GDPR izaicinājumi un

kā tos pārvarēt

LIKTA konference

31.01.2018

Ieva Andersone

Kristaps Sedols

Jauni noteikumi – jaunas prasības!

Vispārīgā datu aizsardzības regula (GDPR) nosaka jaunus

noteikumus organizācijām, kuras

piedāvā produktus vai

pakalpojumus ES pilsoņiem, vai,

kuras vāc un analizē ar ES

pilsoņiem saistītus datus

neatkarīgi no organizācijas

atrašanās vietas.

Uzlabotas personas

privātuma tiesības

Paaugstināta atbildība par

datu aizsardzību

Obligāta ziņošana par pārkāpumiem

Ievērojami sodi par

neatbilstību

25.maijāstājas spēkā

Esošais Fizisko personu datu

aizsardzības likums zaudēs spēku

Regula – vienots regulējums visā Eiropā. Tomēr - dalībvalstis

var paredzēt konkrētākus noteikumus noteiktās jomās.

Tātad noteikumi ES valstīs atšķirsies.

Latvijā būs jauns Personas datu apstrādes likums.

Tajā būs regulēti jautājumi par personas datu

aizsardzības speciālista statusu, izņēmumiem

sabiedrības interesēs, soda naudām valsts

amatpersonām, Datu valsts inspekcijas statusu,

videonovērošanu.

Interesants faktsPirmais Regulas ēras

vietējais datu aizsardzības

likums tika pieņemts

Vācijā 05.07.2017.

Kāpēc jaunas prasības?

150miljonu

+21% +300%

Nozagti personu dati

no UK uzņēmumiem

2017

Kopš 2015.gada pieaudzis

izspiedējvīrusu uzbrukumu

skaits no 1000 līdz 4000 dienā!

Datu uzlaušana- publicēti

174 miljoni konfidenciālu

ierakstu

[BBC] [Identity Theft Resources Centre, ASV] [Avots: FBI]

Lietuvas plastiskās ķirurģijas

klīnikas piemērs

Uzlauza

klīnikas datu

sistēmu

Šantažēja

klīniku

Klīnika

noliedza

notikušo

Noziedznieki

publiskoja

daļu datu

Šantažēja

klīniku un

klīnikas klientus

Klīnika

atzina

notikušo

Zaudēta reputācija un klienti,

ierosinātas tiesvedības

Avots: https://www.occrp.org/en/daily/6387-lithuania-cybercriminals-blackmail-plastic-surgery-clinic-with-stolen-photos

Regulas «lielā jēga»

Regulas mērķis - pasargāt privātumu,

uzņēmēja uzdevums - to nodrošināt.

Nekā nedarīšana - sods līdz 4% no

globālā apgrozījuma.

ES atbilde informācijas laikmetā.

Personasprivātums

Kādas ir galvenās izmaiņas?

Pārvaldība un ziņošana

Caurspīdīgi noteikumi

IT un apmācības

Datu apstrādātājam nepieciešams:

Apmācīt darbiniekus;

Auditēt un atjaunot

informācijas aprites

nosacījumus;

Algot datu aizsardzības speciālistu (lielās organizācijās);

Izveidot un pārvaldīt

apstrādātāja līgumus.

Datu pārzinim ir pienākums:

Aizsargāt personas datus ar

atbilstošiem drošības

risinājumiem;

72h laikā pēc pārkāpuma

konstatēšanas ziņot

uzraugošai valsts iestādei;

Saņemt atļauju pirms

personas datu apstrādes;

Definēt datu glabāšanas un

dzēšanas politikas.

Personai ir tiesības:

Piekļūt saviem personas

datiem;

Labot kļūdas savos personas

datos;

Dzēst savus personas datus;

Iebilst savu personas datu

apstrādei;

Eksportēt savus personas

datus.

Datu apstrādātājam obligāti:

Skaidri norādīt datu

vākšanas faktu;

Izskaidrot datu apstrādes

nolūku un scenāriju;

Definēt datu glabāšanas un

dzēšanas nosacījumus.

