Ieviešot Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgo datu aizsardzības regulu (Regula), datu aizsardzībā piemērojamas jaunas prasības un standarti, procesa gaitā radot arī daudzus mītus. Aplūkosim izplatītākos no tiem.
Pirmais mīts: nodrošinot datu drošību, pilnībā īstenota Regulai atbilstoša datu aizsardzība
Tā nav patiesība. Personas datu drošība ir tas, kas lielākajai daļai komersantu saistās ar personas datu aizsardzību, starp aizsardzību un drošību liekot vienādības zīmi, bet piemirstot, ka personas datu aizsardzība ir plašāks prasību klāsts un personas datu drošība ir tikai viens no personas datu aizsardzības principiem. Lai personas datu aizsardzība tiktu nodrošināta atbilstoši Regulai, drošības prasību izpilde jāpapildina ar citu Regulas prasību izpildi, piemēram, prasību nodrošināt juridisko pamatu un fizisko personu informēšanu par konkrēto apstrādi. Līdz ar to drošība ir aizsardzība un nozīmīga tās daļa, bet tikai ar datu drošību datu aizsardzību nodrošināt nevar.
Otrais mīts: drošība nozīmē nodrošināt datu konfidencialitāti
Daļēji tas atbilst Regulai, bet ne pilnībā, jo saskaņā ar Regulu un vispārizplatītiem informācijas drošības principiem, lai nodrošinātu datu drošību, ir jānodrošina gan datu konfidencialitāte (dati nedrīkst būt pieejami personām, kam nav tiesību vai pilnvarojuma datus izmantot), gan integritāte (datiem jābūt pareiziem, aktuāliem, atbilstošiem faktiskajiem apstākļiem, tos nedrīkst nepamatoti mainīt, labot) un pieejamība (datus nedrīkst nepamatoti dzēst, pazaudēt, datiem ir jābūt pieejamiem, ja tie ir nepieciešami, pastāv tiesības, pienākums tos saņemt un izmantot). Līdz ar to var būt gadījumi, kad pārkāpums ir datu nepamatota dzēšana, kas notikusi nejauši, darbiniekam kļūdoties vai "vīrusa" rezultātā.
Trešais mīts: Regulā pieprasīta visu personas datu šifrēšana
Šāds apgalvojums ir aplams. Regula ir tehnoloģiski neitrāla, tā nepieprasa visu personas datu sūtīšanu vai glabāšanu šifrētā veidā, kā arī neaizliedz vai nepieprasa konkrētu tehnoloģiju izmantošanu. Tas, kādas tehnoloģijas tiek izmantotas personas datu apstrādei un drošības nodrošināšanai, atkarīgs no konkrētās apstrādes veicēja – pārziņa vai apstrādātāja – lēmuma, kurš savukārt ir jāpieņem, pamatojoties uz risku novērtējumu, komersantam pieejamajiem resursiem, iespējām un tehnikas līmeņa. Risku novērtējums jāveic, ņemot vērā apstrādes raksturu, apmēru, kontekstu, nolūkus un to, kādas iespējamās nelabvēlīgās sekas varētu rasties fiziskajai personai, kuras personas dati tiek apstrādāti, kā arī izvērtējot, kāda ir šī riska iestāšanās iespējamība.
Piemēram, sūtot e-pastā veselības datus, tos vajadzētu šifrēt, savukārt klienta kontaktpersonas datus (vārdu, uzvārdu, amatu) varētu sūtīt nešifrētā veidā, pieņemot, ka fiziskai personai tiks nodarīts lielāks kaitējums, ja noplūdīs veselības dati, salīdzinot ar to, ja noplūdīs vispārēja informācija par personas profesionālo darbību. Tas nozīmē, ka, ieviešot datu drošības pasākumus, vienmēr jāņem vērā personas datu kategorija, saturs, veids – tas, cik vērtīgi, jūtīgi dati varētu būt konkrētās fiziskās personas skatījumā.
