02.01.2018

Ieskats 2018. gada Fizisko personu datu aizsardzības likumā

Nav noslēpums, ka plašsaziņas līdzekļos regulāri izskan informācija par fizisku personu datu noplūdes gadījumiem. Šobrīd ir izveidots serviss, kur jebkurš lietotājs var pārbaudīt, vai kādā no datu noplūdes gadījumiem nav cietuši tā lietotāja dati. 2017. gada septembrī internetu pāršalca divas vērā ņemamas ziņas – datu noplūdes kompānijas Dropbox un Yahoo lietotājiem. Abas kompānijas par datu noplūdi publiski paziņoja tikai vairākus mēnešus pēc ielaušanās fakta, tādejādi pakļaujot riskam lielu daļu lietotāju.  Šī problēma ar katru gadu kļūs aktuālāka, taču jaunais Fizisko personu datu aizsardzības likums (GDPR – global data protection regulation) to varētu strauji mazināt – būtiski tikai to izprast un sagatavoties tās prasībām.

Fizisku personu aizsardzība attiecībā uz personas datu aizsardzību joprojām ir pamattiesības. Ikvienai personai ir tiesības uz savu personas datu aizsardzību. Iepriekšējā ES direktīva tika izstrādāta 1995. gadā (Eiropas Parlamenta un Padomes Direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti), taču tehnoloģijām strauji attīstoties ir nepieciešams attīstīt vienotu izpratni un ieviest kopēju praksi par fizisku personu datu apstrādi un uzglabāšanu.

Jaunā regula attiecas uz visām 28 ES dalībvalstīm un datu pārziņiem, tostarp uz datu pārziņiem, kuri fiziski neatrodas ES, bet piedāvā preces vai pakalpojumus datu subjektiem, kuri dzīvo ES. Regulas galvenie mērķi ir palielināt ikviena ES datu subjekta kontroli pār viņa datiem un aizsargāt tos. Vienots Fizisko personu datu aizsardzības likums visā ES nozīmē labāku izpratni un praksi par fizisko personu datu apstrādi un uzglabāšanu. Tāpat tiks izbeigts nepārtrauktais nacionālo likumu pielāgošanas un labošanas process, kā arī datu aizsardzības īstenošanas sadrumstalotība ES. Tā kā šī regula ietver vienādus noteikumus un izpratni visās ES dalībvalstīs, tad likumsakarīgi tiks mazināts konkurences izkropļojums un kavētas valsts iestādes to pienākumu izpildē.

Fizisko personu datu aizsardzības regula (GDPR) stājās spēkā 2016. gada 24. maijā. Nacionālajā līmenī divu gadu laikā ir jāmaina esošā normatīvā aktu bāze, lai tā atbilstu jaunajai regulai. Pēc publiski izskanējušās informācijas, Fizisko personu datu aizsardzības likums tiks izveidots no jauna, bet iespējama arī esošā likuma pielāgošana. Savukārt pēc 2018. gada 25.maija regula iegūs juridisku spēku, proti, uz to varēs atsaukties un pieprasīt  tās ievērošanu.

kāpēc tika pieņemta jaunā vispārīgā datu aizsardzības regula?

Kāpēc fizisko personu datu aizsardzības regula ir izdevīga fiziskām personām?

Vispārīgā datu aizsardzības regula (GDPR) paredz būtiskas izmaiņas esošajā Fizisko personu datu aizsardzības likumā noteiktajā regulējumā ar mērķi paaugstināt personas datu aizsardzības līmeni un piešķirt datu subjektam tiesības un pienākumus kontrolēt savu datu nodošanu apstrādei. Ņemot vērā, ka šobrīd jebkurš sniegtais pakalpojums ietver sevī datu apstrādi, fizisko personu datu izmantošana ir kļuvusi nekontrolējama, apdraudot gan datu subjektu, gan uzņēmumu, kas datus apstrādā. Ar noteikumiem, kas regulē vairākus būtiskus datu apstrādes nosacījumus, tiks panākta labāka personas datu aizsardzība, kas datu subjektā viesīs lielāku uzticību, sniedzot savus datus apstrādei.

