Datu noplūde no 42 Latvijas pašvaldībām - risks datu subjekta tiesībām un brīvībām
Agnese Boboviča, Arnis Puksts*15.11.2024.
Komentāri (0)
Biedrība “Latvijas sertificēto personas datu aizsardzības speciālistu asociācija” ir iepazinusies ar publiskajā telpā pieejamo informāciju par pašvaldību darbinieku un iedzīvotāju datu noplūdi no 42 Latvijas pašvaldībām saistībā ar kļūdu informācijas sistēmā, kuru uztur ZZ Dats, un izsaka savas bažas saistībā ar minētā notikuma pārvaldības atbilstību Vispārīgās datu aizsardzības regulas Nr.2016/679, turpmāk - Datu regula, prasībām un katra skartā datu subjekta tiesībām un brīvībām.
Kādēļ asociācija sniedz viedokli?
Tā kā publiskajā komunikācijā ZZ Dats pārstāvis ziņo, ka notikušais nav radījis tiešas sekas pašvaldību iedzīvotājiem, jo nav nokopēti dati, kas satur, piemēram, paroles, banku informāciju vai tml, asociācijas ieskatā noklusēti ir vairāki vērā ņemami riski, un, vērtējot no Datu regulas tvēruma, veiktā komunikācija ir nepareiza.
Pēc sākotnējās informācijas ir noplūdušas šādas iedzīvotāju personas datu kategorijas: vārds, uzvārds, personas kods, dzīvesvietas adrese, kas faktiski veido katras personas pamata personas datus, kas nodrošina pilnīgu personas identifikāciju. Turklāt bez ievērības nevar atstāt arī Datu valsts inspekcijas norādi LTV sižetā (14.11.2024 raidījumā “Panorāma”), ka neviens nezina šo ieguvēju nolūkus un to, kā šie dati var tikt izmantoti!
Datu pārkāpuma būtība un atbildība
Pēc mūsu virspusēja novērtējuma ir secināms, ka publiski paustajā informācijā par datu pārkāpumu ir pazudis būtiskākais, proti, piemēram, minētā sižeta “Panorāmā” noslēgumā pieminot jau par cilvēku pašu atbildību, aizpildot dažādas anketas un kaut kur klikšķinot, lai gan datu pārkāpums ir noticis pašvaldību izmantotam risinājumam un vairumā gadījumu datu nodošana tām notiek imperatīvā veidā, neatkarīgi no konkrētā datu subjekta gribas, proti, datu nodošana tiek veikta, pamatojoties uz normatīvo aktu prasībām.
Asociācijas ieskatā šajā gadījumā ir jāvērtē iesaistīto atbildība daudzskaitlī, jo šie dati tika uzticēti pašvaldībām, bet ZZ Dats ir tikai apstrādātājs jeb līdzeklis, un atbilstoši Datu regulas nosacījumiem tās ir atbildīgas par sadarbības partnera izvēli un standartu izvirzīšanu, lai nodrošinātu, ka personas dati tiek apstrādāti droši.
Turklāt Datu regula uzliek pārzinim vairākus pienākumus, tajā skaitā veikt auditus un revīzijas, lai pārliecinātos, ka ir izpildīti izvirzītie standarti. Kā rezultātā šeit rodas retorisks jautājums - cik lielu vērību pašvaldības kā pārziņi ir pievērsuši uzmanību sadarbības kvalitātei un vai vispār ir bijusi kāda uzraudzība par to kā pakalpojuma sniedzējs nodrošina pakalpojumu? Kas jau būtu Datu valsts inspekcijas kompetences jautājums.
Papildus asociācijas ieskatā ir jāvērš uzmanība faktam, ka ikvienā pašvaldībā ir obligāti jābūt norīkotam datu aizsardzības speciālistam saskaņā ar Datu regulas nosacījumiem. Statistika liecina, ka ikviena pašvaldība ir norīkojusi datu aizsardzības speciālistu, taču prakse liecina, ka pašvaldības mēdz “grēkot”, jo neizprot datu aizsardzības speciālista uzdevumus un funkcijas.
Saskaņā ar Datu regulas nosacījumiem datu aizsardzības speciālists ir persona, kas uzrauga pārziņa veiktās datu apstrādes atbilstību Datu regulas nosacījumiem. Tāpat Datu regulā ir noteikts, ka par datu aizsardzības speciālista pilnvērtīgu iesaisti datu apstrādes procesos ir atbildīgs pārzinis.
