‘Balti dūmi’ personas datu aizsardzībai
22.12.2015.
Pēc aptuveni četriem diskusiju gadiem Eiropas Savienības politiķi beidzot varēja visos līmeņos vienoties par jauniem privātpersonu datu aizsardzības noteikumiem. To autori ir pārliecināti, ka jaunie noteikumi spēs ne tikai nodrošināt mūsdienu laikam atbilstošu iedzīvotāju datu aizsardzību, bet spēs palikt aktuāli arī pie turpmākās tehnoloģiju attīstības.
Papildus info var noklausīties šeit.
Lasiet arī mūsu pasniedzējas rakstu: Agnese Boboviča: ‘Balti dūmi’ personas datu aizsardzībai (sk.)
Iniciējot personas datu aizsardzības reformu, “divritenis” netika izdomāts no jauna. Jau pašreiz Latvijā ir spēkā Fizisko personu datu aizsardzības likums, kura bāzes normas būtībā atbilst arī jaunajam regulējumam, tomēr ir arī dažas būtiskās atšķirības – piemēram, jaunajā regulējumā labas prakses principi personas datu apstrādāšanā ir pastiprināti un papildināti (piemēram, īpašie nosacījumi par bērnu datu apstrādi, kad obligāti ir jābūt viena vecāka piekrišanai šādai datu apstrādei, tajā skaitā, ja bērns gribēs izveidot profilu sociālajos tīklos – facebook, draugiem.lv u.tml.).
Atbildības noteikšana ne tikai pārzinim, bet arī personas datu operatoram, t.i., ikvienam konkrētā personas datu apstrādes “ķēdē” iesaistītajam. Būtiski minēt arī faktu, ka sodi par pārkāpumiem ir nopietni, jo to apmērs tiek aprēķināts, balstoties uz pārkāpēja apgrozījumu, nevis tiek noteikta fiksēta summa kā līdz šim.
Ņemot vērā, ka jaunā regulējuma mērķis ir izlīdzināt personas datu apstrādes prasību atšķirības Eiropas Savienībā, Latvijas uzņēmējiem vajadzētu saausīties un veltīt vairāk resursu jautājumiem, kas skar personas datu aizsardzību un drošību, savukārt tie, kuri ir lielu ārvalsts koncernu meitas uzņēmumi, iespējams, varēs nedaudz uzelpot, jo “mātei” kā vadošajam uzņēmumam būs interese visu sakārtot. Latvijas problēma ir tāda, ka, lai arī esošais regulējums ir labs, problēmas ir ar tā piemērošanu un samērā izplatītu nihilismu personas datu aizsardzības prasību ieviešanā.
Kam būtu jāpievērš uzmanība jau tagad.
Nav noslēpums, ka jebkuras pārmaiņas prasa gan laika, gan finanšu resursus. Tā tas ir arī šajā gadījumā. Paredzams, ka regula stāsies spēkā 2016. gada sākumā, bet būs visiem saistoša 2018. gadā, dodot datu apstrādātājiem laiku sagatavoties. Šis ir tas gadījums, kad datu apstrādātājiem vajag lietderīgi izmantot šo laiku, jo:
1. Jāveic esošo datu revīzija. Pārzinim un operatoram ir jāpazīst un jāuzticas savam sadarbības partnerim. Ikvienam sadarbības partnerim ir jābūt drošam, ka tā rīcībā esošie personas dati ir iegūti tiesiski, jo ikviens, kas “ķedītē” apstrādā prettiesiski iegūtos personas datus, var tikt sodīts (praksē tas nozīmē, ka varam aizmirst par nezināmas izcelsmes klientu datu bāžu “pārpirkšanu”). Kā pamudinajums, lai visi rūpētos par tiesisku un godīgu personas datu apstrādi, protams, ir sods, kas var sasniegt 4 % no apgrozījuma.
