Apsaugok duomenis

Studente, aukštojoje mokykloje vykdoma plagijavimo patikra gali pažeisti tavo asmens duomenų saugumą! Apsisaugok.

Šioje svetainėje sužinosi, kaip apsaugoti savo asmens duomenis studijų metu. Studentų rašto darbų turinys dažnai perduodamas trečiųjų šalių paslaugų teikėjams, kurių serveriai yra įsikūrę JAV. Tai reiškia, kad Tavo asmens duomenys (pvz., vardas, pavardė, buvimo vietos duomenys, el. paštas), o tam tikrais atvejais ir specialių kategorijų asmens duomenys (tokie kaip politinės, religinės ar kitos pažiūros, išreikštos rašto darbuose), gali būti perduodami į šalį, kurios teisės aktai neužtikrina tinkamo BDAR (Bendrasis duomenų apsaugos reglamentas) numatyto asmens duomenų apsaugos lygio.

Projekto tikslai

Informuoti studentus apie galimai vykdomus jų asmens duomenų saugos pažeidimus aukštosiose mokyklose.

Suteikti priemones esamiems ir buvusiems studentams apsaugoti savo asmens duomenis.

Fiksuoti vykdomus pažeidimus ir imtis teisinių priemonių apsaugoti studentų interesus.

Kaip Tavo teisės gali būti pažeistos?


Pagal BDAR, duomenų tvarkymas turi būti proporcingas ir būtinas tik konkretiems, teisėtiems tikslams. Keliant Jūsų rašto darbą plagiato patikrai į Turnitin sistemą, darbo turinys kartu su visa Jūsų asmens duomenų informacija perduodamas JAV bendrovei. Duomenims patekus į JAV bendrovės serverius, jie gali tapti lengvai prieinami šios šalies institucijoms. Tokie JAV teisės aktai kaip Cloud įstatymas (angl. Clarifying Lawful Overseas Use of Data Act), Užsienio žvalgybos sekimo įstatymas (FISA) suteikia JAV vyriausybei plačią prieigą prie asmenų asmens duomenų, saugomų JAV įmonių serveriuose. Tai prieštarauja ES duomenų apsaugos teisės aktams, kurie numato griežtą apsaugą nuo neteisėtos valdžios institucijų prieigos prie asmens duomenų.

ES įstatymai reikalauja, kad asmens duomenų, perduodamų į trečiąsias šalis, apsauga būtų lygiavertė duomenų apsaugai pagal BDAR. Tačiau JAV tesės aktai ir praktika duomenų apsaugos srityje neatitinka BDAR standartų, ypač dėl vyriausybės prieigos prie duomenų. Tai patvirtina ESTT sprendimai. ESTT nusprendė, kad JAV teisės aktai neužtikrina tokio lygio apsaugos dėl nepakankamų ribų ir priežiūros priemonių JAV vyriausybės prieigai prie duomenų. Tai buvo viena iš pagrindinių priežasčių, kodėl 2020 m. liepos mėn. buvo pripažintas netinkamu ir panaikintas ES–JAV Privatumo Skydas – sutartis, kuri buvo naudojama duomenų perdavimui tarp ES ir JAV įteisinti.

Šių dienų JAV politinė situacija ypač neramina. Pavyzdžiui, balandžio mėnesį JAV prezidentas Donaldas Trumpas pareiškė, kad Jungtinė Karalystė galės pasirašyti prekybos sutartį tik jei atsisakys teisės aktų, saugančių LGBTQ+ bendruomenę. Tai nėra pavienis atvejis – JAV valdžios institucijos pastaruoju metu ne kartą sulaukė kritikos dėl sprendimų, nukreiptų prieš įvairias socialines grupes, įskaitant migrantus, etnines ir kitokias mažumas, bei kitas pažeidžiamas visuomenės grupes.

Kodėl tai svarbu Tau?

Nes Tavo rašto darbų turinyje gali būti informacijos, iš kurios galima spręsti apie Tavo politines, socialines pažiūras, religiją, seksualinę orientaciją ir pan. Šiuolaikinės technologijos leidžia automatizuotai sudaryti išsamų asmenybės profilį – psichologinį ar net ideologinį, o tokie duomenys gali būti įvairiai Tau nežinant naudojami saugumo ir kitų tarnybų, net ir prieš Tave. Pavyzdžiui, atsisakyta išduoti vizą, taikytos tikslinės patikros kelionėse, netgi priimti sprendimai dėl galimo įsidarbinimo ar buvimo stebimųjų sąraše, gali tapti diskriminuojamas ar net persekiojamas dėl savo pažiūrų.