Ceturtais mīts: tikai pārziņi ir atbildīgi par drošības prasību izpildi
Arī šis apgalvojums ir maldīgs. Regulas 32.pantā tieši noteikts patstāvīgs pienākums nodrošināt personas datu drošību gan pārzinim, gan apstrādātājam (tas, kurš apstrādi veic pārziņa vārdā un uzdevumā, piemēram, nodrošina pārziņa vajadzībām pārziņa rīcībā esošās informācijas glabāšanu uz apstrādātāja serveriem). Tas, ka apstrādātāji apstrādi bieži veic, izmantojot savas informācijas sistēmas, atrodoties savās telpās, pamato arī to tiešo pienākumu nodrošināt datu drošību, pieņemot, ka apstrādātājs vislabāk pārzina tā veiktās apstrādes faktiskos apstākļus un var ieviest tai piemērotus drošības pasākumus. Vienlaikus jāatzīst, ka šāds apstrādātāja pienākums neliedz pārzinim uzdot apstrādātājam nodrošināt konkrētas drošības prasības, piemēram, personas datu glabāšanas telpas aprīkot ar signalizāciju, nodrošināt datu rezerves kopiju saglabāšanu reizi dienā. Tomēr šie papildu pienākumi jādod uzmanīgi, paturot prātā, ka pārzinim var nebūt zināmi visi apstrādātāja veiktās apstrādes apstākļi, tai skaitā sistēmas, organizatoriskās procedūras un pat apstrādāja ieviestā korporatīvā kultūra, kas var ietekmēt piemērotu drošības līdzekļu izvēli. Līdz ar to nebūtu ieteicams apstrādātājam noteikt izsmeļošu ieviešamo drošības pasākumu klāstu. Tā vietā labā prakse būtu atsevišķu drošības pasākumu ieviešanu apstrādātājam noteikt kā obligātu, vienlaikus paredzot, ka citu drošības pasākumu ieviešanu apstrādātājam jāveic atbilstoši Regulas 32.pantam.
Arī pārziņiem - komersantiem, kas personas datu apstrādi uzdod veikt ārpakalpojumu sniedzējiem, jāatceras, ka to atbildība pār apstrādātāja rīcību saglabājas un iestājas jau tajā brīdī, kad tiek izraudzīts konkrētais pakalpojumu sniedzējs un ar to tiek noslēgts līgums. Šī atbildība rodas, pamatojoties uz Regulā noteikto pienākumu izmantot tikai tādus apstrādātājus, kas garantē, ka datu apstrāde notiks saskaņā ar Regulu, tostarp tiks nodrošināta datu drošība. Līdz ar to jau pirms līguma noslēgšanas un arī līguma darbības laikā pārzinim ir jāuzrauga apstrādātāja rīcība, tai skaitā tā ieviestie drošības pasākumi.
Piektais mīts: tikai IT speciālisti var nodrošināt atbilstošu personas datu drošību
Šāds apgalvojums varētu tikt atdzīts par patiesu gadījumos, ja konkrētais informācijas tehnoloģiju (IT) speciālists apzinās, ka personas datu drošība ir jānodrošina ne tikai attiecībā uz elektroniski apstrādātiem datiem, bet arī datiem, kas ir citā formātā, piemēram, papīra formātā, kā arī gadījumā, ja šis speciālists pārzina citas Regulas prasības, tostarp zina, ka:
- - drošības pasākumi jāievieš atbilstoši riskam, kas var rasties fiziskajai personai, kuras datus apstrādā, nevis komersantam;
- - ieviestajiem drošības pasākumiem jābūt dokumentētiem iekšējās procedūrās;
- - darbiniekiem ir jādod norādījumi attiecībā uz datu apstādi un aizsardzību;
- - par datu aizsardzības pārkāpumiem var būt pienākums ziņot uzraudzības iestādei un tām fiziskajām personām, uz kuru datiem attiecināms notikušais pārkāpums.
Līdz ar to efektīvākais veids, kā nodrošināt Regulai atbilstošu drošību, ir šī mērķa sasniegšanai radīt komandu, kuru veido IT speciālists, jurists, risku vadības speciālists, datu aizsardzības speciālists vai eksperts. Ja šāda veida darbiniekus komersants nenodarbina, ieteicams ir pieaicināt ārējos ekspertus.
Raksta oroģināls publicēts www.itiesibas.lv
