28.09.2017

Drīzumā stāsies spēkā jauna ES privāto personu datu aizsardzības regula (GDPR)

Drīzumā stāsies spēkā jauna ES regula, kas skars visus Latvijas uzņēmējus

Nākamā gada 25. maijā Eiropas Savienībā (ES) stāsies spēkā Vispārējā datu aizsardzības regula (General Data Protection Regulation – GDPR), kuras pamatmērķis ir izskaust nepamatotu personas datu lietošanu un noplūdi. No vienas puses apsveicama rīcība, no otras – jaunas galvassāpes Latvijas uzņēmējiem.

Lai arī galvenais uzsvars šīs regulas ietvarā tiek likts uz personas datu apstrādes procedūru, neatņemama sastāvdaļa ir arī tehniskie risinājumi, ar kuriem, uzlabot datu drošību un mazināt datu noplūdi. GDPR prasību ievērošana un risku mazināšana iet roku rokā ar IKT labās prakses ievērošanu – datortīklu drošību, lietotāju piekļuves un lomu organizēšanu, paroļu politiku un citām mūsdienu prasībām.

“Fizisku personu dati ir definēti ļoti plaši. Principā tie ir visi dati, kas attiecas uz identificētu vai identificējamu fizisku personu. Ja uzņēmumam ir klientu datubāze, atsauksmju vai ieteikumu anketas, e-pasti, bildes, novērošanas kameru video, klientu lojalitātes programmu dati, CV, u.tml. dati,  tad uz uzņēmu tiek attiecināta jaunā regula,” skaidro Squalio vadošā juriste Elīna Girne.

Sods par regulas neievērošanu ir bargs – līdz 20 milj. EUR vai 4% no apgrozījuma. Ja uzņēmums ir starptautisks, tad sods attiecas uz visas grupas apgrozījumu.

Atklāšanas posms

GDPR dzīves ciklu var iedalīt četros posmos un viss sākas ar būtiskāko – datu atklāšanas posmu. Lai varētu pārvaldīt un aizsargāt fizisku personu datus, sākotnēji nepieciešams saprast, kur un ar kādu apstrādes mērķi šie dati tiek glabāti. Šim nolūkam vairāki programmatūru ražotāji ir izveidojuši aktuālu rīku kategoriju “eDiscovery”, kas ļaus efektīvi un ātri pārvaldīt savā īpašumā esošos strukturētos (datubāzes) un nestrukturētos datus (PDF, Word, Excel, PowerPoint dokumenti un e-pasti).

Protams, šādu risinājumu darbināšanai nepieciešama ievērojama serveru jauda, tādēļ mazajiem un vidējiem (MVU) uzņēmumiem šo funkcionalitāti daudz vieglāk būs sasniegt, glabājot savus datus mākoņpakalpojumos, kuros iestrādāta “eDiscovery” funkcionalitāte. Jau šobrīd lielākie ražotāji tostarp “Microsoft” un “Google” strādā pie šīs funkcionalitātes savos mākoņpakalpojumos – “Office 365” un “Google G Suite”.

Pārvaldības posms

Šajā posmā nepieciešams izstrādāt to, kā fizisku personu dati tiek izmantoti un deleģēt piekļuves atļaujas šiem datiem. “Nereti mazajiem un vidējiem uzņēmumiem nav centralizēta lietotāju pārvaldība un visiem uzņēmuma darbiniekiem ir pieeja personu datiem. Līdz ar to uzņēmums tiek pakļauts milzīgam datu noplūdes riskam. Ir nepieciešams definēt darbiniekus ar piekļuvi privātpersonu datiem, piemēram, grāmatvežiem, cilvēkresursu speciālistiem un mārketinga speciālistiem,” norāda Squalio produktivitātes risinājumu speciālists Kristaps Sedols.