Latvijas nacionālā īpatnība ir, ka datu bāžu pārzinis ir SIA ar 1 eiro pamatkapitālu, bet datu bāzē esošo informāciju izmanto “lielie” uzņēmēji, un formāli šodien sodīt var tikai to SIA ar 1 eiro pamatkapitālu. “Jaunais” regulējums ļaus sodīt visus ieinteresētos, kas guvuši labumu no prettiesiskās apstrādes. Pie esošo datu revīzijas jau tagad var palīdzēt MK noteikumi Nr. 216 “Kārtība, kādā sagatavo un iesniedz personas datu aizsardzības novērtējumu”. Lai arī attiecīgais normatīvais akts ir pilnībā piemērojams valsts un pašvaldību iestādēm un privāto tiesību subjektiem, kuriem deleģēti valsts pārvaldes uzdevumi, bet uz privātajiem uzņēmumiem attiecas tikai daļēji, arī tiem ir lietderīgi sagatavot visu atbilstības novērtējumu. Tikai sagatavojot visu atbilstības novērtējumu, apstrādātājs var iegūt priekšstatu par faktisko situāciju un lietām, kas vēl jāuzlabo.
2. Noteikt atbildības sfēras. Jau tagad fizisko personu datu aizsardzības likums uzliek pārziņiem pienākumu slēgt rakstveida līgumu ar personas datu operatoriem, iekļaujot tajos skaidrus kritērijus, ko operatori ir tiesīgi darīt ar iegūto informāciju, cik ilgi glabāt u.tml., kā arī kritērijus drošības prasībām. Praksē, diemžēl, vairums līgumu ir ar deklaratīvām frāzēm, kas nepalīdzēs pusēm, ja tiks konstatēts drošības pārkāpums.
Tāpat jau tagad fizisko personu datu aizsardzības likums nosaka ieviest pārskatāmus atbildīgas rīcības principus ar personas datiem, tas ir, ir zināms, cik darbiniekiem kādā apjomā ir pieejama informācija, ir ieviests korekts auditācijas pierakstu viedošanas mehānisms, lai konstatētu, kurš un ko ir darījis sistēmā un kurš, iespējams, ir vainojams prettiesiskajā rīcībā, kā arī ir izsekojams viss datu dzīves cikls. Vai tas ir izdarāms, ja viss kolektīvs zina un izmanto vienu lietotājvārdu un paroli, lai autentificētos sistēmā? Tādejādi jāpārskata gan iekšējās procedūras, gan līgumi un sadarbības nosacījumi ar sadarbības partneriem. Tāpat, uzsākot jaunu projektu (klientu lojalitāte, jaunas infrastruktūras izstrāde, iegāde u.tml.), jau veikt analīzi, vai viss atbilst nākotnes regulējumam. Lai pēc diviem gadiem nav jākonstatē, ka attiecīgais projekts ir jāsāk no jauna.
3. Izglītošanās un izglītošana. Nu jau var teikt, ka regulāri Cert.lv ziņo par drošības incidentiem, par jauniem pikšķerēšanas veidiem un tā sauktajiem “izspiedējvīrusiem” (https://cert.lv/uploads/uploads/CERT.LV%20zinas%20Nr19.pdf). Tehnoloģiju pārstāvji piekritīs, ka neatkarīgi no tā, cik droša tiks izveidota konkrētā tehnoloģija, lielākais risks vienmēr būs cilvēks. Šo risku ir neiespējami izslēgt, bet to var samazināt, ja ar tehnoloģiju strādā izglītots cilvēks. Tas pats attiecas uz personas datu aizsardzību – ja informācijas lietotājs apzinās, kādu informāciju viņam ir jāaizsargā, ko viņš drīkst vai nedrīkst darīt, tad informācijas “noplūšanas” risks samazinās.
Jau tagad fizisko personu datu aizsardzības likums paredz plašu izpratni, kas ir personas dati (jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu, arī telefona numurs, e-pasta adrese, peronas apraksts, balss tembrs utt.), tad “jaunais” regulējums tikai precizē, ka jebkāda specifiska informācija, kas ļauj identificēt personu, ir atzīstama par personas datiem, arī atrašanās vietas dati, interneta vidē atstātās pēdas u.tml.
