomenis („teisė būti pamirštam“),
- teise apriboti duomenų tvarkymą ir
- teise į duomenų perkeliamumą.
ŠIOS TEISĖS NĖRA ABSOLIUČIOS
Įstatymuose gali būti numatyta išimčių, kai duomenų valdytojas duomenų subjektų teisių gali neįgyvendinti:
Kai reikia užtikrinti valstybės saugumą ar gynybą
Kai reikia užtikrinti viešąją tvarką, nusikalstamų veikų prevenciją, tyrimą, nustatymą ar baudžiamąjį persekiojimą
Kai reikia užtikrinti svarbius valstybės ekonominius ar finansinius interesus
Kai reikia užtikrinti tarnybinės ar profesinės etikos pažeidimų prevenciją, tyrimą ir nustatymą
Kai reikia užtikrinti duomenų subjekto ar kitų asmenų teisių ir laisvių apsaugą