fizisko personu datu aizsardzības likuma galvenās prasības

  • Rīcības kodekss

Datu pārzinis, sadarbojoties ar DAA (Datu valsts inspekcija), izstrādā rīcības kodeksu, kas sevī ietver:

  1. fizisko personu datu apstrādes procesus;
  2. informāciju, ko sniedz sabiedrībai un datu subjektam;
  3. datu subjektu tiesību īstenošanu;
  4. informāciju, kuru sniedz bērnam, bērnu aizsardzību un to kādā veidā iegūstam aizbildņa piekrišana;
  5. DAA informēšana, datu subjektu informēšana datu noplūdes gadījumā, f) integrētas datu aizsardzības mehānismus;
  6. datu aizsardzības speciālista pienākumus.
  • Integrēta fizisko personu datu aizsardzība un datu aizsardzība pēc noklusējuma

Fizisko personu datu aizsardzības regulā nav aprakstītas konkrētas tehnoloģijas vai ražotāju produkti, kuri pilda vienu vai vairākus datu aizsardzības mehānismus, taču aprakstīti domāšanas veidi un ieteikumi, domājot par fizisku personu datu drošību. Proti, lai aizsargātu datu subjektu tiesības, ņemot vērā tehnikas līmeni, īstenošanas izmaksas, apstrādes raksturu, apmēru, kontekstu, riskus, kurus rada apstrāde, pārzinis gan apstrādes līdzekļu noteikšanas, gan izstrādes laikā īsteno atbilstošus tehniskus un organizatoriskus pasākumus, piemēram, datu anonimizēšana (noņemt personiski identificējamu informāciju), datu pseidonimizēšana (aizstājot personiski identificējamus datus ar mākslīgiem datiem). Tāpat svarīgs aizsardzības mehānisms ir datu šifrēšana (visi fizisku personu identificējoši dati tiek šifrēti) un datu apmaiņai tiek nodrošināti šifrēti datu apmaiņas protokoli drošiem sakariem (piemēram, SSL tunelis).

  • Atbildīgais par fizisku personas datu aizsardzību

Publiskajam sektoram un uzņēmumiem, kuri specializējas fizisku personu liela apjoma datu apstrādē un uzglabāšanā, uzņēmumiem, kur darbinieku skaits pārsniedz 250 cilvēkus, jaunā regula uzliek par pienākumu nozīmēt iestādes/uzņēmuma atbildīgo par fizisku personu datu drošību.

  • Tiesības būt aizmirstam

Šī prasība sevī ietver iespēju datu subjektam izdzēst datus pašam vai lūgt to izdarīt datu pārzinim, brīdī, kad viņš vairs nevēlēsies, lai dati tiek glabāti un apstrādāti kādā konkrētā servisā vai pakalpojumā. Protams, pastāv izņēmumi, kad datu dzēšanas prasību var noraidīt gadījumos, kad tam ir juridisks vai likumīgs pamats. Piemēram, datus var izdzēst no sociālā tīkla.

  • Prasības attiecas arī uz kompānijām ārpus ES

Ja datu pārzinis neatrodas ES, taču piedāvā preces un pakalpojumus ES dzīvojošajiem datu subjektiem, piemēram Yahoo/Dropbox, tad regulā noteiktās prasības ir attiecināmas arī uz šīm kompānijām. Jaunajai regulai stājoties spēkā, visām kompānijām neatkarīgi no atrašanās vietas, būs vienādi noteikumi, kas mazinās konkurences kropļojumu.

  • Tiesības uzzināt par datu noplūdi

Datu pārzinim 72h laikā būs jāinformē DAA (Latvijā arī CERT.LV) un visi cietušie datu subjekti gadījumos, ja notikusi ļaunprātīga ielaušanās sistēmā / iejaukšanās vai nesankcionēta piekļuve personas datiem.