Personas datu aizsardzību ieviešana un izpildes kontrole, it sevišķi regulas kontekstā, ir sarežģīts uzdevums. Ne velti regulā ir paredzēts, ka valsts un pašvaldību iestādēm un noteiktu kategoriju uzņēmumiem ir jānorīko datu aizsardzības inspektors, kuram ir eksperta zināšanas personas datu aizsardzības sfērā. Jau pašreiz fizisko personu datu aizsardzības likums paredz, ka uzņēmumi var norīkot fizisko personu datu aizsardzības speciālistu, kurš, pamatojoties uz savām eksperta zināšanām, informē, uzrauga un kontrolē fizisko personu datu aizsardzības likuma prasību izpildi, bet tā pašlaik nav obligāta prasība.
Lai šodien persona kļūtu par fizisko personu datu aizsardzības speciālistu, tai ir veiksmīgi jānokārto attiecīgs eksāmens Datu valsts inspekcijā. To, ka personas datu aizsardzības sfēra ir sarežģīta, liecina arī apstāklis, ka, saskaņā ar 2014. gada Datu valsts inspekcijas datiem, tikai nepilni 40 % ir veiksmīgi nokārtojuši šo eksāmenu. Protams, visiem darbiniekiem nav nepieciešams apmeklēt fizisko personu datu aizsardzības speciālista apmācību kursus, bet būtu lietderīgi, ja uzņēmumā vienlaicīgi ar ikgadējām darba aizsardzības instruktāžām darbinieki tiktu izglītoti arī par datu aizsardzību, informācijas aizsardzību un drošības riskiem, izmantojot informācijas laikmeta piešķirtos resursus, jo “Ja internetā kaut kas ir par brīvu, tad prece esat Jūs!“
Jaunais regulējums paredz daudz jaunu nianšu un izaicinājumu, tajā skaitā, piemēram, ne vēlāk kā 72 h laikā ziņot par konstatētajiem drošība riskiem Datu valsts inspekcijai, jau sniedzot skaidrojumu, cik daudz un kādi datu subjektu dati ir pakļauti riskam, kā noticis drošības incidents, tāpat stiprinātas ir datu subjekta (klienta, darbinieka) tiesības prasīt atbildīgu rīcību no apstrādātāja, kas ir gan, pieprasot informāciju, par to, kādi dati tiek apstrādāti par viņu, gan, kas ir ieguvis datus, gan pieprasīt tikt dzēstam un, visbeidzot, pieprasot arī kompensāciju (gan par materiālo, gan nemateriālo aizskārumu) no visiem prettiesiskajā datu apstrādē iesaistītajiem.
Datu subjekta dzīve ir atvieglota tādējādi, ka viņam nebūs jāveic izmeklēšana, kurš un kādā apmērā ir vainojams, jo ikviens iesaistītais apstrādātājs ir atbildīgs pilnā apmērā datu subjekta priekšā. Tālāk apstrādātājam, kurš ir samaksājis kompensāciju, ir tiesības vērst regresa prasību pret saviem sadarbības partneriem, ja tie ir līdzvainīgi prettiesiskajā datu apstrādē. Bet atkal, atgriežoties pie darāmajiem darbiem – ja apstrādātājs nebūs sapratis, kāda informācija ir tā rīcībā, ja nebūs noslēdzis korektus līgumus ar uzticamiem sadarbības partneriem, tad arī regresa prasības celšana var būt tikai nelietderīgs laika patēriņš.
Salīdzināšanai – Fizisko personu datu aizsardzības likumā ir 32. panti un aizņem tikai padsmit lapas, savukārt, regulā ir vairāk nekā simts apsvērumi, 91 pants, un tas viss aizņem gandrīz 200 lappuses. Ievērojot to, bizness beidzot var spiest “restart” pogu.