DOMNĪCA ESEJA

15. Maijs 2018 / 12:58

Valsts pārziņā esošo personas datu drošība ir valsts labas reputācijas jautājums
2 komentāri
Agris Repšs
ZAB “Sorainen” partneris, zvērināts advokāts  

Par spīti publiski paustai skepsei un tračiem, Latvija pārliecinoši virzās digitālas valsts virzienā. Atbilstoši nacionālajiem plānošanas dokumentiem ir plānots visus iespējamos valsts un pašvaldību pakalpojumus nodrošināt elektroniski, ja vien nav absolūti nepieciešama personas klātbūtne. Taču tas nestrādās, ja valsts nerūpēsies par labu e-reputāciju, proti, par uzkrāto datu drošību, un nespēs piedāvāt visiem saprotamus “digitālās spēles noteikumus”.

Valsts “e-groziņu” veido gan strauji augošie digitālie pakalpojumi (pēc VARAM apkopotās informācijas – to ir vairāk nekā 500), gan publisko iestāžu apkopotie dati. Jāņem vērā, ka valsts ir lielākais privātpersonu datu turētājs, turklāt vairāku organizāciju (iestāžu) rīcībā ir ļoti, ļoti sensitīva informācija.

Tādēļ iedzīvotājiem un arī uzņēmējiem ir jābūt absolūti pārliecinātiem par datu atrašanos drošībā. Proti, to apstrādes sistēmu un procesu drošībai ir jābūt augstākai valsts prioritātei digitālās pārvaldes jomā, tāpat kā pašsaprotamai jābūt starptautisko normu, tostarp jaunās Vispārīgās datu aizsardzības regulas, ievērošanai.

Jāsaka, Latvijā nav bijis pārāk daudz kritisku datu noplūžu no valsts uzturētām sistēmām. Vismaz mēs par tām neko nezinām. Līdz šim nopietnākais skandāls bija 2010. gadā, kad datorspeciālists Ilmārs Poikāns jeb Neo atklāja drošības “caurumu” Valsts ieņēmumu dienesta uzturētajā EDS.

Taču EDS ir tikai viena no valsts pārziņā esošajām sistēmām, kas uzkrāj apjomīgus datu masīvus par Latvijas iedzīvotājiem. Līdzīga ir arī jaunā e-veselība, elektronisko pakalpojumu portāls latvija.lv, Rīgas domes ieviestā “Rīdzinieka karte”, Valsts sociālās apdrošināšanas aģentūras datubāze u.c.

Jaunās Vispārīgās datu aizsardzības regulas (GDPR) izpratnē, kas stāsies spēkā jau 25. maijā, valsts un pašvaldību iestādes būtībā neatšķiras no privātajiem uzņēmumiem. Proti, publiskajās iestādēs tieši tāpat kā biznesā datu savākšanas, apstrādes un aizsardzības politikai, kā arī jebkurai datu apmaiņai starp valsts un pašvaldību struktūrām ir pilnībā jāatbilst GDPR prasībām. Izņēmums nav arī minētās apjomīgās valsts un pašvaldību uzturētās sistēmas. Jāsaka, uzklausot mediju telpā izskanējušo informāciju, nav pārliecības, ka visas publiskās iestādes pilnībā to izprot.

Teorētiski iedomāsimies, kas notiktu, ja līdzīga datu noplūde kā Neo un EDS gadījumā notiktu pēc šā gada 25. maija. Principā ir skaidrs, ka tas ir personas datu aizsardzības pārkāpums, jo precīzai cilvēka identifikācijai šajā datubāzē tiek izmantots gan personas kods, gan adrese. Tāpat uzkrājas informācija par finanšu situāciju un, iespējams, ģimenes stāvokli (atvieglojumu saņemšanai). Atbilstoši GDPR prasībām datu pārzinim ne vēlāk kā 72 stundu laikā no brīža, kad par negadījumu kļuvis zināms, par to ir jāpaziņo Datu valsts inspekcijai un personām, kuru dati tika apdraudēti. Tas nav jādara vien tad, ja pārzinis – šajā gadījumā VID – spēj pierādīt, ka notikums, visticamāk, nerada risku privātpersonu tiesībām un brīvībām. Vienkāršāk sakot, pārzinim ātri un operatīvi ir jāsniedz informācija par to, ka ir notikusi datu noplūde. Nevienai publiskai institūcijai nav iespējams izlikties, ka nekas nav noticis. Tas ir būtisks solis uz priekšu, salīdzinot ar 2010. gada notikumiem.