Atverot elektroniskās iepirkuma sistēmas datu bāzi, redzams, ka pēdējos gados reti parādās informācija par datu aizsardzības speciālista pakalpojuma iepirkumu pašvaldībās, savukārt, ja tāda informācija ir pieejama, ir secināms, ka iepirkumā uzvar “zemākā cena”, kas vidēji ir 200-300 eiro mēnesī.
Jāsaprot, ka pašvaldībā vidēji ir 80-90 iestādes ar savām specifiskajām personas datu apstrādēm, ar jaunām iniciatīvām, kas var ietvert personas datu apstrādi, kuras, iespējams, būtu jāsaskaņo ar datu aizsardzības speciālistu, lai tādejādi nodrošinātu korektu personas datu apstrādi.
Secinājumi
Ar datu pārkāpumu saistītā komunikācija, pamatojoties uz publiski pieejamo informāciju, liecina, ka Datu regulas prasības nav pareizi ievērotas - Datu regula uzliek pārziņiem pienākumu aktīvi pārvaldīt datu pārkāpumu, tajā skaitā veikt tā ietekmes adekvātu novērtēšanu uz datu subjekta tiesībām un brīvībām.
Situācijās, ja novērtējumā tiek secināts, ka ir saskatāms vērā ņemams risks datu subjekta tiesībām un brīvībām, par datu pārkāpumu ir jāziņo Datu valsts inspekcijai, savukārt, ja ir saskatāmi augsti riski datu subjekta tiesībām un brīvībām (piemēram, identitātes zādzības risks), tad pārziņa pienākums ir komunicēt arī ar datu subjektu, informējot par notikušā apstākļiem un rīcību, kura mazinātu ar datu pārkāpumu saistītos riskus.
Līdz šim brīdim, izlases kārtībā atverot atsevišķu pašvaldību mājas lapas, informācija par notikušo datu pārkāpumu vai nu nav atrodama, vai, ja veic īpašu meklēšanu, ir atrodama “paslēpta” pašvaldību mājas lapas “dziļākajos nostūros”. Šeit būtiski pieminēt faktu, ka par incidentu ir bijis zināms jau 2.novembrī, bet paziņojumi par to parādījās tikai 09.11.2024., un šis termiņš būtiski pārsniedz Datu regulā noteikto 72 stundu periodu, kad ir sagaidāma aktīva rīcība no pārziņa.
Līdz ar to rodas pamatotas šaubas, vai tādējādi tiek demonstrēta atbildīga rīcība, kad komunikācijā piedalās pakalpojuma sniedzējs, kurš, raugoties no Datu regulā noteiktajiem kritērijiem, sniedz informāciju, ar kuru nevar būt pietiekoši Datu regulā noteikto pienākumu izpildei.
Lai arī patieso seku īstenošanos varēs novērtēt tikai ar laiku, jau šobrīd ir skaidrs, ka pārziņu “balss” šajā incidentā netiek dzirdēta, mēģinot mainīt fokusu uz tikai vienas organizācijas atbildību, kas savukārt ir izvēlējusies stratēģiju likt uzsvaru uz apstākļiem, kas nav noticis, lai gan, cik var saprast, incidenta būtība ir tajā, ka kāda nepilnvarota persona ir ieguvusi minētos datus, tādēļ neviens nevar būt pārliecināts, ka, kā un vai šie dati tiks izmantoti, cenšoties radīt kaitējumu datu subjektu tiesībām, brīvībām un interesēm. Turklāt ir jāņem vērā faktu, ka ir pieejami mākslīgā intelekta rīki, kuri samērā labi sagatavo uzbrukumu scenārijus pat bez tādu datu pieejamības, bet ar datu pieejamību iespējamie uzbrukuma scenāriji var tikt sagatavoti kvalitatīvāk.
Rezumējot, lai arī šobrīd ikvienam ir vērts būt piesardzīgam un kritiski izvērtēt dažādus “lieliskus piedāvājumus” virtuālā vidē, tomēr nedrīkst nepareizi novērtēt ar datu pārkāpumu saistīto cēlonisko dažādu nelabvēlīgu scenāriju risku katram datu pārkāpumā skartajam datu subjektam (no kuriem daļa, iespējams, ir īpašu aizsardzību pelnījušas personas ar ierobežotām digitālajām prasmēm, kādi bieži vien ir vecāka gada gājuma cilvēki - šādu profilēšanu var izdarīt, piemēram, izmantojot personas kodā ietverto informāciju)!
Asociācija turpinās vērtēt datu pārkāpumā iesaistīto pušu publisko komunikāciju ar sabiedrību un, iegūstot papildu informāciju, sniegs neatkarīgu viedokli.
* Biedrības “Latvijas sertificēto personas datu aizsardzības speciālistu asociācija” vārdā - valdes locekļi