15. Maijs 2018 12:58
Domnīca / eseja
Valsts pārziņā esošo personas datu drošība ir valsts labas reputācijas jautājums
2
Agris Repšs
ZAB “Sorainen” partneris, zvērināts advokāts  

Par spīti publiski paustai skepsei un tračiem, Latvija pārliecinoši virzās digitālas valsts virzienā. Atbilstoši nacionālajiem plānošanas dokumentiem ir plānots visus iespējamos valsts un pašvaldību pakalpojumus nodrošināt elektroniski, ja vien nav absolūti nepieciešama personas klātbūtne. Taču tas nestrādās, ja valsts nerūpēsies par labu e-reputāciju, proti, par uzkrāto datu drošību, un nespēs piedāvāt visiem saprotamus “digitālās spēles noteikumus”.

Valsts “e-groziņu” veido gan strauji augošie digitālie pakalpojumi (pēc VARAM apkopotās informācijas – to ir vairāk nekā 500), gan publisko iestāžu apkopotie dati. Jāņem vērā, ka valsts ir lielākais privātpersonu datu turētājs, turklāt vairāku organizāciju (iestāžu) rīcībā ir ļoti, ļoti sensitīva informācija.

Tādēļ iedzīvotājiem un arī uzņēmējiem ir jābūt absolūti pārliecinātiem par datu atrašanos drošībā. Proti, to apstrādes sistēmu un procesu drošībai ir jābūt augstākai valsts prioritātei digitālās pārvaldes jomā, tāpat kā pašsaprotamai jābūt starptautisko normu, tostarp jaunās Vispārīgās datu aizsardzības regulas, ievērošanai.

Jāsaka, Latvijā nav bijis pārāk daudz kritisku datu noplūžu no valsts uzturētām sistēmām. Vismaz mēs par tām neko nezinām. Līdz šim nopietnākais skandāls bija 2010. gadā, kad datorspeciālists Ilmārs Poikāns jeb Neo atklāja drošības “caurumu” Valsts ieņēmumu dienesta uzturētajā EDS.

Taču EDS ir tikai viena no valsts pārziņā esošajām sistēmām, kas uzkrāj apjomīgus datu masīvus par Latvijas iedzīvotājiem. Līdzīga ir arī jaunā e-veselība, elektronisko pakalpojumu portāls latvija.lv, Rīgas domes ieviestā “Rīdzinieka karte”, Valsts sociālās apdrošināšanas aģentūras datubāze u.c.

Jaunās Vispārīgās datu aizsardzības regulas (GDPR) izpratnē, kas stāsies spēkā jau 25. maijā, valsts un pašvaldību iestādes būtībā neatšķiras no privātajiem uzņēmumiem. Proti, publiskajās iestādēs tieši tāpat kā biznesā datu savākšanas, apstrādes un aizsardzības politikai, kā arī jebkurai datu apmaiņai starp valsts un pašvaldību struktūrām ir pilnībā jāatbilst GDPR prasībām. Izņēmums nav arī minētās apjomīgās valsts un pašvaldību uzturētās sistēmas. Jāsaka, uzklausot mediju telpā izskanējušo informāciju, nav pārliecības, ka visas publiskās iestādes pilnībā to izprot.

Teorētiski iedomāsimies, kas notiktu, ja līdzīga datu noplūde kā Neo un EDS gadījumā notiktu pēc šā gada 25. maija. Principā ir skaidrs, ka tas ir personas datu aizsardzības pārkāpums, jo precīzai cilvēka identifikācijai šajā datubāzē tiek izmantots gan personas kods, gan adrese. Tāpat uzkrājas informācija par finanšu situāciju un, iespējams, ģimenes stāvokli (atvieglojumu saņemšanai). Atbilstoši GDPR prasībām datu pārzinim ne vēlāk kā 72 stundu laikā no brīža, kad par negadījumu kļuvis zināms, par to ir jāpaziņo Datu valsts inspekcijai un personām, kuru dati tika apdraudēti. Tas nav jādara vien tad, ja pārzinis – šajā gadījumā VID – spēj pierādīt, ka notikums, visticamāk, nerada risku privātpersonu tiesībām un brīvībām. Vienkāršāk sakot, pārzinim ātri un operatīvi ir jāsniedz informācija par to, ka ir notikusi datu noplūde. Nevienai publiskai institūcijai nav iespējams izlikties, ka nekas nav noticis. Tas ir būtisks solis uz priekšu, salīdzinot ar 2010. gada notikumiem.

