Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija

  • Home
  • Latvia
  • Riga
  • Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija

Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija Sveicināti personas datu aizsardzības pasaulē! Mēs esam Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija, kas kopš 2011.

gada apvieno personas datu aizsardzības speciālistus, kas nokārtoja sertifikācijas eksāmenu Datu valsts inspekcijā vai starptautiskā organizācijā. Pieseko mūsu lapai, lai turpmāk uzzinātu aktualitātes personas datu aizsardzības jomā. Droši iesūti savus jautājumus, tomēr šajā gadījumā mēs paturam tiesības atbildēt uz jautājumiem izlases kārtā pēc to aktualitātes sabiedrībai kopumā, kā arī publiskot

jautājumu un atbildi bez jautātajā personas datiem. Savus skaidrojumus sniegsim iespējami objektīvākajā veidā. Tomēr mūsu rīcībā var nebūt pilns faktu izklāsts un tādēļ informācija ir tikai mūsu vispārējs viedoklis un tas neatspoguļo mūsu darba devēju viedokli, kā arī nav oficiāli saistošs.

26/02/2025

👩‍💻Arvien vairāk uzņēmumu un iestāžu apstrādā personas datus, un tas rada nepieciešamību ne tikai nodrošināt atbilstību Datu regulas prasībām, bet arī identificēt un pārvaldīt iespējamos riskus, kas varētu ietekmēt fizisko personu tiesības un brīvības.

📝Lai palīdzētu organizācijām šajā procesā, esam izstrādājuši vadlīnijas “Novērtējums par ietekmi uz datu aizsardzību” jeb NIDA.

👩‍💼Šīs vadlīnijas piedāvā praktisku un skaidru pieeju risku identificēšanai un pārvaldībai, palīdzot saprast, kad un kā veikt NIDA un kādus pasākumus īstenot, lai mazinātu iespējamos apdraudējumus.

Vadlīnijas un citu informāciju meklējiet-https://www.dvi.gov.lv/lv/novertejums-par-ietekmi-uz-datu-aizsardzibu-nida

Finance Latvia | Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija

14/11/2024

Biedrība “Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija”, [email protected]

Preses relīze 2024.gada 14.novembrī

Viedoklis: Datu noplūde no 42 Latvijas pašvaldībām – risks datu subjekta tiesībām un brīvībām.

Biedrība “Latvijas sertificēto personas datu aizsardzības speciālistu asociācija”, turpmāk - Asociācija ir iepazinusies ar publiskajā telpā pieejamo informāciju par pašvaldību darbinieku un iedzīvotāju datu noplūdi no 42 Latvijas pašvaldībām, turpmāk, datu pārkāpums, saistībā ar kļūdu informācijas sistēmā, kuru uztur ZZ Dats, un izsaka savas bažas saistībā ar minētā notikuma pārvaldības atbilstību Vispārīgās datu aizsardzības regulas Nr.2016/679, turpmāk - Datu regula, prasībām un katra skartā datu subjekta tiesībām un brīvībām.

Kādēļ Asociācija sniedz viedokli?

Tā kā publiskajā komunikācijā ZZ Dats pārstāvis ziņo, ka notikušais nav radījis tiešas sekas pašvaldību iedzīvotājiem, jo nav nokopēti dati, kas satur, piemēram, paroles, banku informāciju vai tml, Asociācijas ieskatā noklusēti ir vairāki vērā ņemami riski un, vērtējot no Datu regulas tvēruma, veiktā komunikācija ir nepareiza. Lai gan pēc sākotnējās informācijas ir noplūdušas šādas iedzīvotāju personas datu kategorijas: vārds, uzvārds, personas kods, dzīvesvietas adrese, kas faktiski veido katras personas pamata personas datus, kas nodrošina pilnīgu personas identifikāciju. Turklāt, bez ievērības nevar atstāt arī Datu valsts inspekcijas norādi LTV sižetā (14.11.2024 raidījumā “Panorāma”), ka neviens nezin šo ieguvēju nolūkus un to kā šie dati var tikt izmantoti!

Datu pārkāpuma būtība un atbildība

Pēc mūsu virspusēja novērtējuma ir secināms, ka publiski paustajā informācija par datu pārkāpumu ir pazudis būtiskākais, proti, piemēram, minētā sižeta “Panorāmā” noslēgumā pieminot jau par cilvēku pašu atbildību aizpildot dažādas anketas un kaut kur klikšķinot, lai gan datu pārkāpums ir noticis pašvaldību izmantotam risinājumam un vairumā gadījumu datu nodošana tām notiek imperatīvā veidā, neatkarīgi no konkrētā datu subjekta gribas, proti, datu nodošana tiek veikta pamatojoties uz normatīvo aktu prasībām.

Asociācijas ieskatā šajā gadījumā ir jāvērtē iesaistīto atbildība daudzskaitlī, jo šie dati tika uzticēti pašvaldībām, bet ZZ Dats ir tikai apstrādātājs jeb līdzeklis, un, atbilstoši Datu regulas nosacījumiem, tās ir atbildīgas par sadarbības partnera izvēli un standartu izvirzīšanu, lai nodrošinātu, ka personas dati tiek apstrādāti droši,. Bez tam, Datu regula uzliek pārzinim vairākus pienākumus, tajā skaitā veikt auditus un revīzijas, lai pārliecinātos, ka ir izpildīti izvirzītie standarti. Kā rezultātā šeit rodas retorisks jautājums - cik lielu vērību pašvaldības kā pārziņi ir pievērsuši uzmanību sadarbības kvalitātei un vai vispār ir bijusi kāda uzraudzība par to kā pakalpojuma sniedzējs nodrošina pakalpojumu? Kas jau būtu Datu valsts inspekcijas kompetences jautājums.

