Izplatīti mīti par personas datu drošību Izplatīti mīti par personas datu drošību

Ieviešot Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgo datu aizsardzības regulu (Regula), datu aizsardzībā piemērojamas jaunas prasības un standarti, procesa gaitā radot arī daudzus mītus. Aplūkosim izplatītākos no tiem.

Tā nav patiesība. Personas datu drošība ir tas, kas lielākajai daļai komersantu saistās ar personas datu aizsardzību, starp aizsardzību un drošību liekot vienādības zīmi, bet piemirstot, ka personas datu aizsardzība ir plašāks prasību klāsts un personas datu drošība ir tikai viens no personas datu aizsardzības principiem. Lai personas datu aizsardzība tiktu nodrošināta atbilstoši Regulai, drošības prasību izpilde jāpapildina ar citu Regulas prasību izpildi, piemēram, prasību nodrošināt juridisko pamatu un fizisko personu informēšanu par konkrēto apstrādi. Līdz ar to drošība ir aizsardzība un nozīmīga tās daļa, bet tikai ar datu drošību datu aizsardzību nodrošināt nevar.

Daļēji tas atbilst Regulai, bet ne pilnībā, jo saskaņā ar Regulu un vispārizplatītiem informācijas drošības principiem, lai nodrošinātu datu drošību, ir jānodrošina gan datu konfidencialitāte (dati nedrīkst būt pieejami personām, kam nav tiesību vai pilnvarojuma datus izmantot), gan integritāte (datiem jābūt pareiziem, aktuāliem, atbilstošiem faktiskajiem apstākļiem, tos nedrīkst nepamatoti mainīt, labot) un pieejamība (datus nedrīkst nepamatoti dzēst, pazaudēt, datiem ir jābūt pieejamiem, ja tie ir nepieciešami, pastāv tiesības, pienākums tos saņemt un izmantot). Līdz ar to var būt gadījumi, kad pārkāpums ir datu nepamatota dzēšana, kas notikusi nejauši, darbiniekam kļūdoties vai "vīrusa" rezultātā.

Šāds apgalvojums ir aplams. Regula ir tehnoloģiski neitrāla, tā nepieprasa visu personas datu sūtīšanu vai glabāšanu šifrētā veidā, kā arī neaizliedz vai nepieprasa konkrētu tehnoloģiju izmantošanu. Tas, kādas tehnoloģijas tiek izmantotas personas datu apstrādei un drošības nodrošināšanai, atkarīgs no konkrētās apstrādes veicēja – pārziņa vai apstrādātāja – lēmuma, kurš savukārt ir jāpieņem, pamatojoties uz risku novērtējumu, komersantam pieejamajiem resursiem, iespējām un tehnikas līmeņa. Risku novērtējums jāveic, ņemot vērā apstrādes raksturu, apmēru, kontekstu, nolūkus un to, kādas iespējamās nelabvēlīgās sekas varētu rasties fiziskajai personai, kuras personas dati tiek apstrādāti, kā arī izvērtējot, kāda ir šī riska iestāšanās iespējamība.

Piemēram, sūtot e-pastā veselības datus, tos vajadzētu šifrēt, savukārt klienta kontaktpersonas datus (vārdu, uzvārdu, amatu) varētu sūtīt nešifrētā veidā, pieņemot, ka fiziskai personai tiks nodarīts lielāks kaitējums, ja noplūdīs veselības dati, salīdzinot ar to, ja noplūdīs vispārēja informācija par personas profesionālo darbību. Tas nozīmē, ka, ieviešot datu drošības pasākumus, vienmēr jāņem vērā personas datu kategorija, saturs, veids – tas, cik vērtīgi, jūtīgi dati varētu būt konkrētās fiziskās personas skatījumā.

