02.01.2018

Ieskats 2018. gada Fizisko personu datu aizsardzības likumā

Plašsaziņas līdzekļos regulāri izskan informācija par fizisku personu datu noplūdes gadījumiem. Šobrīd ir izveidots serviss, kurā jebkurš lietotājs var pārbaudīt, vai kādā datu noplūdē nav cietuši lietotāja dati. 2017. gada septembrī internetu pāršalca divas ievērojamas ziņas – tika nopludināti uzņēmumu Dropbox un Yahoo lietotāju dati. Abi uzņēmumi par datu noplūdi paziņoja vairākus mēnešus pēc fakta, pakļaudami riskam vairumu lietotāju. Šī problēma kļūst arvien aktuālāka, taču jaunā Vispārīgā datu aizsardzības regula (GDPR jeb General Data Protection Regulation) noplūdes varētu strauji mazināt, taču ir būtiski regulu izprast un sagatavoties tās prasībām.

Datu aizsardzība joprojām ir ikvienas fiziskas personas pamattiesība. Iepriekšējā Eiropas Savienības Direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti tika izstrādāta 1995. gadā. Taču, tehnoloģijām strauji attīstoties, direktīvas noteikumi vairs nevar nodrošināt to, ka personas, kas strādā ar personas datiem, īsteno pienācīgi drošu personas datu apstrādi.

Jaunā regula attiecas uz visām Eiropas Savienības (ES) dalībvalstīm un datu pārziņiem, tostarp uz datu pārziņiem, kuri fiziski neatrodas ES, bet piedāvā preces vai pakalpojumus ES pilsoņiem. Regulas galvenie mērķi ir palielināt ikviena ES datu subjekta kontroli pār viņa datiem un aizsargāt tos. Vienots fizisko personu datu aizsardzības likums visā ES veicinās labāku izpratni par fizisko personu datu apstrādi un uzglabāšanu. Tāpat tiks izbeigts nepārtrauktais nacionālo likumu pielāgošanas un labošanas process un datu aizsardzības īstenošanas sadrumstalotība ES.

kāpēc tika pieņemta jaunā vispārīgā datu aizsardzības regula?

Kāpēc Vispārīgā datu aizsardzības regula ir izdevīga fiziskām personām?

GDPR paredz būtiskas izmaiņas esošajā Fizisko personu datu aizsardzības likumā ar mērķi paaugstināt personas datu aizsardzības līmeni un piešķirt datu subjektam tiesības un pienākumus kontrolēt savu datu nodošanu apstrādei. Ņemot vērā, ka šobrīd gandrīz jebkurš sniegtais pakalpojums ietver sevī datu apstrādi, fizisko personu datu izmantošana ir kļuvusi nekontrolējama, apdraudot gan datu subjektu, gan personu, kas datus apstrādā. Ar vispārpiemērojamiem noteikumiem, kas regulē vairākus būtiskus datu apstrādes nosacījumus, tiks panākta labāka personas datu aizsardzība, kas datu subjektā viesīs lielāku uzticību, sniedzot savus datus apstrādei.

vispārīgās datu aizsardzības regulas galvenās prasības

  • Rīcības kodekss

Datu pārzinis, sadarbojoties ar DAA (Datu valsts inspekcija), izstrādā rīcības kodeksu, kas sevī ietver:

  1. fizisko personu datu apstrādes procesus;
  2. informāciju, ko sniedz sabiedrībai un datu subjektam;
  3. datu subjektu tiesību īstenošanu;
  4. informāciju, kuru sniedz bērnam, bērnu aizsardzību un to, kādā veidā iegūstama aizbildņa piekrišana;
  5. DAA informēšana, datu subjektu informēšana datu noplūdes gadījumā;
  6. integrētas datu aizsardzības mehānismus;
  7. datu aizsardzības speciālista pienākumus.
  • Integrēta fizisko personu datu aizsardzība un datu aizsardzība pēc noklusējuma

Vispārīgajā datu aizsardzības regulā nav aprakstītas konkrētas tehnoloģijas vai ražotāju produkti, kuri pilda vienu vai vairākus datu aizsardzības mehānismus, taču aprakstīti pamatprincipi un noteikumi, kuri jāievēro, izvēloties personas datu pārvaldes un drošības risinājumus. Kā vienu no tiem var minēt noteikumu, kas nosaka, ka, lai aizsargātu datu subjektu tiesības, ņemot vērā tehnikas līmeni, īstenošanas izmaksas, apstrādes raksturu, apmēru, kontekstu, riskus, kurus rada datu apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan izstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, datu anonimizēšana (noņemt personiski identificējamu informāciju), datu pseidonimizēšana (aizstājot personiski identificējamus datus ar mākslīgiem datiem). Tāpat svarīgs aizsardzības mehānisms ir datu šifrēšana: visi fizisku personu identificējoši dati tiek šifrēti un datu apmaiņai tiek nodrošināti šifrēti datu apmaiņas protokoli drošiem sakariem (piemēram, SSL tunelis).

  • Datu aizsardzības speciālists

Datu aizsardzības speciālista iecelšana nav obligāta visiem. Šādam speciālistam ir obligāti jābūt Valsts iestādēs un organizācijās, kā arī  uzņēmumos, kuru pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā.

  • Tiesības tikt aizmirstam

Šī tiesība ir iespēja datu subjektam lūgt datu pārzini dzēst datu subjekta datus, kad viņš vairs nevēlēsies, lai dati tiek glabāti un apstrādāti kādā konkrētā servisā vai pakalpojumā. Protams, pastāv izņēmumi, kad datu dzēšanas prasību var noraidīt gadījumos, kad tam ir juridisks vai likumīgs pamats.

