Valsts pārziņā esošo personas datu drošība ir valsts labas reputācijas jautājums • IR.lv

Valsts pārziņā esošo personas datu drošība ir valsts labas reputācijas jautājums

Raksta autors Agris Repšs. Publicitātes foto
Agris Repšs

Par spīti publiski paustai skepsei un tračiem Latvija pārliecinoši virzās digitālas valsts virzienā. Atbilstoši nacionālajiem plānošanas dokumentiem ir plānots visus iespējamos valsts un pašvaldību pakalpojumus nodrošināt elektroniski, ja vien nav absolūti nepieciešama personas klātbūtne. Taču tas nestrādās, ja valsts nerūpēsies par labu e-reputāciju, proti, par uzkrāto datu drošību un nespēs piedāvāt visiem saprotamus “digitālās spēles noteikumus”.

Valsts “e-groziņu” veido gan strauji augošie digitālie pakalpojumi (pēc VARAM apkopotās informācijas, to ir vairāk nekā 500), gan publisko iestāžu apkopotie dati. Jāņem vērā, ka valsts ir lielākais privātpersonu datu turētājs, turklāt vairāku organizāciju (iestāžu) rīcībā ir ļoti, ļoti sensitīva informācija.

Tādēļ iedzīvotājiem un arī uzņēmējiem ir jābūt absolūti pārliecinātiem par datu atrašanos drošībā. Proti, to apstrādes sistēmu un procesu drošībai ir jābūt augstākai valsts prioritātei digitālās pārvaldes jomā, tāpat kā pašsaprotamai jābūt starptautisko normu, tai skaitā jaunās Vispārīgās datu aizsardzības regulas (GDPR) ievērošanai.

Jāsaka, Latvijā nav bijis pārāk daudz kritisku datu noplūžu no valsts uzturētām sistēmām. Vismaz mēs par tām neko nezinām. Līdz šim nopietnākais skandāls bija 2010. gadā, kad datorspeciālists Ilmārs Poikāns jeb Neo atklāja drošības “caurumu” Valsts ieņēmumu dienesta uzturētajā EDS.

Taču EDS ir tikai viena no valsts pārziņā esošajām sistēmām, kas uzkrāj apjomīgus datu masīvus par Latvijas iedzīvotājiem. Līdzīga ir arī jaunā e-veselība, elektronisko pakalpojumu portāls latvija.lv, Rīgas domes ieviestā “Rīdzinieka karte”, Valsts sociālās apdrošināšanas aģentūras datu bāze u.c.

Jaunās Vispārīgās datu aizsardzības regulas (GDPR) izpratnē, kas stājas spēkā jau 25. maijā, valsts un pašvaldību iestādes būtībā neatšķiras no privātajiem uzņēmumiem. Proti, publiskajās iestādēs tieši tāpat kā biznesā datu savākšanas, apstrādes un aizsardzības politikai, kā arī jebkurai datu apmaiņai starp valsts un pašvaldību struktūrām ir pilnībā jāatbilst GDPR prasībām. Izņēmums nav arī augstāk minētās apjomīgās valsts un pašvaldību uzturētās sistēmas. Jāsaka, uzklausot mediju telpā izskanējušo informāciju, nav pārliecības, ka visas publiskās iestādes pilnībā to izprot.

Teorētiski iedomāsimies, kas notiktu, ja līdzīga datu noplūde kā Neo un EDS gadījumā notiktu pēc šā gada 25. maija. Principā ir skaidrs, ka tas ir personas datu aizsardzības pārkāpums, jo precīzai cilvēka identifikācijai šajā datu bāzē tiek izmantots gan personas kods, gan adrese. Tāpat uzkrājas informācija par finanšu situāciju un, iespējams, ģimenes stāvokli (atvieglojumu saņemšanai). Atbilstoši GDPR prasībām, datu pārzinim ne vēlāk kā 72 stundu laikā no brīža, kad par negadījumu kļuvis zināms, par to ir jāpaziņo Datu valsts inspekcijai un personām, kuru dati tika apdraudēti. Tas nav jādara tikai tad, ja pārzinis – šajā gadījumā VID – spēj pierādīt, ka notikums, visticamāk, nerada risku privātpersonu tiesībām un brīvībām.

Vienkāršāk sakot, pārzinim ātri un operatīvi ir jāsniedz informācija par to, ka ir notikusi datu noplūde. Nevienai publiskai institūcijai nav iespējams izlikties, ka nekas nav noticis. Tas ir būtisks solis uz priekšu, salīdzinot ar 2010. gada notikumiem.

Taču tālāk viss nav tik gludi, jo, visticamāk, mēs ar zināmu pārsteigumu secinātu, ka šādā negadījumā neviena publiskā institūcija nav vainīga. Vienkārši nav. Tā ir mūsu valsts šā brīža izvēle. Atbilstoši GDPR, administratīvās atbildības piemērošana publiskām iestādēm ir atstāta katras ES dalībvalsts kompetencē. Atbilstoši patlaban izstrādātajiem normatīvajiem aktiem, Latvija ir nolēmusi to nepiemērot. Vienlaikus Personas datu apstrādes likuma projekts 49. pants paredz valsts amatpersonu vai valsts institūcijas darbinieku administratīvo atbildību, precīzāk, naudas sodu līdz 200 naudas soda vienībām. Bet pašām valsts iestādēm sodu nav, atšķirībā no privātiem uzņēmumiem, kuriem līdzīgos gadījumos var tikt piemēroti milzīgi sodi (līdz 10-20 miljoniem eiro vai 2-4% apmērā no uzņēmuma gada apgrozījuma visā pasaulē).

Manuprāt, tā tomēr ir iluzoras drošības veidošana pret pašām publiskajām iestādēm. Datu noplūdes gadījumā gan privātpersonām, gan arī juridiskām personām ir iespēja civiltiesiskā kārtā pieprasīt kompensācijas arī no valsts institūcijām.

Visticamāk, tās tāpat tiktu segtas no pašas iestādes vai arī kopējā valsts budžeta, tādēļ administratīvās atbildības nepiemērošana neglābj no papildu finanšu zaudējumiem.

Tiesa, cietusī valsts iestāde var vērsties ar prasību pret elektroniskās sistēmas izstrādātāju, ja tas ir vainojams datu noplūdē, vai arī regresa kārtībā censties piedzīt zaudējumus no darbinieka, kurš pieļāva pārkāpumu.

No valsts reputācijas viedokļa būtu daudz vērtīgāk, ja mēs nekautrētos pateikt: jā, publiskās iestādes par iespējamām datu noplūdēm var tikt sodītas administratīvā kārtā. Bet mēs [valsts] esam pārliecināti, ka tiek darīts viss iespējamais, lai šādu noplūžu iespējamība tiktu samazināta līdz absolūtam minimumam.

 

Autors ir zvērinātu advokātu biroja “Sorainen” partneris, zvērināts advokāts

Pagaidām nav neviena komentāra

Saņem svarīgākās ziņas katru darba dienas rītu