Tai – reali rizika, ne teorija. Informacijos nutekėjimas, neteisėtas jos perdavimas ir algoritminis šališkumas šiandien jau paveikė tūkstančius žmonių visame pasaulyje. Nereikia, kad būtum aktyvistas ar politinis veikėjas – kartais pakanka vieno sakinio Tavo darbe, kad Tave būtų galima identifikuoti kaip „nepatogų“.

Problemos mastas: ne tik viena mokykla


Tai nėra pavienis atvejis ar viena institucija. Vilniaus universitetas, panaudodamas valstybės biudžeto lėšas, sudarė sutartį su JAV registruota bendrove, nepaisydamas dalies kitų aukštųjų mokyklų, visuomenės atstovų bei duomenų apsaugos ekspertų įspėjimų dėl galimų BDAR pažeidimų.

Pagal šią sutartį Lietuvos aukštųjų mokyklų studentų darbai yra perduodami į sistemą, priklausančią užsienio – JAV registruotai – bendrovei. Kartu su darbais perduodami ir juose esantys studentų asmens duomenys: vardas, pavardė, el. paštas, darbų turinys, kuriame dažnai atsispindi jautri informacija apie asmens socialines, politines, religines ar kitas pažiūras.

Taigi, kasmet studentai patenka į situaciją, kai jų asmens duomenys perduodami į šalį, kurioje teisės aktai neužtikrina BDAR lygio apsaugos. Ši situacija yra sisteminė, o ne pavienė, todėl reikalauja neatidėliotino ir koordinuoto sprendimo.

Bylos


ESTT byla Schrems I

Rodyti/slėpti

Saugaus uosto (Safe Harbor) sistema buvo sukurtas ES ir JAV susitarimas, turėjęs užtikrinti, kad ES piliečių asmens duomenys būtų tinkamai apsaugoti, kai perduodami į JAV. Tačiau šio mechanizmo saugumu suabejojo Austrijos studentas ir privatumo aktyvistas Max Schrems.

Jis pateikė skundą prieš „Facebook“, teigdamas, kad JAV žvalgybos agentūros turi neribotą prieigą prie perduodamų duomenų, pažeidžiant BDAR principus. Nors „Facebook“ buvo viena iš įmonių, prisijungusių prie Saugaus uosto sistemos, ir turėjo laikytis jos taisyklių, realybėje apsauga buvo tik formali.

ESTT nustatė, kad ši duomenų perdavimo sistema yra neteisėta ir prieštaraujanti ES teisei. Ypač dėl to, kad vyriausybinė prieiga prie duomenų buvo pernelyg plati ir nekontroliuojama.

Šioje byloje ESTT suformulavo aiškų principą: duomenų apsauga trečiosiose šalyse turi būti lygiavertė ES standartams – net jei pasiekiama skirtingomis priemonėmis.

Teismas pažymėjo, kad Saugaus uosto mechanizme nebuvo apsaugos nuo perteklinės JAV valdžios agentūrų prieigos prie asmens duomenų. Nacionalinio saugumo pretekstu vyriausybė galėjo rinkti informaciją be tinkamų ribų ar kontrolės, o tai tiesiogiai prieštarauja BDAR ir kelia pavojų kiekvieno ES piliečio privatumo teisėms.

ESTT byla Schrems II

Rodyti/slėpti

2016 m. buvo sukurta nauja duomenų perdavimo sistema – ES ir JAV privatumo skydas (Privatumo Skydas). Sistema turėjo užtikrinti didesnį skaidrumą, atskaitomybę ir geresnę duomenų apsaugą.

ESTT nagrinėjo Privatumo skydo teisėtumo klausimus ir vėliau pripažino šią sistemą negaliojančia. Šis sprendimas buvo priimtas dėl to, kad JAV teisės aktai vis dar sudarė sąlygas valstybės institucijoms vykdyti plataus masto asmens duomenų rinkimą ir stebėseną, nesant tinkamos nepriklausomos priežiūros ir veiksmingų teisinės gynybos priemonių ES piliečiams.

Teismas nurodė, kad JAV įstatymuose nustatyta keletas trūkumų, kurie trukdo apsaugoti asmens duomenis ir pažeidžia BDAR. Iš esmės ESTT atkreipė dėmesį į plačias sekimo galimybes, kurios egzistuoja pagal JAV nacionalinio saugumo įstatymus (t. y. JAV užsienio žvalgybos sekimo įstatymo (FISA) 702 straipsnį, Vykdomąjį įsakymą 12333 ir Prezidento politikos direktyvą 28). Šiais įstatymais reglamentuojama JAV valdžios institucijų prieiga prie asmens duomenų, perduodamų iš ES į JAV, kuriuose nėra kontrolės priemonių, tinkamai apsaugančių ES duomenų subjektus, galinčius tapti nacionalinio saugumo tyrimų objektu.