Ar ko sākt? Identificējiet, kādi personas dati Jums ir, un kur tie atrodas

Atklāt1

Nosakiet, kā personas dati tiek lietoti un kas tiem piekļūst

Saprast un pārvaldīt2

Nosakiet drošības kontroles, lai novērstu, atklātu un atbildētu uz ievainojamībām / pārkāpumiem

Aizsargāt3

Uzturiet dokumentāciju, pārvaldiet

datu pieprasījumus un pārkāpumu

ziņojumus

Reaģēt4

Atklāt: Identificējiet, kādi personas datiJums ir

Tvērumā:

Jebkādi dati, kas palīdz identif icēt personu

Vārds

E-pasta adrese

Ieraksti sociālajos tīklos

Fizioloģiska vai ģenētiska informācija

Medicīniska informācija

Atrašanās vieta

Bankas dati

IP adrese

Ticība

1

Kas atklāj rases vai etnisko piederību

Informācija par politiskajiem uzskatiem,

reliģisko un filozofisko pārliecību vai

dalību arodbiedrībās

Ģenētiskie, biometriskie dati, lai veiktu

fiziskas personas unikālu identifikāciju

Kas ir īpašo

kategoriju

dati?

Informācija par fiziskas personas

dzimumdzīvi vai seksuālo orientāciju

Datu apstrādes tiesiskais

pamats

Uzdevumu veikšana

sabiedrības interesēs

Piekrišana Līguma izpilde

Ar likumu uzlikts

pienākums

Leģitīmās intereses

Piekrišana

ATBILDĪBAPārziņa

atbildība

pierādīt

piekrišanas

faktu

PIEEJAMĪBAInformācija

sniegta

saprotamā

veidā, tā ir viegli

pieejama

NOŠĶIRTĪBAAtsevišķi no

pārējā

teksta

PASNIEGŠANABrīvi sniegta

Atklāt: Identificējiet, kādi personas dati Jumsir un, kur tie atrodas

Tvērumā:

Jebkādi dati, kas

palīdz identif icēt

personu

Vārds

E-pasta adrese

Ieraksti sociālajos tīklos

Fizioloģiska vai ģenētiska informācija

Medicīniska informācija

Atrašanās vieta

Bankas dati

IP adrese

Ticība

1

Uzskaitē:

Identif icējiet, kur

personas dati t iek

uzkrāti un glabāti

E-pasti

Dokumenti

Datu bāzes

Pārnēsājamie datu nesēji

Metadati

Žurnālfail i

Rezerves kopijas

2 Saprast un pārvaldīt: Nosakiet, kā personas dati tiek lietoti un kas tiem piekļūst

Datu pārvaldība:

Nosacījumu, lomu un

atbildību definēšana

personas datu lietošanai

Apstrāde

Tranzīts

Glabāšana

Atjaunošana

Arhivēšana

Saglabāšana

Dzēšana

Datu klasifikācija:

Datu organizēšana un

iezīmēšana to

atbilstošai apstrādei

Datu tipi

Kategorijas

Konteksts, l ietojums

Īpašuma tiesības

Administratori

Lietotāji

Lielāka uzmanība datu

apstrādātājiem! (pašreizējais termins: «operatori»)

Arī apstrādātāji atbilstoši

Regulai var būt atbildīgi

tieši pret datu

subjektiem

Jebkurai personai, kurai

regulas pārkāpuma rezultātā

ir nodarīts kaitējums, ir tiesības

no pārziņa vai apstrādātāja

saņemt kompensāciju

Piemēram, darba attiecību

kontekstā – jāuzmanās arī

tiem uzņēmumiem, kas darba

devējam sniedz dažādus

pakalpojumus

Līgums ar apstrādātāju

Svarīgi līgumā paredzēt

apstrādātāja pienākumu

ziņot par datu aizsardzības

pārkāpumu

Jāpārskata visi

līgumi ar datu

apstrādātājiem

Aizliegts bez pārziņa

atļaujas piesaistīt citu

apstrādātāju

Ja apstrādātājs pārkāpj

regulu, to uzskata par

pārzini attiecībā uz šo

datu apstrādi

Sīki noteikts, kas

iekļaujams

līgumā

3 Aizsargāt: Nosakiet drošības kontroles, lai novērstu, atklātu un atbildētu uz ievainojamībām, kā arī citiem pārkāpumiem

Novērst uzbrukumus

datiem:

Datu aizsardzība

Datu centru f iziskā drošība

Tīkla drošība

Glabātuves drošība

Skaitļošanas drošība

Identitātes pārvaldība

Pieeju kontrole

Šifrēšana

Riska mazināšana

Pārkāpumu noteikšana un

reaģēšana:Iebrukumu uzraudzība

un noteikšana

Sistēmu uzraudzība

Pārkāpuma atpazīšana

Ietekmes aprēķins

Plānota reakcija

Ārkārtas atkopšana

Ziņošana valsts uzraudzības iestādei

Pārziņiem jāspēj nodrošināt un demonstrēt, ka viņu veiktā personas

datu apstrāde atbilst Regulas prasībām – atbilstošu datu apstrādes politiku izstrāde, noteikumi līgumos.

