Mīti par personas datu drošību

Ieviešot Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgo datu aizsardzības regulu (Regula), datu aizsardzībā piemērojamas jaunas prasības un standarti, procesa gaitā radot arī daudzus mītus. Turpināsim aplūkot izplatītākos no tiem!

Sestais mīts: drošības prasību izpildei nepieciešami lieli izdevumi

Nav patiesība, ka drošības prasību izpildei vienmēr nepieciešami lieli finanšu resursi un dārgas programmatūras, sistēmas un tehnoloģiskie risinājumi. Atsevišķos gadījumos drošības prasību izpildei ir nepieciešamas speciālas programmatūras, piemēram, ugunsmūri, antivīrusi, datu šifrēšanas, auditācijas pierakstu veikšanas programmatūras. Tomēr daudzus drošības pasākumus var īsteno ar organizatoriskiem pasākumiem, tostarp, piemēram, veicot darbinieku apmācības, izstrādājot iekšējās procedūras, nodrošinot fizisku drošību telpām, kurās atrodas dokumenti vai citi datu nesēji, lai telpās brīvi bez nepieskatīšanas nevar iekļūt un atrasties personas, kam nav tiesību piekļūt konkrētajiem dokumentiem. Piemēram, ja šādām telpām piekļuve ir nepieciešama tehniskajiem darbiniekiem remontdarbu vai uzkopšanas veikšanai, tad šādus tehniskos darbiniekus nav pieļaujams atstāt neuzraudzītus telpās, kurās brīvi pieejami dokumenti ar personas datiem vai portatīvās datu glabāšanas ierīces.

Ieteicams sākt ar darbiniekiem saistošas drošības politikas izstrādi un darbinieku apmācīšanu par šajā politikā noteiktajiem drošības pasākumiem, piemēram, nosakot, ka dokumenti ir iznīcināmi speciālās dokumentu smalcināmajās iekārtās, nevis izmetot tos atkritumu tvertnē, kā arī nosakot, ka aizliegts darba vajadzībām izmantot personīgo e-pastu, jo nav zināms, kādi ir šīs platformas drošības iestatījumi, savukārt darba portatīvo datoru ir aizliegts nepieskatītu atstāt transportlīdzeklī vai publiskā vietā, piemēram, konferencē vai kafejnīcā.

Izmantojot tehnoloģijas datu drošības nodrošināšanai, svarīgi sākt nevis ar jaunu risinājumu iegādi, bet esošo risinājumu funkcionalitātes izpēti, jo, iespējams, risinājumi datu aizsardzības drošības veicināšanai un drošības risku mazināšanai jau ir mūsu rīcībā, bet tie vēl netiek izmantoti. Piemēram, katram darba devējam ir vērts apdomāt, vai visiem darbiniekiem ir jānodrošina iespēja e-pasta vēstules sūtīt arī ārpus uzņēmuma, vai uzņēmumu grupas. Iespējams, ir darbinieku grupa, kuru darba pienākumu izpildes vajadzībām ir pietiekami, ka tiek nodrošināta tikai iekšējā e-pasta vēstuļu apmaiņa. Tādā veidā tiek mazināta iespēja, ka aiz neuzmanības vai ar nodomu gan personas dati, gan komercnoslēpums tiek nepamatoti nosūtīts trešajām personām. Šādu ierobežojošu funkcionalitāti nodrošina lielākā daļa biežāk izmantoto e-pasta platformu.

Protams, neapstrīdams arī ir tas, ka daudzas Regulas prasības nevar atbilstoši un efektīvi izpildīt bez tehnoloģiju starpniecības. Piemēram, neatbilstoši Regulai būtu tikai pašu darbinieku ziņā atstāt atbildību par atbilstošas sarežģītības pakāpes paroles lietošanu un tās savlaicīgu un regulāru nomainīšanu, sistēmas funkcionalitātē neintegrējot automatizētu neatbilstošas paroles lietošanas liegumu un ierobežojumu lietot sistēmu, ja noteiktā periodā, piemēram, ik pēc 90 dienām, netiek veikta paroles nomaiņa.

Septītais mīts: ir pietiekami drošības prasības ietvert drošības politikā

Nav patiesība, ka ir pietiekami drošības prasības ietvert tikai drošības politikā un ar to iepazīstināt darbiniekus, izsūtot to darbiniekiem uz e-pastu, uzskatot, ka cita veida darbinieku informēšana vai apmācīšana nav nepieciešama. Ļoti svarīgi ir ne tikai izstrādāt politiku un formāli iepazīstināt ar to darbiniekus, bet klātienes mācību ietvaros skaidrot politikas ievērošanas nozīmību un tajā noteiktos pienākumus – piemēram, skaidrojot, kuros gadījumos un kā veikt e-pasta vēstuļu šifrēšanu, kādā veidā nosūtīt šifrēšanas paroli, kā atpazīt un rīkoties gadījumos, kad tiek saņemtas aizdomīga satura e-pasta vēstules. Tas nepieciešams, lai veicinātu darbinieku izpratni par to, kas ir jādara un kādas negatīvās sekas var iestāties šo pienākumu neizpildes rezultātā, tādējādi veicinot darbiniekiem noteikto pienākumu ievērošanu un atbilstošu izpildi. 

Būtiski ir darbinieku informēšanu un apmācīšanu regulāri atkārtot, lai informētu par jaunajiem pienākumiem, pasākumiem, kā arī atkārtotu un atgādinātu jau iepriekš noteiktās prasības, pienākumus, jo bieži ikdienas steigā un lielajā informācijas pūsmā mēs aizmirstam to, kas pirms neilga laika šķita pašsaprotams.