Lietotāju pārvaldība arī palīdzēs atsekot un pierādīt datu noplūdes cēloņus brīdī, kad tas būs noticis. “Kā otru no tehnoloģiskajiem mehānismiem, par kuriem ieteiktu padomāt, ir mobilo iekārtu pārvaldība. Vienalga vai ierīce ir uzņēmuma, vai privātpersonas īpašumā, uz tās parasti atrodas uzņēmuma e-pasta konts un darba dokumenti, kuri iekārtas nozagšanas vai pazaudēšanas gadījumā nonāk pie trešās personas. Šajā gadījumā, ja dati nebūs aizsargāti un šī ierīce [KS1] netiks pārraudzīta centralizēti, [KS2] par tās [KS3] nozaudēšanu nāksies ziņot Datu Valsts inspekcijai, jo pēc būtības būs notikusi [KS4] privātpersonu datu noplūde,” turpina K. Sedols.

Aizsargāšanas posms

Kad ir noteiktas iekārtas un tehnoloģijas, kuras glabā fizisku personu datus un ieviesta lietotāju pārvaldība varam sākt datu aizsargāšanu. Atkarībā no to glabāšanas vietas un tehnoloģijas, tiks izvēlēts arī atbilstošs tehniskais risinājums.

Kā viens no drošības posma pamatakmeņiem ir visu gala lietotāju iekārtu (datoru, mobilo telefonu, planšetdatoru) diska līmeņa datu kriptēšanu. Situācijā, kad gala lietotāja iekārta tiks nozaudēta vai nozagta, datiem kuri atrodas iekārtā nebūs iespējams piekļūt. Diemžēl ar diska līmeņa kriptēšanu bieži vien nepietiks, jo gadījumā, ja dati tiks nopludināti apzināti vai kļūdas pēc, izmantojot kādu sakaru kanālu (e-pastu, WhatsApp, DropBox u.c.) diska līmeņa kriptācija šeit nepalīdzēs, tādēļ nepieciešams apsvērt iespēju ieviest faila līmeņa kriptācijas rīkus, kuri nodrošinās to, ka pat, ja dokuments atstāj Jūsu uzņēmuma perimetru un nonāk trešo pušu rokās, tas ir aizsargāts un to nav iespējams atvērt.

Savukārt uzņēmumiem, kuri ikdienā strādā ar strukturētiem datiem un apjomīgām informācijas sistēmām, piemēram, loteriju organizētājiem, ir būtiski nodrošināt datu bāžu līmeņa un datu kanālu kriptāciju, izmantojot SSL sertifikātus, savukārt iekšējo sistēmu piekļuvi nodrošināt, izmantojot VPN savienojumus.

Ne mazāk būtiski ir parūpēties par kompetentu uzņēmuma IT personālu un izvērtēt, vai tam ir nepieciešama piekļuve pie visām IT sistēmām, tai skaitā privātpersonu datiem. Datu noplūdes gadījumā būs būtiski pierādīt, ka uzņēmums ir darījis visu iespējamo, lai aizsargātu fizisku personu datus – šīm vajadzībām ir pieejami IT risinājumi, kuri dokumentē piekļuves laikus, kā arī personāla darbības un veiktās izmaiņas.

Ziņošanas posms

Beigu posmā ir svarīgi sekot līdzi izveidotajiem procesiem un noteiktajai uzņēmuma politikai. Tāpat uzņēmuma IT infrastruktūrā jānodrošina monitoringa sistēma, kas pārrauga datortīklus, lietotāju netipisku autorizācijas aktivitāti un uzvedību, lai brīdī, kad notiktu ielaušanās uzņēmuma infrastruktūrā atbildīgie darbinieki par to tiktu laicīgi informēti.

Līdz 2018. gada 25. maijam nav palicis daudz laika un, lai pienācīgi sagatavotos GDPR, kas skars teju visus Latvijas uzņēmumus, pirmie soļi jāsāk spert jau šobrīd. Būtiski uzsvērt, ka jaunā regula nav valsts iestāžu peļņas gūšanas mehānisms, bet gan rūpes par pienācīgu privātpersonu datu aizsardzību un drošāku digitālo vidi.