Papildus, Asociācijas ieskatā, ir jāvērš uzmanība faktam, ka ikvienā pašvaldībā ir obligāti jābūt norīkotam datu aizsardzības speciālistam, saskaņā ar Datu regulas nosacījumiem. Statistika liecina, ka ikviena pašvaldība ir norīkojusi datu aizsardzības speciālistu, taču prakse liecina, ka pašvaldības mēdz “ grēkot”, jo neizprot datu aizsardzības speciālista uzdevumus un funkcijas. Saskaņā ar Datu regulas nosacījumiem, Datu aizsardzības speciālists ir persona, kas uzrauga pārziņa veiktās datu apstrādes atbilstību Datu regulas nosacījumiem. Tāpat, Datu regulā ir noteikts, ka par datu aizsardzības speciālista pilnvērtīgu iesaisti datu apstrādes procesos ir atbildīgs pārzinis. Atverot elektroniskās iepirkuma sistēmas datu bāzi redzams, ka pēdējos gados, reti parādās informācija par datu aizsardzības speciālista pakalpojuma iepirkumu pašvaldībās, savukārt, ja tāda informācija ir pieejama, ir secināms, ka iepirkumā uzvar “zemākā cena”, kas vidēji ir 200-300 eiro mēnesī. Jāsaprot, ka pašvaldībā vidēji ir 80-90 iestādes ar savām specifiskajām personas datu apstrādēm, ar jaunām iniciatīvām, kas var ietvert personas datu apstrādi, kuras, iespējams būtu jāsaskaņo ar datu aizsardzības speciālistu, lai tādejādi nodrošinātu korektu personas datu apstrādi.

Secinājumi

Ar datu pārkāpumu saistītā komunikācija, pamatojoties uz publiski pieejamo informāciju liecina, ka Datu regulas prasības nav pareizi ievērotas - Datu regula uzliek pārziņiem pienākumu aktīvi pārvaldīt datu pārkāpumu, tajā skaitā, veikt tā ietekmes adekvātu novērtēšanu uz datu subjekta tiesībām un brīvībām. Situācijās, ja novērtējumā tiek secināts, ka ir saskatāms vērā ņemams risks datu subjekta tiesībām un brīvībām, par datu pārkāpumu ir jāziņo Datu valsts inspekcijai, savukārt, ja ir saskatāmi augsti riski datu subjekta tiesībām un brīvībām (piemēram, identitātes zādzības risks), tad pārziņa pienākums ir komunicēt arī ar datu subjektu, informējot par notikušā apstākļiem un rīcību, kura mazinātu ar datu pārkāpumu saistītos riskus. Līdz šim brīdim, izlases kārtībā atverot atsevišķu pašvaldību mājas lapas, informācija par notikušo datu pārkāpumu vai nu nav atrodama vai, ja veic īpašu meklēšanu- ir atrodama “paslēpta” pašvaldību mājas lapas “dziļākajos nostūros”. Šeit būtiski pieminēt faktu, ka par incidentu ir bijis zināms jau 02.novembrī, bet paziņojumi par to parādījās tikai 09.11.2024., kur šis termiņš būtiski pārsniedz Datu regulā noteikto 72 h periodu, kad ir sagaidāma aktīva rīcība no pārziņa.
Līdz ar to rodas pamatotas šaubas, vai tādejādi tiek demonstrēta atbildīga rīcība, kad komunikācijā piedalās pakalpojuma sniedzējs, kurš, raugoties no Datu regulā noteiktajiem kritērijiem, sniedz informāciju, ar kuru nevar būt pietiekoši Datu regulā noteikto pienākumu izpildei. Lai arī patieso seku īstenošanos varēs novērtēt tikai ar laiku, jau šobrīd ir skaidrs, ka pārziņu “balss” šajā incidentā netiek dzirdēta, mēģinot mainīt fokusu uz tikai vienas organizācijas atbildību, kas, savukārt ir izvēlējusies stratēģiju likt uzsvaru uz apstākļiem, kas nav noticis, lai gan, cik var saprast, incidenta būtība ir par to, ka kāda nepilnvarota persona ir ieguvusi minētos datus, tādēļ neviens nevar būt pārliecināts, ka, kā un vai šie dati tiks izmantoti cenšoties radīt kaitējumu datu subjektu tiesībām, brīvībām un interesēm. Turklāt, ir jāņem vērā faktu, ka ir pieejami mākslīgā intelekta rīki, kuri samērā labi sagatavo uzbrukumu scenārijus, pat bez tādu datu pieejamības, bet ar datu pieejamību iespējamie uzbrukuma scenāriji var tikt sagatavoti kvalitatīvāk.
Rezumējot, lai arī šobrīd ikvienam ir vērts būt piesardzīgam un kritiski izvērtēt dažādus “lieliskus piedāvājumus” virtuālā vidē, tomēr nedrīkst nepareizi novērtēt ar datu pārkāpumu saistīto cēlonisko dažādu nelabvēlīgu scenāriju risku katram datu pārkāpumā skartajam datu subjektam (no kuriem, daļa, iespējams, ir īpašu aizsardzību pelnījušas personas ar ierobežotām digitālajām prasmēm, kādi bieži vien ir vecāka gada gājuma cilvēki – šādu profilēšanu var izdarīt, piemēram, izmantojot personas kodā ietverto informāciju)!
Asociācija, turpinās vērtēt datu pārkāpumā iesaistīto pušu publisko komunikāciju ar sabiedrību un iegūstot papildus informāciju, sniegs neatkarīgu viedokli.

Address

Riga

Alerts

Be the first to know and let us send you an email when Latvijas Sertificēto personas datu aizsardzības speciālistu asociācija posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Share