Drošības incidenti - datu aizsardzības pārkāpums, kas rezultējas nopietnos sodos

Pēdējā laika Datu valsts inspekcijas (DVI) aktivitātes, to skaitā publicētā informācija par uzsāktajām pārbaudēm un piemērotajiem sodiem, nav palikušas nepamanītas lielākajai daļai sabiedrības, jo īpaši tāpēc, ka vairāki gadījumi ir saistīti ar uzņēmumos esošajiem klientu datiem. Jāatzīst, ka drošības incidenti visbiežāk skar fiziskās personas, jo, ikviens no mums kā klients ir reģistrēts kāda uzņēmuma datubāzē, piemēram, finanšu iestādēs, interneta veikalā vai veselības iestādēs. Diemžēl Eiropas datu aizsardzības un uzraudzības iestāžu piemērotie sodi komersantiem, norāda uz pieaugošu tendenci, ka vairumā gadījumu tieši drošības incidenti rezultējas nopietnos naudas sodos.

Publiski izskanējis DVI paziņojums saistībā ar personas datu aizsardzības pārkāpumu Latvijas uzņēmumā, kurš ikdienā nodrošina daudzdzīvokļu dzīvojamo ēku pārvaldīšanas, apsaimniekošanas un administrācijas pakalpojumus. Uzņēmums, ievērojot Vispārīgajā datu aizsardzības regulā (Regula) noteiktās prasības, informēja DVI, ka 2021. gada 22. janvārī  piesaistītais datu apstrādātājs konstatējis nesankcionētu piekļuvi uzņēmuma serverim, kā rezultātā tikuši neatļauti šifrēti dati un uzņēmums tos vairs nav spējis kontrolēt. 

Nesen arī kļuvis zināms, ka Lietuvā tikuši nozagti aptuveni 110 000 automašīnu koplietošanas pakalpojuma sniedzēja klientu dati. Lai arī uzņēmums norāda, ka hakeru rīcībā nav nonākusi informācija par lietotāju norēķinu kartēm, tomēr klientu vārdi, personas kodi, tālruņu numuri, dzīvesvietas adreses, e-pasta adreses, autovadītāju apliecību numuri un šifrētās paroles ir nonākušas virtuālo uzbrucēju  rīcībā.

Abi gadījumi uzskatāmi par datu aizsardzības pārkāpumiem, par kuriem var tikt piemērots sods līdz 4 % no uzņēmuma kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma. Minētie gadījumi ļoti spilgti izgaismo to, ka sadarbības partnera, kas uzņēmuma uzdevumā veic personas datu apstrādi - piemēram, veic serveru tehnisko apkalpošanu, neatbilstoša rīcība var radīt uzņēmumam ļoti būtisku kaitējumu, kas var rezultēties lielos soda apmēros, kaitējumā uzņēmuma reputācijai, kā arī peļņas kritumā un zaudētās nākotnes sadarbības iespējās.

Ņemot vērā iepriekš minēto un novērojot DVI un citu uzraudzības iestāžu aktivitāti Eiropā, piemērojot sodus par datu aizsardzības pārkāpumiem, varam secināt, ka uzņēmumam, kas uzskatāms par personas datu apstrādes pārzini šobrīd nepieciešams sevišķi rūpīgi izvērtēt savus sadarbības partnerus, kas veiks personas datu apstrādi uzņēmuma uzdevumā. 

Ja līdz šim, daudzi no uzņēmumiem, ieviešot ar Regulu noteiktās prasības, formāli piegāja tajā minētajam, tai skaitā arī attiecībā uz Regulas 32.pantu, kas nosaka minimālās prasības attiecībā uz datu apstrādes drošību, ko nepieciešams ievērot gan pārzinim, gan apstrādātājam, tad šobrīd, līdz ar uzraudzības iestāžu pietiekoši regulāro sodu piemērošanas praksi, redzams, ka šāda formāla pieeja drošības jautājumiem, kas saistīti ar datu aizsardzību ir riskanta.

Tik pat būtiski kā sakārtoti procesi un atbilstošā dokumentācija ir arī uzņēmuma īstenotie tehniskie un organizatoriskie pasākumi, lai  novērstu iespējamus datu aizsardzības pārkāpumus.

PwC ITS un ZAB PwC Legal  komandas Jums palīdzēs atbildēt uz visiem ar datu drošību saistītajiem jautājumiem.