Foto: Pixabay/ iAmMrRob

No 42 Latvijas pašvaldībām noplūduši pašvaldību darbinieku un iedzīvotāju dati, liecina publiskajā telpā pieejamā informācija, uz ko reaģējusi arī biedrība “Latvijas sertificēto personas datu aizsardzības speciālistu asociācija” (turpmāk – asociācija).

“Latvijas sertificēto personas datu aizsardzības speciālistu asociācija” informē, ka ir iepazinusies ar publiskajā telpā pieejamo informāciju par pašvaldību darbinieku un iedzīvotāju datu noplūdi no 42 Latvijas pašvaldībām,  saistībā ar kļūdu informācijas sistēmā, kuru uztur “ZZ Dats”, un izsaka savas bažas saistībā ar minētā notikuma pārvaldības atbilstību Vispārīgās datu aizsardzības regulas (turpmāk – Datu regula), prasībām un katra skartā datu subjekta tiesībām un brīvībām.

Tā kā publiskajā komunikācijā “ZZ Dats” pārstāvis ziņo, ka notikušais nav radījis tiešas sekas pašvaldību iedzīvotājiem, jo nav nokopēti dati, kas satur, piemēram, paroles, banku informāciju vai tamlīdzīgi, asociācijas ieskatā noklusēti ir vairāki vērā ņemami riski un, vērtējot no Datu regulas tvēruma, veiktā komunikācija ir nepareiza.

Pēc sākotnējās informācijas ir noplūdušas šādas iedzīvotāju personas datu kategorijas: vārds, uzvārds, personas kods, dzīvesvietas adrese, kas faktiski veido katras personas pamata personas datus, kas nodrošina pilnīgu personas identifikāciju. Turklāt, bez ievērības nevar atstāt arī Datu valsts inspekcijas norādi LTV raidījumā “Panorāma”, ka neviens nezina šo ieguvēju nolūkus un to kā šie dati var tikt izmantoti, uzskata asociācija.

“Pēc mūsu virspusēja novērtējuma ir secināms, ka publiski paustajā informācija par datu pārkāpumu ir pazudis būtiskākais. Proti, piemēram, minētā sižeta “Panorāmā” noslēgumā pieminot cilvēku pašu atbildību aizpildot dažādas anketas un kaut kur klikšķinot, lai gan datu pārkāpums ir noticis pašvaldību izmantotam risinājumam un vairumā gadījumu datu nodošana tām notiek imperatīvā veidā, neatkarīgi no konkrētā datu subjekta gribas, proti, datu nodošana tiek veikta pamatojoties uz normatīvo aktu prasībām,” norāda asociācija.

Tās ieskatā “šajā gadījumā ir jāvērtē iesaistīto atbildība daudzskaitlī, jo šie dati tika uzticēti pašvaldībām, bet “ZZ Dats” ir tikai apstrādātājs jeb līdzeklis, un, atbilstoši Datu regulas nosacījumiem, tās ir atbildīgas par sadarbības partnera izvēli un standartu izvirzīšanu, lai nodrošinātu, ka personas dati tiek apstrādāti droši,. Bez tam, Datu regula uzliek pārzinim vairākus pienākumus, tajā skaitā veikt auditus un revīzijas, lai pārliecinātos, ka ir izpildīti izvirzītie standarti. Kā rezultātā šeit rodas retorisks jautājums – cik lielu vērību pašvaldības kā pārziņi ir pievērsuši sadarbības kvalitātei un vai vispār ir bijusi kāda uzraudzība par to, kā pakalpojuma sniedzējs nodrošina pakalpojumu? Kas jau būtu Datu valsts inspekcijas kompetences jautājums.”

Papildus, asociācijas ieskatā, “ir jāvērš uzmanība faktam, ka ikvienā pašvaldībā ir obligāti jābūt norīkotam datu aizsardzības speciālistam, saskaņā ar Datu regulas nosacījumiem. Statistika liecina, ka ikviena pašvaldība ir norīkojusi datu aizsardzības speciālistu, taču prakse liecina, ka pašvaldības mēdz “grēkot”, jo neizprot datu aizsardzības speciālista uzdevumus un funkcijas. Saskaņā ar Datu regulas nosacījumiem, Datu aizsardzības speciālists ir persona, kas uzrauga pārziņa veiktās datu apstrādes atbilstību Datu regulas nosacījumiem. Tāpat Datu regulā ir noteikts, ka par datu aizsardzības speciālista pilnvērtīgu iesaisti datu apstrādes procesos ir atbildīgs pārzinis. Atverot elektroniskās iepirkuma sistēmas datu bāzi redzams, ka pēdējos gados, reti parādās informācija par datu aizsardzības speciālista pakalpojuma iepirkumu pašvaldībās, savukārt, ja tāda informācija ir pieejama, ir secināms, ka iepirkumā uzvar “zemākā cena”, kas vidēji ir 200-300 eiro mēnesī. Jāsaprot, ka pašvaldībā vidēji ir 80-90 iestādes ar savām specifiskajām personas datu apstrādēm, ar jaunām iniciatīvām, kas var ietvert personas datu apstrādi, kuras, iespējams būtu jāsaskaņo ar datu aizsardzības speciālistu, lai tādejādi nodrošinātu korektu personas datu apstrādi.”

