SKAIDROJUMI
>
Zini savas tiesības un iespējas!
TĒMAS
Signe Krūzkopa
LV portāls
03. augustā, 2018
Lasīšanai: 9 minūtes
RUBRIKA: Skaidrojums
TĒMA: Personas dati
14
14

Pirms uzticēt datus lietotnei, rūpīgi jāizvērtē riski

Publicēts pirms 5 gadiem. Izvērtē satura aktualitāti! >>

FOTO: Aiga Dambe, LV portāls

Taksometru tiešsaistes pakalpojuma sniedzēja “Yandex.Taxi” ienākšana Lietuvas tirgū kaimiņvalstī raisījusi bažas par personas datu drošību. Latvijā šis uzņēmums savus pakalpojumus piedāvā jau kopš marta. Lai arī Latvijā līdz šim sūdzības par "Yandex.Taxi" iespējamiem pārkāpumiem personas datu izmantošanā nav saņemtas, gan Valsts ieņēmumu dienests, gan Drošības policija pievērsusi pastiprinātu uzmanību šī uzņēmuma darbībām. Tikmēr eksperti norāda, ka ir ļoti daudz lietotņu, kam neapdomīgi sniedzam pārāk plašu personīgo informāciju un piekļuvi datiem.

īsumā
  • Neatkarīgi no uzņēmuma reģistrācijas valsts, tam ir saistošas Vispārīgās datu aizsardzības regulas prasības, ciktāl tā darbības notiek Eiropas Savienībā.
  • Lietojot tiešsaistes pakalpojumu, tiek ievākti būtiski personas dati – atrašanās dati (dzīvesvieta, darba vieta, biežāk apmeklētās vietas), telefona numurs, maksājuma dati (piemēram, maksājuma karšu dati).
  • Pirms lietotnes uzstādīšanas ir jāiepazīstas ar tai nepieciešamajām atļaujām un kritiski tās jāizvērtē.
  • Drošības policija norāda, ka valsts un pašvaldību amatpersonas ir starp prioritārajiem ārvalstu izlūkošanas dienestu naidīgas vervēšanas mērķiem. Tāpēc tām ir jāpievērš īpaša uzmanība savu datu aizsardzībai.

Lietuvas Nacionālais kiberdrošības centrs ieteicis pilsoņiem neizmantot “Yandex.Taxi” piedāvāto lietotni (aplikāciju). Paziņojumā teikts, ka lietotnes vajadzība saņemt informāciju no mobilās ierīces “iespējams, rada apstākļus personas datu nelikumīgai vākšanai un uzkrāšanai, bet tas rada bažas saistībā ar drošību. Šobrīd notiek visaptveroša lietotnes drošības analīze”.

Sūdzību pagaidām nav

Latvijas Datu valsts inspekcija (DVI) norāda, ka “saskaņā ar Vispārīgās datu aizsardzības regulas 3. pantu taksometru tiešsaistes pakalpojumu operatoram "Yandex.Taxi", neatkarīgi no uzņēmuma reģistrācijas valsts, ir saistošas regulas prasības, ciktāl viņu darbības notiek Eiropas Savienībā”. “Yandex.Taxi” ir Krievijas kapitāla kompānija, kuras lietotni taksometra pakalpojumu nodrošināšanai, kas pieejama arī Latvijā, administrē Nīderlandē reģistrēts uzņēmums “Yandex.Taxi BV”.

DVI norāda, ka, apmeklējot pakalpojuma sniedzēja "Yandex.Taxi" interneta vietni, tās uzturētājs ir ievietojis Privātuma politiku, kurā lietotājs var noskaidrot, kādus personas datus pakalpojuma sniedzējs ievāc, kāds ir tiesiskais pamats šādai personas datu apstrādei, kas ir personas datu saņēmēju kategorijas un citu informāciju. Izvērtējot konkrētā uzņēmuma Privātuma politikā iekļauto informāciju, DVI nav konstatējusi, ka tā neatbilstu Vispārīgās datu aizsardzības regulas 13. panta prasībām.

Datu valsts inspekcijas ieskatā lielākais risks patērētājam izpaužas apstāklī, ka tiek apstrādātas (ievākti, glabāti, iespējams nodoti) vairākas personas datu grupas – atrašanās dati (dzīvesvieta, darba vieta, biežāk apmeklētās vietas), telefona numurs, maksājuma dati (skaidrā nauda vai maksājuma karšu dati) u.c., kas ļauj apkopot informāciju par personas paradumiem, finansiālo stāvokli, statusu u.c., veikt personas profilēšanu.

Lai pasargātu sevi no pārmērīgas personas datu nodošanas un privātuma aizsardzības apdraudējuma riska, DVI aicina lietotājus rūpīgi iepazīties ar jebkuru vietņu vai aplikāciju lietošanas noteikumiem, privātuma politiku un citiem nosacījumiem, kā arī ievērot elementārus drošības pasākumus, mobilās aplikācijas lejupielādējot tikai no oficiālajiem pakalpojumu sniedzējiem “Google play” vai “App store”.

Īpaši jāuzmanās amatpersonām

Drošības policija (DP) norāda, “ka jau iepriekš ir vērsusi uzmanību uz riskiem, kas var būt saistīti ar Krievijas informācijas platformu izmantošanu, tajā skaitā personas datu vākšanu un nodošanu trešajai pusei. DP vērtējumā arī šajā gadījumā nav izslēdzama iespēja, ka personas brīvprātīgi sniegtie dati, it īpaši, ja tie daļēji vai pilnībā tiek apstrādāti un glabāti trešajās valstīs, var nonākt šo valstu subjektu, t.sk. specdienestu, kuriem nav saistošs Eiropas Savienības tiesiskais regulējums datu aizsardzībai, rīcībā. Tas savukārt rada risku, ka šie dati var tikt izmantoti, lai atlasītu personas naidīgām vervēšanas vai informācijas iegūšanas aktivitātēm”.