Arī šis apgalvojums ir maldīgs. Regulas 32.pantā tieši noteikts patstāvīgs pienākums nodrošināt personas datu drošību gan pārzinim, gan apstrādātājam (tas, kurš apstrādi veic pārziņa vārdā un uzdevumā, piemēram, nodrošina pārziņa vajadzībām pārziņa rīcībā esošās informācijas glabāšanu uz apstrādātāja serveriem). Tas, ka apstrādātāji apstrādi bieži veic, izmantojot savas informācijas sistēmas, atrodoties savās telpās, pamato arī to tiešo pienākumu nodrošināt datu drošību, pieņemot, ka apstrādātājs vislabāk pārzina tā veiktās apstrādes faktiskos apstākļus un var ieviest tai piemērotus drošības pasākumus. Vienlaikus jāatzīst, ka šāds apstrādātāja pienākums neliedz pārzinim uzdot apstrādātājam nodrošināt konkrētas drošības prasības, piemēram, personas datu glabāšanas telpas aprīkot ar signalizāciju, nodrošināt datu rezerves kopiju saglabāšanu reizi dienā. Tomēr šie papildu pienākumi jādod uzmanīgi, paturot prātā, ka pārzinim var nebūt zināmi visi apstrādātāja veiktās apstrādes apstākļi, tai skaitā sistēmas, organizatoriskās procedūras un pat apstrādāja ieviestā korporatīvā kultūra, kas var ietekmēt piemērotu drošības līdzekļu izvēli. Līdz ar to nebūtu ieteicams apstrādātājam noteikt izsmeļošu ieviešamo drošības pasākumu klāstu. Tā vietā labā prakse būtu atsevišķu drošības pasākumu ieviešanu apstrādātājam noteikt kā obligātu, vienlaikus paredzot, ka citu drošības pasākumu ieviešanu apstrādātājam jāveic atbilstoši Regulas 32.pantam.  

Arī pārziņiem - komersantiem, kas personas datu apstrādi uzdod veikt ārpakalpojumu sniedzējiem, jāatceras, ka to atbildība pār apstrādātāja rīcību saglabājas un iestājas jau tajā brīdī, kad tiek izraudzīts konkrētais pakalpojumu sniedzējs un ar to tiek noslēgts līgums. Šī atbildība rodas, pamatojoties uz Regulā noteikto pienākumu izmantot tikai tādus apstrādātājus, kas garantē, ka datu apstrāde notiks saskaņā ar Regulu, tostarp tiks nodrošināta datu drošība. Līdz ar to jau pirms līguma noslēgšanas un arī līguma darbības laikā pārzinim ir jāuzrauga apstrādātāja rīcība, tai skaitā tā ieviestie drošības pasākumi.   

Šāds apgalvojums varētu tikt atdzīts par patiesu gadījumos, ja konkrētais informācijas tehnoloģiju (IT) speciālists apzinās, ka personas datu drošība ir jānodrošina ne tikai attiecībā uz elektroniski apstrādātiem datiem, bet arī datiem, kas ir citā formātā, piemēram, papīra formātā, kā arī gadījumā, ja šis speciālists pārzina citas Regulas prasības, tostarp zina, ka:

• drošības pasākumi jāievieš atbilstoši riskam, kas var rasties fiziskajai personai, kuras datus apstrādā, nevis komersantam;
• ieviestajiem drošības pasākumiem jābūt dokumentētiem iekšējās procedūrās;
• darbiniekiem ir jādod norādījumi attiecībā uz datu apstādi un aizsardzību;
• par datu aizsardzības pārkāpumiem var būt pienākums ziņot uzraudzības iestādei un tām fiziskajām personām, uz kuru datiem attiecināms notikušais pārkāpums.

Līdz ar to efektīvākais veids, kā nodrošināt Regulai atbilstošu drošību, ir šī mērķa sasniegšanai radīt komandu, kuru veido IT speciālists, jurists, risku vadības speciālists, datu aizsardzības speciālists vai eksperts. Ja šāda veida darbiniekus komersants nenodarbina, ieteicams ir pieaicināt ārējos ekspertus.

Nav patiesība, ka drošības prasību izpildei vienmēr nepieciešami lieli finanšu resursi un dārgas programmatūras, sistēmas un tehnoloģiskie risinājumi. Atsevišķos gadījumos drošības prasību izpildei ir nepieciešamas speciālas programmatūras, piemēram, ugunsmūri, antivīrusi, datu šifrēšanas, auditācijas pierakstu veikšanas programmatūras. Tomēr daudzus drošības pasākumus var īsteno ar organizatoriskiem pasākumiem, tostarp, piemēram, veicot darbinieku apmācības, izstrādājot iekšējās procedūras, nodrošinot fizisku drošību telpām, kurās atrodas dokumenti vai citi datu nesēji, lai telpās brīvi bez nepieskatīšanas nevar iekļūt un atrasties personas, kam nav tiesību piekļūt konkrētajiem dokumentiem. Piemēram, ja šādām telpām piekļuve ir nepieciešama tehniskajiem darbiniekiem remontdarbu vai uzkopšanas veikšanai, tad šādus tehniskos darbiniekus nav pieļaujams atstāt neuzraudzītus telpās, kurās brīvi pieejami dokumenti ar personas datiem vai portatīvās datu glabāšanas ierīces.