+

Rīcības kodeksi un sertifikācija +

Pārskata atbildība un apstrādes reģistrēšana

+

Katrs pārzinis un apstrādātājs reģistrē tā pakļautībā veiktās apstrādes

darbības (izņemot: mazie uzņēmumi zem 250, bet vajag tomēr, ja apstrāde rada risku vai nav neregulāra, vai apstrādā īpašo kategoriju datus).

Datu valsts inspekcijā personas datu apstrāde jāreģistrē vairs nebūs+

Varbūt vajag personas datu

aizsardzības speciālistu?

Vajag, ja:

Apstrādi veic publiska iestāde vai

struktūra, izņemot tiesas

Regulāra un sistemātiska datu

subjektu novērošana plašā mērogā

Pamatdarbība ietver īpašo kategoriju datu - 9. un 10.

pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi

plašā mērogā

4 Reaģēt: Uzturiet vajadzīgo dokumentāciju, pārvaldiet

datu pieprasījumus un pārkāpumu ziņojumus

Dokumentācija:Organizācijām būs

jādokumentē:

Datu apstrādes iemesls

Personas datu klasifikācijas

Trešo pušu pieejas pie datiem

Organizācijas strukturāl ie un tehniskie

r i sinājumi

Datu glabāšanas laiks

Ziņošanas rīki:

Ziņošanas iespēju

ieviešana:

Mākoņservisu (datu operatoru)

dokumentācija

Audita žurnāl i

Ielaušanās ziņojumi

Datu subjekta pieprasījumu apstrāde

Atbi lstības dokumentācija

Tiesības uz vispārīgu

informāciju par

personas datu apstrādi

Tiesības piekļūt

saviem personas

datiem

Tiesības labot

datus

Tiesības ierobežot

apstrādi (noteiktās

situācijās)

Tiesības iebilst pret

datu apstrādi

(noteiktās situācijās)

Tiesības uz datu

pārnesamību (noteiktās

situācijās)

Tiesības tikt

aizmirstam uz visiem

laikiem

Jebkuram datu subjektam ir šādas tiesības – un pārzinim / apstrādātājam

tās jānodrošina

Novērtējums par ietekmi uz datu aizsardzību

profilēšana, uz kuras pamata tiek pieņemti lēmumipubliski pieejamas zonas uzraudzība plašā mērogāīpašas kategorijas datu vai sodāmības datu apstrāde

Papildus uzraudzības iestāde izstrādā sarakstu ar darbību veidiem, kuriem jāveic novērtējums

Tas ir process ar mērķi aprakstīt apstrādes darbības, novērtēt apstrādes nepieciešamību un samērīgumu un palīdzēt pārvaldīt riskus datu subjektu tiesībām un brīvībām, tos novērtējot un nosakot līdzekļus, kā tos novērst

Obligāti jāveic, ja notiek (bet uzskaitījums nav izsmeļošs):

Jābūt gatavam paziņot par personas

datu aizsardzības pārkāpumiem

Pārkāpums

Regula: «personas datu

aizsardzības pārkāpums» i r

drošības pārkāpums, kura

rezultātā notiek nejauša vai

nel ikumīga nosūtīto, uzglabāto vai

citādi apstrādāto personas datu

iznīcināšana, nozaudēšana,

pārveidošana, neatļauta

izpaušana vai piekļuve tiem

Ziņošanas

Regulas 33.panta 1.punkts:

personas datu aizsardzības

pārkāpuma gadījumā pārzinis bez

nepamatotas kavēšanās un, ja

iespējams, ne vēlāk kā 72 stundu

laikā no brīža, kad pārkāpums tam

kļuvis z ināms, paziņo par personas

datu aizsardzības pārkāpumu

uzraudzības iestādei

Ar ko sākt? Identificējiet, kādi personas dati Jums ir un, kur tie atrodas

Atklāt1

Nosakiet, kā personas dati tiek lietoti un kas tiem piekļūst

Saprast un pārvaldīt2

Nosakiet drošības kontroles, lai novērstu, atklātu un atbildētu uz ievainojamībām / pārkāpumiem

Aizsargāt3

Uzturiet dokumentāciju, pārvaldiet

datu pieprasījumus un pārkāpumu

ziņojumus

Reaģēt4

Lai palīdzētu sagatavoties pārmaiņām,

Datu valsts inspekcija publicējusi

12 soļus veiksmīgam

darbam http://www.dvi.gov.lv/lv/zinas/12-soli-veiksmigam-

darbam/

Nebaidāmies no Regulas,

bet rīkojamies!

www.sorainen.com www.squalio.com