  • Prasības attiecas arī uz uzņēmumiem ārpus ES

Ja datu pārzinis neatrodas Eiropas Savienībā, taču piedāvā preces un pakalpojumus datu subjektiem, kas mīt ES, piemēram, Yahoo/Dropbox lietotājiem, tad regulā noteiktās prasības ir attiecināmas arī uz šiem uzņēmumiem. Kad jaunā regula stāsies spēkā, visiem uzņēmumiem, neatkarīgi no atrašanās vietas, tiks piemēroti vienādi noteikumi.

  • Tiesības uzzināt par datu AIZSARDZĪBAS PĀRKĀPUMU

Personas datu aizsardzības pārkāpuma gadījumā pārzinis bez nepamatotas kavēšanās unne vēlāk kā 72 stundu laikā paziņo par personas datu aizsardzības pārkāpumu uzraudzības iestādei, izņemot gadījumus.

  • Tiesības pārnest savus datus citur

Datu pārzinim būs jānodrošina tiesības lietotājam saņemt personas datus attiecībā uz sevi, kurus viņš sniedzis pārzinim, strukturētā, plaši izmantotā un mašīnlasāmā formātā, un datu pārzinim ir tiesības minētos datus nosūtīt citam pārzinim.

  • Īpaša aizsardzība bērniem

Regula paredz īpašus nosacījumus pakalpojumu tiešai sniegšanai bērniem līdz 16 gadiem. Šādai bērna personas datu apstrādei būs nepieciešama personas, kurai ir vecāku atbildība par bērnu, piekrišana.

Vispārīgās DATU AIZSARDZĪBAS regulas SODA SANKCIJAS

Šobrīd juridiskām personām maksimāli iespējamā soda apmērs administratīvajā kārtā ir 14000 EUR. Pēc jaunās regulas stāšanās spēkā uzraudzības iestāžu piemēroto administratīvo naudas sodu apmērs būs līdz 10 milj. EUR vai uzņēmumiem līdz 2% no kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma; un  līdz 20 milj. EUR vai līdz 4% no kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma (atkarībā no tā, kuras summas apmērs ir lielāks) par nopietnāku datu apstrādes pārkāpumu izdarīšanu.

Nenozīmīgu pārkāpumu gadījumā vai, ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā var izteikt rājienu.

Kas jādara, lai sagatavotos jaunajai regulai?

 

  1. Veiciet fizisku personu datu risku pārvaldības analīzi.
  2. Nepieciešamības gadījumā nozīmējiet datu aizsardzības speciālistu.
  3. Izstrādājiet procesuālo kārtību, kādā tiks apstrādāti un izpildīti datu subjektu pieprasījumi par fizisko personu datu pārnešanu, dzēšanu un labošanu, ņemot vērā šīs prasības izpildīšanas termiņu 30 dienas no prasības iesniegšanas brīža.
  4. Ieviešot jaunas datu apstrādes un glabāšanas sistēmas, kā arī pārskatot vecās, paturēt prātā konceptu: integrētā datu aizsardzība un datu aizsardzība pēc noklusējuma.
  5. Skaidri un saprotami attēlojiet datu apstrādes un glabāšanas procesu lietotājam.
  6. Ritenis no jauna nav jāizgudro. Labākā aizsardzība = padziļinātā/slāņu aizsardzība.Vispārējā datu aizsardzības regula

Lai efektīvi ieviestu un pārraudzītu padziļinātu/slāņu aizsardzību nepieciešami lieli finanšu, cilvēku un laika resursi, tādēļ iesakām padomāt par mākoņrisinājumiem, kuru izstrādātāju rīcībā ir visi uzskaitītie resursi, kuri, izmantojot jaunākos tehnoloģiju sasniegumus, ļauj izstrādāt drošu datu glabāšanas un apstrādes produktu. Šādi mākoņrisinājumi nodrošina arī citas funkcijas, kas atbilst regulas prasībām, tādējādi, samazinot uzņēmuma risku pārkāpt datu apstrādes noteikumus.

Minot galvenās mākoņpakalpojumu priekšrocības, ir jāatzīmē tas, ka izvēloties šādu risinājumu, jums nav jāuztraucas par:

  1. fiziskās  aizsardzības resursiem – apsargiem, novērošanas sistēmām, dabas stihijām, ugunsgrēkiem, elektrības zudumiem;
  2. infrastruktūru – serveriem, datu glabātuvēm, tīkla ierīcēm, virtualizācijas risinājumiem. Jums paliek daudz vairāk laika un resursu, lai domātu par pārējiem slāņiem;
  3. nepiederošu personu piekļuvi datiem;
  4. personas datu pārvaldību – datus var viegli sameklēt, noteikt pārvaldības politiku un aizliegt to nosūtīšanu.

Šobrīd Microsoft Azure mākoņpakalpojums pilnībā atbilst fizisko personu datu aizsardzības likuma un daudzu citu drošības standartu prasībām.

Kā sagatavoties Vispārīgajai personas datu aizsardzības regulai? Piesakies IT un risku identificēšanas auditam un sāc savu ceļu pretī Vispārīgās datu aizsardzības regulas ieviešanai!

 

Noderīga papildu informācija

Detalizēts apraksts jeb Septiņu soļu ceļvedis jaunās datu aizsardzības regulas atbilstībai.

Raksts par programmatūras resursu pārvaldības uzlabošanu uzņēmumā.

 

Madars Šmits, SQUALIO Mākoņpakalpojumu produktu vadītājs