Teismas išsamiai nustatė, kad duomenų subjekto teisės negali būti skundžiamos teismuose prieš JAV valdžios institucijas. Privatumo Skyde buvo numatytas apsaugos mechanizmas – ombudsmenas. Vis dėlto šis pareigūnas neturėjo įgaliojimų priimti sprendimų, kurie būtų privalomi JAV žvalgybos tarnyboms. Taigi, nėra veiksmingų ir prieinamų teisinių gynybos priemonių ES piliečiams, jei jų duomenys būtų neteisėtai tvarkomi JAV institucijų.

ESTT konstatavo, kad nėra pakankamų garantijų, jog tokių asmenų – nesvarbu, ar tai būtų studentas, darbuotojas ar bet kuris kitas pilietis – teisė į privatumą bus veiksmingai apsaugota. Nors Privatumo skydo sistemoje buvo numatytas specialus ombudsmenas, turėjęs nagrinėti skundus dėl netinkamo duomenų tvarkymo, ESTT nustatė, kad šis subjektas neturėjo nei pakankamo nepriklausomumo, nei realių įgaliojimų užtikrinti teisminę ar administracinę gynybą.

Dėl šių priežasčių ESTT priėjo išvadą, jog Privatumo skydas nesuteikia tinkamo nei teisinio, nei faktinio saugumo lygio, ir pripažino jį negaliojančiu.

Standartinės sutarčių sąlygos (SSS)

Rodyti/slėpti

Nors ESTT (Schrems II, C-311/18) pripažino Privatumo skydą negaliojančiu, jis paliko galioti galimybę naudoti standartines sutarčių sąlygas (SSS) kaip vieną iš teisėtų asmens duomenų perdavimo mechanizmų į trečiąsias valstybes. Vis dėlto šių sąlygų taikymas nėra garantija, kad asmens duomenų perdavimas atitinka BDAR reikalavimus.

ESTT pažymėjo, jog ar duomenys gali būti perduoti turi būti vertinama kiekvienu atveju atskirai, t. y. įmonės turi pačios įsitikinti, ar šalis, į kurią perduodami asmens duomenys (pvz., JAV), realistiškai užtikrina BDAR lygiavertę apsaugą.

ESTT pažymėjo, kad asmens duomenų perdavimo į trečiąsias valstybes teisėtumas turi būti vertinamas individualiai kiekvienu konkrečiu atveju. Duomenų valdytojai ir tvarkytojai privalo patys įsitikinti, ar trečioji valstybė, į kurią perduodami duomenys – pavyzdžiui, JAV – faktiškai užtikrina asmens duomenų apsaugos lygį, lygiavertį tam, kuris garantuojamas pagal BDAR.

JAV taikomos asmens duomenų apsaugos priemonės laikomos nepakankamomis dėl galiojančių teisės aktų, kurie suteikia plačius įgaliojimus valstybinėms institucijoms, ypač žvalgybos tarnyboms, prieiti prie užsienio piliečių asmens duomenų. Dėl šios priežasties standartinės sutarčių sąlygos, taikomos duomenų perdavimui į JAV, neužtikrina ES teisės aktuose numatyto tinkamo asmens duomenų apsaugos lygio. Tuo pačiu išlieka teisinis neapibrėžtumas, kylantis iš nepakankamai aiškiai ir detaliai suformuluotų ESTT reikalavimų dėl standartinių sutarčių sąlygų.

Duomenų privatumo sistema (DPS)

Rodyti/slėpti

ES ir JAV duomenų privatumo sistema (DPS) yra JAV bendrovių savarankiško sertifikavimo mechanizmas. Juo buvo siekiama pakeisti Privatumo skydą, ESTT sprendimu, priimtu byloje „Schrems II“ pripažintą negaliojančiu. Bendrovės, kurios atliko savarankišką sertifikavimą pagal DPS, privalo laikytis jos principų, taisyklių ir prievolių, susijusių su asmenų asmens duomenų tvarkymu.

ES institucijos bei ekspertai atkreipia dėmesį į esmines šios DPS spragas. Nors DPS numato tam tikras asmens duomenų apsaugos priemones, JAV žvalgybos agentūros ir toliau turi plačius įgaliojimus rinkti, sekti ir analizuoti ES piliečių asmens duomenis, dažnai net nesikreipdamos dėl teismo leidimo. Tokia praktika akivaizdžiai prieštarauja BDAR tikslams, kurie reikalauja, kad asmens duomenų subjektų teisės būtų saugomos.

Kaip ir ankstesniuose asmens duomenų apsaugos mechanizmuose, taip ir DPS numatyta ombudsmeno institucija, kurios pagrindinė funkcija – ginti duomenų subjektų teises. Tačiau ši institucija neužtikrina veiksmingos asmens duomenų apsaugos, kadangi ji nėra pakankamai nepriklausoma ir neturi teisinių įgaliojimų priimti privalomų sprendimų, galinčių įpareigoti JAV žvalgybos tarnybas keisti jų veiksmų praktiką.

Darytina išvada, kad nepaisant oficialių įsipareigojimų, DPS nesuteikia tokio pat užtikrinimo dėl asmens duomenų saugumo kaip nurodyta BDA.

Darytina išvada, kad DPS, nors ir taiko tam tikras asmens duomenų apsaugos priemones, nesugeba užtikrinti asmens duomenų apsaugos pagal BDAR keliamus reikalavimus. Tai sukelia teisinį neapibrėžtumą ir didina riziką, kad asmens duomenys bus tvarkomi netinkamai dėl nepakankamų apsaugos priemonių.

Ką daryti?

1. Kreipkis į savo aukštąją mokyklą.
Išsakyk aiškų nesutikimą, kad tavo rašto darbai ir asmens duomenys būtų perduodami trečiosioms šalims (pvz., JAV), ypač per Turnitin. Remkis BDAR 21 ir 17 str..
2. Pateik oficialų prašymą.
Pateik prieštaravimo formą raštu, nurodydamas, kad nesutinki su perdavimu ir reikalauji sustabdyti bei ištrinti duomenis. Prašymo formą rasi žemiau svetainėje.
3. Reikalauk atsakymo.
Mokykla turi atsakyti per 1 mėnesį. Jei to nepadaro – turi pateikti pagrįstą paaiškinimą.
4. Nesulaukei atsakymo? Kreipkis į mus.
Užfiksuok situaciją – kuo daugiau atvejų, tuo lengviau bus ginti studentų teises kolektyviai.
5. Pasitark su teisininku arba junkis prie iniciatyvos.
Jei kyla abejonių – konsultuokis arba prisijunk prie mūsų. Kartu – stipresni.

Prašymo forma


Neturi laiko ar noro rašyti prašymo pats/pati?
Mes paruošėme oficialią, teisiškai pagrįstą prašymo formą, kurią galėsi atsisiųsti po apmokėjimo. Įvesti duomenys bus panaudoti Tavo patogumui - užpildyti prašymo formai. Jie nebus saugomi.

Kaina – 39 eurai. Visos lėšos bus skirtos projektui ir pagalbai studentams. Sieksime įpareigoti aukštąsias mokyklas saugoti studentų asmens duomenis ir atlyginti padarytą žalą.

Jei manai, kad tavo teisės buvo pažeistos

Jei pastebėjai, kad tavo asmens duomenys (vardas, pavardė, el. paštas, rašto darbo turinys ar kitokia jautri informacija) buvo perduoti be tavo aiškaus sutikimo (net jei tu ir baigei studijas), tau nesutinkant arba pažeidžiant BDAR reikalavimus, padėk mums tirti šį atvejį:

  • Nurodyk įvykio laiką ir aplinkybes. Trumpai aprašyk, kada ir kaip duomenys buvo perduoti.
  • Pridėk įrodymus. Jei turi ekrano kopijų, dokumentų ar kitų rinkmenų – atsisiųsk juos ir pridėk.
  • Pateik kontaktus. Nurodyk el. paštą arba telefoną, kad galėtume susisiekti dėl papildomos informacijos.

Siųsk savo pranešimą el. paštu [email protected] arba pildyk žemiau esančią formą. Užtikriname konfidencialumą.






Projekto iniciatorius

Projekto iniciatorius

Esu Eimantas, inicijavau šį projektą, nes apie šią problematiką sužinojau iš draugų ir pernelyg ilgai stebėjausi, kad niekas nesiima jos spręsti. Tikiu, kad tai, ko trūksta mūsų valstybei, yra bent truputis daugiau teisingumo ir pagarbos. Viskam. Klientams, darbuotojams, studentams, dėstytojams, kaimynui, gyvunui, augalui, gamtai, planetai. Noriu prie to prisidėti.



Prenumeruoti naujienas