  • Tiesības pārnest savus datus citur

Datu pārzinim būs jānodrošina iespēja lietotājam saglabāt savus datus izplatītā, mašīnlasāmā formā, lai šos datus būtu iespējams pārnest pie cita pārziņa.

  • Īpaša aizsardzība bērniem

Regula paredz īpašus nosacījumus bērniem līdz 16 gadiem. Datu pārzinim būs jānodrošina funkcija, ka bērnam reģistrējoties kādā no, piemēram, sociālajiem tīkliem, ka bērna aizbildnis ir devis piekrišanu šai darbībai.

FIZISKO PERSONU DATU AIZSARDZĪBAS LIKUMA SODA SANKCIJAS

Juridiskām personām maksimāli iespējamā soda apmērs administratīvajā kārtā ir 14 000€, protams, naudas soda apmērs var mainīties atkarībā no vainu pastiprinošiem vai mazinošiem apstākļiem.
Pēc jaunās regulas stāšanās spēkā, uzraudzības iestāde piemēro sankcijas, tostarp administratīvos naudas sodus. Administratīvs naudas sods apmērā līdz EUR 20 milj. vai, uzņēmuma gadījumā, līdz 4% no tā kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma atkarībā no tā, kuras summas apmērs ir lielāks. Nenozīmīgu pārkāpumu gadījumā vai, ja naudas sods, kādu varētu uzlikt, radītu nesamērīgu slogu fiziskai personai, naudas soda vietā var izteikt rājienu.

Kas būtu šobrīd jādara, lai sagatavotos jaunajam FIZISKO PERSONU DATU AIZSARDZĪBAS likumam?

 

  1. Veiciet fizisku personu datu risku pārvaldības analīzi.
  2. Nozīmējiet datu aizsardzības speciālistu.
  3. Izstrādājiet procesuālo kārtība kādā tiks apstrādāti un izpildīti datu subjektu pieprasījumi par fizisko personu datu eksportēšanu, dzēšanu, jo šo prasību izpildīšanas termiņš ir 30 dienas no sūdzības iesniegšanas brīža, protams, pastāv iespēja pagarināt termiņu objektīvu apsvērumu dēļ.
  4. Ieviešot jaunas datu apstrādes un glabāšanas sistēmas, kā arī pārskatot vecās, paturēt prātā konceptu: integrētā datu aizsardzība un datu aizsardzība pēc noklusējuma.
  5. Skaidri un saprotami attēlot datu apstrādes un glabāšanas procesu lietotājam.
  6. Ritenis no jauna nav jāizgudro. Labākā aizsardzība = padziļinātā/slāņu aizsardzība.Vispārējā datu aizsardzības regula

Lai efektīvi ieviestu un pārraudzītu padziļinātu/slāņu aizsardzību nepieciešami lieli finanšu, cilvēku un laika resursi, tādēļ es ieteiktu padomāt par mākoņrisinājumiem. Izmantojot mākoņrisinājumus, tiek būtiski nosegti pirmie drošības līmeņi.

Nav jāuztraucas:

  1. par fiziskās  aizsardzības resursiem – apsargiem, novērošanas sistēmām, dabas stihijām, ugunsgrēkiem, elektrības zudumiem,
  2. par infrastruktūru – serveriem, datu glabātuvēm, tīkla iekārtām, virtualizācijas risinājumu. Jums paliek daudz vairāk laika un resursu, lai domātu par pārējiem slāņiem.

Šobrīd Microsoft Azure mākoņpakalpojums pilnībā atbilst vecās fizisko personu datu aizsardzības direktīvas un daudzu citu drošības standartu prasībām. Šobrīd arī tiek aktīvi strādāts, lai nākotnē tiktu pilnībā izpildītas jaunās regulas prasības.

Kā sagatavoties Vispārīgajai personas datu aizsardzības regulai? Lejupielādē bezmaksas GDPR dokumentu paku!

Madars Šmits, SQUALIO Mākoņpakalpojumu produktu vadītājs