“Ar datu pārkāpumu saistītā komunikācija, pamatojoties uz publiski pieejamo informāciju liecina, ka Datu regulas prasības nav pareizi ievērotas – Datu regula uzliek pārziņiem pienākumu aktīvi pārvaldīt datu pārkāpumu, tajā skaitā, veikt tā ietekmes adekvātu novērtēšanu uz datu subjekta tiesībām un brīvībām. Situācijās, ja novērtējumā tiek secināts, ka ir saskatāms vērā ņemams risks datu subjekta tiesībām un brīvībām, par datu pārkāpumu ir jāziņo Datu valsts inspekcijai, savukārt, ja ir saskatāmi augsti riski datu subjekta tiesībām un brīvībām (piemēram, identitātes zādzības risks), tad pārziņa pienākums ir komunicēt arī ar datu subjektu, informējot par notikušā apstākļiem un rīcību, kura mazinātu ar datu pārkāpumu saistītos riskus. Līdz šim brīdim, izlases kārtībā atverot atsevišķu pašvaldību mājas lapas, informācija par notikušo datu pārkāpumu vai nu nav atrodama vai, ja veic īpašu meklēšanu, ir atrodama “paslēpta” pašvaldību mājas lapas “dziļākajos nostūros”. Šeit būtiski pieminēt faktu, ka par incidentu ir bijis zināms jau 2.novembrī, bet paziņojumi par to parādījās tikai 9.novembrī, kur šis termiņš būtiski pārsniedz Datu regulā noteikto 72h periodu, kad ir sagaidāma aktīva rīcība no pārziņa,” secina asociācija.

“Līdz ar to rodas pamatotas šaubas, vai tādejādi tiek demonstrēta atbildīga rīcība, kad komunikācijā piedalās pakalpojuma sniedzējs, kurš, raugoties no Datu regulā noteiktajiem kritērijiem, sniedz informāciju, ar kuru nevar būt pietiekoši Datu regulā noteikto pienākumu izpildei. Lai arī patieso seku īstenošanos varēs novērtēt tikai ar laiku, jau šobrīd ir skaidrs, ka pārziņu “balss” šajā incidentā netiek dzirdēta, mēģinot mainīt fokusu uz tikai vienas organizācijas atbildību, kas, savukārt ir izvēlējusies stratēģiju likt uzsvaru uz apstākļiem, kas nav noticis, lai gan, cik var saprast, incidenta būtība ir par to, ka kāda nepilnvarota persona ir ieguvusi minētos datus, tādēļ neviens nevar būt pārliecināts, ka, kā un vai šie dati tiks izmantoti cenšoties radīt kaitējumu datu subjektu tiesībām, brīvībām un interesēm. Turklāt, ir jāņem vērā fakts, ka ir pieejami mākslīgā intelekta rīki, kuri samērā labi sagatavo uzbrukumu scenārijus, pat bez tādu datu pieejamības, bet ar datu pieejamību iespējamie uzbrukuma scenāriji var tikt sagatavoti kvalitatīvāk,” brīdina asociācija.

“Rezumējot, lai arī šobrīd ikvienam ir vērts būt piesardzīgam un kritiski izvērtēt dažādus “lieliskus piedāvājumus” virtuālā vidē, tomēr nedrīkst nepareizi novērtēt ar datu pārkāpumu saistīto cēlonisko dažādu nelabvēlīgu scenāriju risku katram datu pārkāpumā skartajam datu subjektam (no kuriem, daļa, iespējams, ir īpašu aizsardzību pelnījušas personas ar ierobežotām digitālajām prasmēm, kādi bieži vien ir vecāka gada gājuma cilvēki – šādu profilēšanu var izdarīt, piemēram, izmantojot personas kodā ietverto informāciju)!”  norāda asociācija,  uzsverot, ka turpinās vērtēt datu pārkāpumā iesaistīto pušu publisko komunikāciju ar sabiedrību un, iegūstot papildus informāciju, sniegs neatkarīgu viedokli.

Lasiet arī:  Latvijas prognozētās izmaksas Rail Baltica projektā pieaugušas par 7,62 miljardiem eiro

Lasiet arī:  Pieskārieni vai tiekšanās uz līdzvērtību – astrologi atklāj katras zodiaka zīmes mīlestības valodu