Ieteicams sākt ar darbiniekiem saistošas drošības politikas izstrādi un darbinieku apmācīšanu par šajā politikā noteiktajiem drošības pasākumiem, piemēram, nosakot, ka dokumenti ir iznīcināmi speciālās dokumentu smalcināmajās iekārtās, nevis izmetot tos atkritumu tvertnē, kā arī nosakot, ka aizliegts darba vajadzībām izmantot personīgo e-pastu, jo nav zināms, kādi ir šīs platformas drošības iestatījumi, savukārt darba portatīvo datoru ir aizliegts nepieskatītu atstāt transportlīdzeklī vai publiskā vietā, piemēram, konferencē vai kafejnīcā.

Izmantojot tehnoloģijas datu drošības nodrošināšanai, svarīgi sākt nevis ar jaunu risinājumu iegādi, bet esošo risinājumu funkcionalitātes izpēti, jo, iespējams, risinājumi datu aizsardzības drošības veicināšanai un drošības risku mazināšanai jau ir mūsu rīcībā, bet tie vēl netiek izmantoti. Piemēram, katram darba devējam ir vērts apdomāt, vai visiem darbiniekiem ir jānodrošina iespēja e-pasta vēstules sūtīt arī ārpus uzņēmuma, vai uzņēmumu grupas. Iespējams, ir darbinieku grupa, kuru darba pienākumu izpildes vajadzībām ir pietiekami, ka tiek nodrošināta tikai iekšējā e-pasta vēstuļu apmaiņa. Tādā veidā tiek mazināta iespēja, ka aiz neuzmanības vai ar nodomu gan personas dati, gan komercnoslēpums tiek nepamatoti nosūtīts trešajām personām. Šādu ierobežojošu funkcionalitāti nodrošina lielākā daļa biežāk izmantoto e-pasta platformu.

Protams, neapstrīdams arī ir tas, ka daudzas Regulas prasības nevar atbilstoši un efektīvi izpildīt bez tehnoloģiju starpniecības. Piemēram, neatbilstoši Regulai būtu tikai pašu darbinieku ziņā atstāt atbildību par atbilstošas sarežģītības pakāpes paroles lietošanu un tās savlaicīgu un regulāru nomainīšanu, sistēmas funkcionalitātē neintegrējot automatizētu neatbilstošas paroles lietošanas liegumu un ierobežojumu lietot sistēmu, ja noteiktā periodā, piemēram, ik pēc 90 dienām, netiek veikta paroles nomaiņa.

Nav patiesība, ka ir pietiekami drošības prasības ietvert tikai drošības politikā un ar to iepazīstināt darbiniekus, izsūtot to darbiniekiem uz e-pastu, uzskatot, ka cita veida darbinieku informēšana vai apmācīšana nav nepieciešama. Ļoti svarīgi ir ne tikai izstrādāt politiku un formāli iepazīstināt ar to darbiniekus, bet klātienes mācību ietvaros skaidrot politikas ievērošanas nozīmību un tajā noteiktos pienākumus – piemēram, skaidrojot, kuros gadījumos un kā veikt e-pasta vēstuļu šifrēšanu, kādā veidā nosūtīt šifrēšanas paroli, kā atpazīt un rīkoties gadījumos, kad tiek saņemtas aizdomīga satura e-pasta vēstules. Tas nepieciešams, lai veicinātu darbinieku izpratni par to, kas ir jādara un kādas negatīvās sekas var iestāties šo pienākumu neizpildes rezultātā, tādējādi veicinot darbiniekiem noteikto pienākumu ievērošanu un atbilstošu izpildi. 

Būtiski ir darbinieku informēšanu un apmācīšanu regulāri atkārtot, lai informētu par jaunajiem pienākumiem, pasākumiem, kā arī atkārtotu un atgādinātu jau iepriekš noteiktās prasības, pienākumus, jo bieži ikdienas steigā un lielajā informācijas pūsmā mēs aizmirstam to, kas pirms neilga laika šķita pašsaprotams.

Tā nav patiesība, jo uzraudzības iestādei (Latvijā tā ir Datu valsts inspekcijai) ir jāziņo par personas datu aizsardzības pārkāpumu – jebkuru situāciju, kad ir noticis drošības pārkāpums, aiz neuzmanības vai ar nodomu nenodrošinot datu konfidencialitāti, integritāti vai pieejamību, un šāds pārkāpums ir radījis vai varētu radīt risku fiziskajai personai, pret kuras datiem šis pārkāpums noticis. Līdz ar to arī nejauši uz nepareizu e-pasta adresi nosūtīta vēstule var būt datu aizsardzības pārkāpums, par kuru jāziņo. Jāziņo varētu būt, piemēram, arī par portatīvā datora pazaudēšanu vai zādzību. Atbrīvojums no ziņošanas pienākuma šajā gadījumā varētu būt, ja e-pasta vēstule un arī datorā esošā informācija ir bijuši šifrēta ar drošām šifrēšanas metodēm, šifrēšanas fakts ir pierādāms, kā arī atslēga, kas tiek izmantota šifrēšanai, ir drošībā.    