DP norāda, ka “ņemot vērā, ka amatpersonas ir starp prioritārajiem ārvalstu izlūkošanas dienestu naidīgas vervēšanas mērķiem, valsts un pašvaldību amatpersonām ir jāpievērš īpaša uzmanība savu datu aizsardzībai”.

Latvijas Informācijas tehnoloģiju drošības incidentu novēršanas institūcija “Cert.lv” uzsver: “Jebkura lietotne – gan “Yandex.Taxi”, gan citas – veic lietotāju datu ievākšanu. Pirms lietotnes uzstādīšanas ir jāiepazīstas ar tai nepieciešamajām atļaujām un kritiski tās jāizvērtē. Vai, piemēram, pusdienu piedāvājumu lietotnei tiešām nepieciešama atļauja sūtīt maksas SMS un gūt pilnu piekļuvi lietotāja kontaktu grāmatai? Īpaši rūpīgi to vajadzētu izvērtēt valsts sektorā strādājošajiem, īpaši tad, ja viņi plāno izmantot lietotnes, kas izstrādātas Latvijai mazāk draudzīgās valstīs.

Darbs valsts sektorā uzliek papildu pienākumu kritiski izvērtēt savas darbības tiešsaistē un atbildīgi veikt lietotņu izvēli un lietošanu. Darbiniekiem ir jāievēro iestāžu iekšējie drošības noteikumi un politika, kas ietver sevī arī informācijas drošības noteikumus. “Cert.lv” sarakstus ar nevēlamām ierīcēm un aplikācijām ir jau iepriekš apkopojis un par to informējis valsts iestādes. Šādas aktivitātes tiek veiktas gadījumos, kad ir iespējams pamatot nevēlamo ierīču/aplikāciju sarakstu ar faktos balstītiem pētījumiem, kā tas ir bijis, piemēram, ar Ķīnas kompānijas “ADUPS FOTA” produktiem”.

Jāvērtē arī no politiskā aspekta

“Cert.lv” norāda, ka bažas par “Yandex.Taxi” aplikācijas uzticamību jāvērtē gan no tehnoloģiskā, gan politiskā aspekta: “Pirmkārt, jāspēj tehniski pamatot fakts, ka aplikācija apkopo vairāk lietotāju datus, nekā tas nepieciešams, lai nodrošinātu sekmīgu tās darbību un lietotāja pieredzi. Turklāt “Yandex” jāspēj pamatot katras datu klases savākšanas nepieciešamība un Eiropas datu aizsardzības regulai atbilstoša to glabāšana un apstrāde. Uz šo vēl jāsagaida Lietuvas kolēģu pētījuma rezultāti.

Bet, pat ja no šī aspekta viss izskatās korekti – dati tiek primāri pārsūtīti uz serveriem Nīderlandē vai citā ES valstī –, neuzticību raisa faktu kopums, ka “Yandex.Taxi” projekta vadība un finansiālais segums ir cieši saistīts ar “Mail.ru”, kuram savukārt ir ciešas saiknes ar Kremlim pietuvinātiem cilvēkiem. Šādi fakti raisa bažas IT drošības aprindās un plašāk sabiedrībā, jo Krievijas Federācija jau gadiem nemitīgi veic ofensīvas kiberoperācijas, kuras pētot ir secināts, ka Kremlim draudzīgais privātais sektors bieži tiek iesaistīts operācijas mērķu sasniegšanai.”

“Piekrītu” – pārāk vieglprātīgi

Kā skaidro “ALSO Latvia” risinājumu eksperts un konsultants Artjoms Krūmiņš, katra aplikācija, ko izmantojam, ievāc šādus un līdzīgus privātus datus – vai tā būtu jebkura cita taksometru kompānija, ēdiena piegādātājs vai, piemēram, populārā spēle “Candy Crush”. “Cilvēki vēlas saņemt aizvien labākus, kvalitatīvākus pakalpojumus, kas atvieglo dzīvi. Tāpēc arī viņi izmanto aplikācijas un sniedz tām atļauju piekļūt saviem datiem. Diemžēl, drošības aspekts nereti paliek novārtā,” teic speciālists.

A. Krūmiņš: “Tiesa, ir Vispārīgā datu aizsardzības regula, kura savā ziņā mūs sargā no pārcentīgiem datu ievācējiem. Tomēr aplikācijas lietošanas noteikumi, kuros aprakstīts, kādi dati tad īsti tiek ievākti, ir paslēpti zem podziņas “piekrītu”. Cilvēki nevēlas gaidīt, kamēr varēs saņemt pakalpojumu – tāpēc piekrīt noteikumiem, neizlasot tos.”

Speciālists uzsver, ka šajā tehnoloģiski tik attīstītajā laikmetā jārēķinās: “Tiklīdz izejam publiskajā tīklā, mēs jau esam apdraudēti. Praktiski vienmēr pastāv risks, ka ir iespējama nesankcionēta piekļuve mūsu sniegtajiem datiem.”

Par to, kādi drošības pasākumi jāievēro, lejuplādējot un lietojot aplikācijas, atgādina Europol un Valsts policijas sagatavotais materiāls “Tikai spēle?”.

Labs saturs
14
Pievienot komentāru
LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI