Profilēšana ir tā pati personas datu apstrāde. Konkrētāk, profilēšanu attiecina uz personas datu apstrādi komerciālos nolūkos. Tam, kā tas notiek praktiski, ir divi varianti: legāls un nelegāls. Kas to visu kontrolē? Mēs paši. Tikmēr Eiropas Savienība (ES) grasās ieviest jaunu reformu, kas sola nodrošināt mūsu noteikumu piemērotību nākotnei un digitālajam laikmetam. Bet ir cilvēki, kas noteikumus neievēro.
Viens no profilēšanas gadījumiem parasti ir sekojošs. Oficiāls uzņēmums ievāc personu datus, lai īsinātu laiku un līdzekļus un savus komerciālos pakalpojumus piedāvātu efektīvāk. Vēl to var saukt par cilvēku paradumu pētīšanu.
Saistībā ar profilēšanu jeb datu apstrādi, kā to skaidro Datu Valsts inspekcijas (DVI) konsultante, visam jānotiek pēc Fizisko personu datu aizsardzības likuma 7. un 10. panta. Citādi neviens kā datu apstrādātājs (piemēram, uzņēmums) un pati persona tam līdzi neseko. Katrai personai pašai ir jācenšas aizsargāt savus personas datus. Iestāde uzrauga personas datu aizsardzību atbilstoši likumam: inspekcija izskata sūdzību, un, ja tā ir pamatota, tikts uzsāktas pārbaudes. Proti, DVI vērsīsies pie konkrētā uzņēmuma un vērtēs to, vai datu apstrāde ir notikusi saistībā ar likumu. Citādu pārbaužu nav.
Savienojot vienas personas datus, izveidojas profils, pēc kura var noteikt viņa paradumus, intereses utt. Konkrēts piemērs – žurnāls ievāc un apkopo informāciju par saviem lasītājiem, gala rezultātā izveidojot vienu vidējo lasītāju. Šāds profils ir visai nabadzīgs. Tas parasti aprobežojas ar dzimumu, vecumu, dzīvesvietu un bērnu skaitu.
Tātad gadījumi ir dažādi. Taču personas datu aizsardzības interesēs būs: kas veido profilu par viņu un kādu informāciju profils satur? Tas var būt vārds, uzvārds, personas kods, iemīļoto filmu saraksts, kas atrodams sociālajā tīklā „Facebook”, un citi fakti. Šī informācija glabājas uzņēmuma datu bāzē…
Tieši šajā momentā katram savas personas datu izplatītājam ir jāņem vērā, ka pasaulē un Latvijā ir cilvēki, kas noteikumus un likumus neievēro. Tādu cilvēku nav maz. Jāņem arī vērā tas, ka digitālajā laikmetā apiet likumu ir daudz vieglāk, jo internets ir dziļāks, kā sākumā šķiet. Proti, Deep Web – otra daļa no tā tīmekļa, ko lietotajam ikdienā. Tā ir lielāka un tai nav piesaistītas plašāk zināmās meklētājprogrammas. Tam var piekļūt vienīgi ar dziļā interneta pārlūkprogrammu, piemēram, The Onion Router (TOR). Dziļajā internetā nekam no tā, ko darām, nevar izsekot.
Pāris dienu laikā esmu ievākusi informāciju par to, kam nedz Latvijas Republikas likumdošana, nedz ES reforma nepievērš uzmanību (jo tas fiziski nav iespējams). Par cilvēkiem, kas dzīvo netālu no varas iestādēm un nodarbojas ar personu datu tirdzniecību. Nevienu no atbildīgajām iestādēm vainot nevar, jo likums nav programmatūra. To var apiet, un apiešana līdz šim pierāda, ka to nevar arī ierobežot.
Nelikumīgās darbības saistībā ar personas datu apstrādi noris nevienam nemanot. Kā savādāk izskaidrot to, ka hakeri aiz sevis speciāli atstāj pēdas, lai, piemēram, mājaslapas administrators redzētu, ka kāds tur ir bijis (skat.: 1. Attēls)? Cits salīdzinoši pozitīvāks gadījums: Nodarbinātības valsts aģentūras (NVA) datu bāzes uzlaušana, kur datu zagšana tika apturēta. Proti, hakeru uzbrukums tika pamanīts.
Datu bāzes, kurās glabājas mūsu personas dati, kurus esam izplatījuši, ir gards kumoss hakeriem, jo tā var piekļūt uzreiz daudz datiem. Austris Birkāns ir IT entuziasts, kurš personas datu zagšanu apguvis pašmācības ceļā „sporta pēc”, lai saprastu iespējas. Viņš zina stāstīt, ka reizēm pietiek ar padziļinātām zināšanām tīkla programmēšanā un programmēšanā kā tādā, lai rastu pieeju konfidenciālai informācijai, kas glabājas dažādu mājas lapu serveros. Tā ir: paroles, pieejas kodi, privātā informācija, ko dodam pakalpojumu sniedzējam. Reizēm tajā skaitā ir banku karšu numuri, mājas adreses, dzimšanas dati. Ar šādu informāciju pietiek, lai veiktu pat pirkumus internetā ar svešas personas bankas karti. Personas datus ir iespējams iegūt pat vienkārši padziļināti izpētot pašu mājas lapu, lapas kodu, kurā tā programmēta, tādējādi atrodot „caurumus” lapas drošības sistēmā. Ar „caurumu” palīdzību var atrast veidu, kā tikt pie administrācijas lapas nezinot administratora paroles.
Lielu kvantumu ar personu datiem attiecīgās vietās var labi pārdot. Vietas, kur notiek datu tirdzniecība ir melnais tirgus, turpat – internetā. Piemēram, vietne „Sheep Market”. Līdz šim to varēja darīt arī vietnē „Silk Road”, kuru 2013. gada 2. oktobrī aizvēra ASV Federālais izmeklēšanas birojs. Šajos tirgos pārdod arī narkotikas, ieročus un citas nelegālas lietas vai darbības. Piekļuve tam ir anonīma, un tādas ir arī pārdevēju-pircēju attiecības. Cilvēks, kurš pārdod personu datus nezina kam, savukārt pircējs nekad neuzzinās, no kā viņš tos nopirka. Tam visam palīdz pilnībā oficiāla programma TOR, ko daļēji finansējusi ASV armija.
Līdz ko šī programma ir uzstādīta, nākamais priekšnoteikums ir Bitcoin. Tā ir oficiāla virtuālā valūta, kas nav piesaistīta kādai bankai vai valstij. Tātad neatkarīga un anonīma. Pēc tam pircējs ieiet kādā no tirgiem, atrod ko vēlas dabūt un veic transakciju.
Sieviete, kas pa dienu ir programmētāja un vakaros zog personu datus, ne tikai apstiprina Austra stāstīto, bet arī piemetina, ka ir bijis gadījums, kad to darījusi par šokolādi, jo draugam vajadzējis. Toreiz gan runa bija par specifisku vienas personas datu zagšanu.
Melnajā tirgū tiek pārdoti personas dati vairāku iemeslu dēļ: hakerim tas ir ātrs ceļš kā atbrīvoties no zagtajiem datiem; pats zaglis sevis nozagtos datus neizmantos tā, lai apdraudētu savu drošību. Savukārt pircējiem šis tirgus piedāvā iegādāties, piemēram, svešu identitāti. Pētniecības nolūkos jau minētā programmētāja man parādīja vienu no tirgus vietnēm, kurā atradās piedāvājums ar simts derīgām amerikāņu identitātēm (sociālās apdrošināšanas numurs, vārds, uzvārds, dzimšanas dati, štats, pilsēta, adreses, pasta indekss). Tas bija pirmais rezultāts saistībā ar personas datiem, proti, tas netika meklēts speciāli. Sieviete skaidroja, ka mākot meklēt, var atrast kāroto.
Uzlaušanas gadījumā var paiet pāris minūtes vai stundas, kamēr noziegums tiek fiksēts un apturēts. Ar šo laiku pietiek, lai iegūtu kaut nelielu personas datu apjomu. Līdzīgi kā jau iepriekš minētajā NVA gadījumā, kad tika iegūtas 3000 lietotāju e-pasta adreses un to paroles. Tas norāda uz to, ka dažkārt personai nav izvēle: dot vai nedot savus personas datus. NVA gadījumā personas, tikai reģistrējoties aģentūrā, var saņemt attiecīgo pabalstu. Šeit personai ir pienākums sniegt datus, lai saņemtu pakalpojumu. No otras puses, datu bāze tika uzlauzta.
Tas, kur mēs varam kontrolēt savus datus, ir privātais sektors. Tajā mums ir izvēle starp vairākiem līdzīga pakalpojuma sniedzējiem. Katrai personai ir uzdevums noskaidrot, kurš no tiem ir drošāks. Savukārt ES datu aizsardzības reformas uzdevums ir nodrošināt to, lai mums ir izvēle.
Tieslietu ministrijas pārstāve Dana Voitiņa skaidro, ka ES datu aizsardzības reforma regulēs to, ka datu apstrādes pārziņa pienākums ir nodrošināt neuzlaužamu datu bāzi, kas atbilst konkrētiem principiem un kritērijiem. Tā arī noteiks to, kas ir jādara datu pārzinim un kā notiks datu apstrāde. Taču par datu bāzes drošību un aizsardzību rūpējas citi.
Līdz ar to mēs nevaram pievērt acis uz nelegālajiem gadījumiem un skatīties tikai uz oficiālajiem, un visu to, ko ievēros uzņēmumi pēc reformas ieviešanas. Tomēr ES datu aizsardzības reforma vērš mūs domāt, ka mēs – personas ar saviem datiem – būsim droši. Taču simtprocentīgas garantijas nav un nebūs arī pēc reformas ieviešanas. Datu aizsardzība tiks vairāk kontrolēta un vienkāršota oficiālā līmenī, taču neoficiālais paliks tāds, kāds tas ir.
Likums ir pavisam cita sfēra, kas teorētiski mums garantē personas datu drošību. Hakeri ir cita, par kuru var pat neuzzināt.
Materiālu sagatavoju 3. kursa žurnālistikas studente Rita Jansone