Taču tālāk viss nav tik gludi, jo, visticamāk, mēs ar zināmu pārsteigumu secinātu, ka šādā negadījumā neviena publiskā institūcija nav vainīga. Vienkārši nav. Tā ir mūsu valsts šā brīža izvēle. Atbilstoši GDPR administratīvās atbildības piemērošana publiskām iestādēm ir atstāta katras ES dalībvalsts kompetencē. Atbilstoši patlaban izstrādātajiem normatīvajiem aktiem Latvija ir nolēmusi to nepiemērot. Vienlaikus Personas datu apstrādes likuma projekta 49. pants paredz valsts amatpersonu vai valsts institūcijas darbinieku administratīvo atbildību, precīzāk, naudas sodu līdz 200 naudas soda vienībām. Bet pašām valsts iestādēm sodu nav atšķirībā no privātiem uzņēmumiem, kuriem līdzīgos gadījumos var tikt piemēroti milzīgi sodi (līdz 10–20 miljoniem eiro vai 2–4% apmērā no uzņēmuma gada apgrozījuma visā pasaulē).

Manuprāt, tā tomēr ir iluzoras drošības veidošana attiecībā pret pašām publiskajām iestādēm. Datu noplūdes gadījumā gan privātpersonām, gan arī juridiskajām personām ir iespēja civiltiesiskā kārtā pieprasīt kompensācijas arī no valsts institūcijām. Visticamāk, tās tāpat tiktu segtas no pašas iestādes vai arī kopējā valsts budžeta, tādēļ administratīvās atbildības nepiemērošana neglābj no papildu finanšu zaudējumiem.

Tiesa, cietusī valsts iestāde var vērsties ar prasību pret elektroniskās sistēmas izstrādātāju, ja tas ir vainojams datu noplūdē, vai arī regresa kārtībā censties piedzīt zaudējumus no darbinieka, kurš pieļāva pārkāpumu.

No valsts reputācijas viedokļa būtu daudz vērtīgāk, ja mēs nekautrētos pateikt: jā, publiskās iestādes par iespējamām datu noplūdēm var tikt sodītas administratīvā kārtā. Bet mēs [valsts] esam pārliecināti, ka tiek darīts viss iespējamais, lai šādu noplūžu iespējamība tiktu samazināta līdz absolūtam minimumam.

komentāri (2)
2 KOMENTĀRI
TAVA ATBILDE :
VĀRDS
3000
IENĀKT:
KOMENTĒŠANAS NOTEIKUMI
Homērs
15. Maijs 2018 / 17:49
1
ATBILDĒT
Vai pareizi saprotu, ka autors ierosina valsts budžeta līdzekļus pārmest no viena Valsts kases konta uz citu Valsts kases kontu?
Sātans sīkumos
15. Maijs 2018 / 13:36
0
ATBILDĒT
Regula ir spēkā no 2016.gada, vien piemērojamības laiks tuvojas ar joni.
jaunākās esejas
Normunds Šlitke, Elīna Dupate
Eseja
Reālservitūts dalītajos īpašumos ne abu īpašnieku, ne arī citu personu problēmas nerisina
Šķietami pildot Satversmes tiesas spriedumu lietā Nr. 2022-02-01 un izmantojot to kā ieganstu neattaisnojamai steigai, ar to radot kārtējo likumdošanas brāķi, Saeima 2024. gada 13. jūnijā pieņēma sasteigtos un nepārdomātos ...
Jūlija Terjuhana
Eseja
ES Mākslīgā intelekta akts ir publicēts ES Oficiālajā laikrakstā: svarīgākie datumi
2024. gada 12. jūlijā Eiropas Savienības Oficiālajā Vēstnesī tika publicēts ilgi gaidītais ES Mākslīgā intelekta akta oficiālais teksts jeb ES Regula 2024/1689[1] (turpmāk - MI akts). MI akts ir pirmais šāda veida normatīvais ...
Elīna Dupate, Normunds Šlitke
Eseja
Bezgalīgā maldīšanās dalīto īpašumu trijstūrī
2009. gada 15. aprīlī Latvijas Republikas Satversmes tiesa pirmo reizi vērtēja atlīdzības apmēru zemes īpašniekiem tā sauktajos dalītajos īpašumos. 2011. gadā 3. martā Tieslietu ministrijas organizētajā diskusijā “Zeme un ...
3 komentāri
Daneks Hmeļņickis
Eseja
Pārdomas par atjaunojošā taisnīguma ideju administratīvā pārkāpuma procesos
3 komentāri
Andris Tauriņš
Eseja
Vadītāja reputācija “tvitertiesas” un “atcelšanas kultūras” laikmetā
Uzņēmums nav tikai logo, sauklis un tā pārdotie pakalpojumi un produkti. Uzņēmums ir arī cilvēki un šo cilvēku radītais uzņēmuma tēls, kā arī paša vadītāja tēls jeb reputācija. Tā ir daļa no nemateriāla, bet ļoti vērtīga ...
1 komentāri
AUTORU KATALOGS