Taču tālāk viss nav tik gludi, jo, visticamāk, mēs ar zināmu pārsteigumu secinātu, ka šādā negadījumā neviena publiskā institūcija nav vainīga. Vienkārši nav. Tā ir mūsu valsts šā brīža izvēle. Atbilstoši GDPR administratīvās atbildības piemērošana publiskām iestādēm ir atstāta katras ES dalībvalsts kompetencē. Atbilstoši patlaban izstrādātajiem normatīvajiem aktiem Latvija ir nolēmusi to nepiemērot. Vienlaikus Personas datu apstrādes likuma projekta 49. pants paredz valsts amatpersonu vai valsts institūcijas darbinieku administratīvo atbildību, precīzāk, naudas sodu līdz 200 naudas soda vienībām. Bet pašām valsts iestādēm sodu nav atšķirībā no privātiem uzņēmumiem, kuriem līdzīgos gadījumos var tikt piemēroti milzīgi sodi (līdz 10–20 miljoniem eiro vai 2–4% apmērā no uzņēmuma gada apgrozījuma visā pasaulē).

Manuprāt, tā tomēr ir iluzoras drošības veidošana attiecībā pret pašām publiskajām iestādēm. Datu noplūdes gadījumā gan privātpersonām, gan arī juridiskajām personām ir iespēja civiltiesiskā kārtā pieprasīt kompensācijas arī no valsts institūcijām. Visticamāk, tās tāpat tiktu segtas no pašas iestādes vai arī kopējā valsts budžeta, tādēļ administratīvās atbildības nepiemērošana neglābj no papildu finanšu zaudējumiem.

Tiesa, cietusī valsts iestāde var vērsties ar prasību pret elektroniskās sistēmas izstrādātāju, ja tas ir vainojams datu noplūdē, vai arī regresa kārtībā censties piedzīt zaudējumus no darbinieka, kurš pieļāva pārkāpumu.

No valsts reputācijas viedokļa būtu daudz vērtīgāk, ja mēs nekautrētos pateikt: jā, publiskās iestādes par iespējamām datu noplūdēm var tikt sodītas administratīvā kārtā. Bet mēs [valsts] esam pārliecināti, ka tiek darīts viss iespējamais, lai šādu noplūžu iespējamība tiktu samazināta līdz absolūtam minimumam.

 
 
2 KOMENTĀRI
TAVA ATBILDE :
VĀRDS
3000
IENĀKT:
KOMENTĒŠANAS NOTEIKUMI
Homērs
15. Maijs 2018 / 17:49
1
ATBILDĒT
Vai pareizi saprotu, ka autors ierosina valsts budžeta līdzekļus pārmest no viena Valsts kases konta uz citu Valsts kases kontu?
Sātans sīkumos
15. Maijs 2018 / 13:36
0
ATBILDĒT
Regula ir spēkā no 2016.gada, vien piemērojamības laiks tuvojas ar joni.
JAUNĀKĀS ESEJAS
BIBLIOTĒKA
 
RAKSTI ESEJU
komentēt
Pievienot rakstu mapē
Pievienot citātu mapei
Pievienot piezīmi rakstam
Drukāt
ienākt ar
JURISTA VĀRDS
Abonentiem! Ieiet šeit
GOOGLE
DRAUGIEM.LV
reģistrēties
autorizēties