Astotais mīts: tikai kiberuzbrukuma gadījums ir jāpaziņo uzraudzības iestādei

Tā nav patiesība, jo uzraudzības iestādei (Latvijā tā ir Datu valsts inspekcijai) ir jāziņo par personas datu aizsardzības pārkāpumu – jebkuru situāciju, kad ir noticis drošības pārkāpums, aiz neuzmanības vai ar nodomu nenodrošinot datu konfidencialitāti, integritāti vai pieejamību, un šāds pārkāpums ir radījis vai varētu radīt risku fiziskajai personai, pret kuras datiem šis pārkāpums noticis. Līdz ar to arī nejauši uz nepareizu e-pasta adresi nosūtīta vēstule var būt datu aizsardzības pārkāpums, par kuru jāziņo. Jāziņo varētu būt, piemēram, arī par portatīvā datora pazaudēšanu vai zādzību. Atbrīvojums no ziņošanas pienākuma šajā gadījumā varētu būt, ja e-pasta vēstule un arī datorā esošā informācija ir bijuši šifrēta ar drošām šifrēšanas metodēm, šifrēšanas fakts ir pierādāms, kā arī atslēga, kas tiek izmantota šifrēšanai, ir drošībā.    

Būtiski ir šī jaunā pienākuma izpildei izstrādāt procedūru un veikt darbinieku apmācīšanu, jo tieši darbinieki ir tie, kas pirmie var konstatē savā vai citu kolēģu vai sistēmu darbībā iespējamu pārkāpumu. Līdz ar to darbiniekiem ir jābūt zinošiem par to, kas ir pārkāpums un kā jārīkojas, konstatējot šādu iespējamo pārkāpumu. Būtiski ir procedūrā noteikt, kurš darbinieks vai darbinieki veic paziņošanu par pārkāpumu uz ārpusi uzraudzības iestādei un datu subjektiem un kādā veidā, termiņā un kam tiek paziņots par iespējamo pārkāpumu uzņēmuma ietvaros. Tas nepieciešams, lai notiktu savlaicīga pārkāpuma atklāšana, pārtraukšana, iespējamo seku mazināšana, kā arī paziņošana par to uzraudzības iestādei Regulā noteiktā veidā, apjomā, termiņā (72 stundu laikā pēc atklāšanas) un gadījumos.  

Neapšaubāmi, arī tehnoloģiski rīki, kas automatizēti identificē un ziņo par iespējamu pārkāpumu informācijas sistēmās, ir ļoti vēlami un papildina organizatoriskos procesus.

Devītais mīts: datu subjektiem nav tiesību zināt, ka pret to personas datiem noticis pārkāpums

Arī šis apgalvojums neatbilst datu aizsardzības regulējumam, jo saskaņā ar Regulu, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo par pārkāpumu šīm fiziskajām personām – datu subjektiem, pret kuru datiem noticis pārkāpums. Piemēram, ja iepriekš minētajos datu konfidencialitātes pārkāpumu gadījumos personas dati nav šifrēti un tie ir notikuši ar personas datiem par veselību vai finanšu stāvokli vai ar profila lietotājvārdu un paroli, tad par šādu pārkāpumu varētu būt jāziņo arī tām fiziskām personām, kuru dati ir zaudējuši konfidencialitāti. Šāda pienākuma mērķis ir dot iespēju datu subjektiem pašiem mazināt negatīvās sekas, kas tiem radušās vai varētu rasties saistībā ar notikušo datu aizsardzības pārkāpumu. Tas, protams, neliedz arī subjektiem pieprasīt, lai uzņēmums vai iestāde, kura izdarījusi vai pieļāvusi pārkāpumu, atlīdzina zaudējumus vai morālo kaitējumu, vai tiktu administratīvi sodīta.   

Desmitais mīts: ieviešot datu drošības pasākumus, Regulas prasības ir izpildītas

Daļēji tā ir patiesība, jo kādu brīdi pēc drošības pasākumu atbilstošas ieviešanas papildu pienākumu nav, tomēr tas ir ļoti īss brīdis, kad var izbaudīt darba augļus ar nosacījumu, ka pasākumi ieviesti atbilstoši Regulas prasībām. Patiesībai drīzāk atbilst tas, ka datu drošības nodrošināšana ir nepārtraukta darbība, jo nepārtraukti jākontrolē, vai drošības pasākumi darbojas un vai tie ir efektīvi, tostarp jāuzrauga gan darbinieku rīcība, izpildot tiem uzdotos drošības pasākumus (piemēram, vai tiek pildīts aizliegums darba vajadzībām nepieciešamos datus glabāt datora cietajā diskā, nevis uz servera, lai nodrošinātu datu rezerves kopiju izveidošanu un automatizētu dzēšanu vai arhivēšanu, tad, kad ir iestājies noteikts termiņš), gan tehnoloģiju, sistēmu darbība. Kā jau norādīts iepriekš, jākontrolē, gan ieviesto pasākumu darbība, gan to efektivitāte, jo laika gaitā noteikti pasākumi, mainoties apstākļiem vai tehnoloģijām, var kļūt neefektīvi.

Līdz ar to Regulā noteikts pienākums veikt regulāru drošības auditu, to veicot pašiem vai tā veikšanai pieaicinot ārējos auditorus, kā arī uzlabot drošības pasākumus un to efektivitāti. 

Sanita Pētersone

Vecākā juriste, sertificēta datu aizsardzības speciāliste

Lasīt vairāk