Būtiski ir šī jaunā pienākuma izpildei izstrādāt procedūru un veikt darbinieku apmācīšanu, jo tieši darbinieki ir tie, kas pirmie var konstatē savā vai citu kolēģu vai sistēmu darbībā iespējamu pārkāpumu. Līdz ar to darbiniekiem ir jābūt zinošiem par to, kas ir pārkāpums un kā jārīkojas, konstatējot šādu iespējamo pārkāpumu. Būtiski ir procedūrā noteikt, kurš darbinieks vai darbinieki veic paziņošanu par pārkāpumu uz ārpusi uzraudzības iestādei un datu subjektiem un kādā veidā, termiņā un kam tiek paziņots par iespējamo pārkāpumu uzņēmuma ietvaros. Tas nepieciešams, lai notiktu savlaicīga pārkāpuma atklāšana, pārtraukšana, iespējamo seku mazināšana, kā arī paziņošana par to uzraudzības iestādei Regulā noteiktā veidā, apjomā, termiņā (72 stundu laikā pēc atklāšanas) un gadījumos.  

Neapšaubāmi, arī tehnoloģiski rīki, kas automatizēti identificē un ziņo par iespējamu pārkāpumu informācijas sistēmās, ir ļoti vēlami un papildina organizatoriskos procesus.

Arī šis apgalvojums neatbilst datu aizsardzības regulējumam, jo saskaņā ar Regulu, ja personas datu aizsardzības pārkāpums varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis bez nepamatotas kavēšanās paziņo par pārkāpumu šīm fiziskajām personām – datu subjektiem, pret kuru datiem noticis pārkāpums. Piemēram, ja iepriekš minētajos datu konfidencialitātes pārkāpumu gadījumos personas dati nav šifrēti un tie ir notikuši ar personas datiem par veselību vai finanšu stāvokli vai ar profila lietotājvārdu un paroli, tad par šādu pārkāpumu varētu būt jāziņo arī tām fiziskām personām, kuru dati ir zaudējuši konfidencialitāti. Šāda pienākuma mērķis ir dot iespēju datu subjektiem pašiem mazināt negatīvās sekas, kas tiem radušās vai varētu rasties saistībā ar notikušo datu aizsardzības pārkāpumu. Tas, protams, neliedz arī subjektiem pieprasīt, lai uzņēmums vai iestāde, kura izdarījusi vai pieļāvusi pārkāpumu, atlīdzina zaudējumus vai morālo kaitējumu, vai tiktu administratīvi sodīta.   

Daļēji tā ir patiesība, jo kādu brīdi pēc drošības pasākumu atbilstošas ieviešanas papildu pienākumu nav, tomēr tas ir ļoti īss brīdis, kad var izbaudīt darba augļus ar nosacījumu, ka pasākumi ieviesti atbilstoši Regulas prasībām. Patiesībai drīzāk atbilst tas, ka datu drošības nodrošināšana ir nepārtraukta darbība, jo nepārtraukti jākontrolē, vai drošības pasākumi darbojas un vai tie ir efektīvi, tostarp jāuzrauga gan darbinieku rīcība, izpildot tiem uzdotos drošības pasākumus (piemēram, vai tiek pildīts aizliegums darba vajadzībām nepieciešamos datus glabāt datora cietajā diskā, nevis uz servera, lai nodrošinātu datu rezerves kopiju izveidošanu un automatizētu dzēšanu vai arhivēšanu, tad, kad ir iestājies noteikts termiņš), gan tehnoloģiju, sistēmu darbība. Kā jau norādīts iepriekš, jākontrolē, gan ieviesto pasākumu darbība, gan to efektivitāte, jo laika gaitā noteikti pasākumi, mainoties apstākļiem vai tehnoloģijām, var kļūt neefektīvi.

Līdz ar to Regulā noteikts pienākums veikt regulāru drošības auditu, to veicot pašiem vai tā veikšanai pieaicinot ārējos auditorus, kā arī uzlabot drošības pasākumus un to efektivitāti.