Asociācija: Pašvaldību datu noplūdē iesaistīto personu atbildība jāvērtē daudzskaitlī 0
Pašvaldību datu noplūdē iesaistīto personu atbildība jāvērtē daudzskaitlī, aģentūru LETA informēja Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas pārstāvji, komentējot šoruden notikušo neatļauto datu ieguvi no Vienotās pašvaldību informācijas sistēmas.
Asociācijas pārstāvji uzsver, ka sistēmas izstrādātājs “ZZ Dats” ir tikai datu apstrādātājs un, atbilstoši Datu regulas nosacījumiem, pašvaldības ir atbildīgas par sadarbības partnera izvēli un standartu izvirzīšanu, lai nodrošinātu, ka personas dati tiek droši apstrādāti.
Tāpat, pēc asociācijas pārstāvju paustā, “ZZ Dats” komunikācijā, norādot, ka notikušais nav radījis tiešas sekas pašvaldību iedzīvotājiem, jo nav nokopēti dati, kas satur, piemēram, paroles un banku informāciju, noklusēti vairāki būtiski riski, jo ir noplūdusi informācija par iedzīvotāju vārdiem, uzvārdiem, personas kodiem un dzīvesvietu adresēm. Šī informācija veido katras personas pamata datus, nodrošinot pilnīgu personas identifikāciju. Tāpat nav zināmi datu ieguvēju nolūki un kā šie dati varētu tikt izmantoti.
Organizācijas pārstāvji norāda, ka ikvienā pašvaldībā ir obligāti jābūt norīkotam datu aizsardzības speciālistam. Atbilstoši Datu regulas nosacījumiem, datu aizsardzības speciālists ir persona, kas uzrauga pārziņa veiktās datu apstrādes atbilstību Datu regulas nosacījumiem. Tāpat, Datu regulā ir noteikts, ka par datu aizsardzības speciālista pilnvērtīgu iesaisti datu apstrādes procesos ir atbildīgs pārzinis.
Asociācijā atzīmē, ka elektroniskās iepirkuma sistēmas datu bāzē, pēdējos gados, reti parādās informācija par datu aizsardzības speciālista pakalpojuma iepirkumu pašvaldībās. Tomēr, kad šādi iepirkumi tiek veikti, iepirkumā uzvar zemākā cena, kas ir vidēji 200 līdz 300 eiro mēnesī. Pašvaldībās ir vidēji 80 līdz 90 iestādes ar specifiskām personas datu apstrādēm un jaunām iniciatīvām, kas var ietvert personas datu apstrādi un kuras būtu jāsaskaņo ar datu aizsardzības speciālistu, lai nodrošinātu korektu personas datu apstrādi.
Datu regula paredz pārzinim vairākus pienākumus, tostarp veikt auditus un revīzijas, lai pārliecinātos, ka ir izpildīti izvirzītie standarti. Tāpēc asociācijā akcentē, ka Datu valsts inspekcijai būtu jānoskaidro, cik lielu uzmanību pašvaldības kā pārziņi ir pievērsuši sadarbības kvalitātei un vai vispār pakalpojuma sniedzēja nodrošinātie pakalpojumi ir uzraudzīti.
Ar datu pārkāpumu saistītā komunikācija, pamatojoties uz publiski pieejamo informāciju liecina, ka Datu regulas prasības nav pareizi ievērotas. Datu regula paredz pārziņiem pienākumu aktīvi pārvaldīt datu pārkāpumu, tostarp, veikt tā ietekmes adekvātu novērtēšanu uz datu subjekta tiesībām un brīvību.
Asociācijas pārstāvji uzsver, ja novērtējumā novērots būtisks risks datu subjekta tiesībām un brīvībai, par datu pārkāpumu ir jāziņo Datu valsts inspekcijai, bet, ja ir novēroti augsti riski datu subjekta tiesībām un brīvībām, tad pārziņa pienākums ir komunicēt ar datu subjektu, informējot to par notikušā apstākļiem un rīcību, kura mazinātu ar datu pārkāpumu saistītos riskus.
Līdz šim atsevišķu pašvaldību mājas lapās informācija par notikušo datu pārkāpumu nav atrodama vai ir grūti pieejama, akcentē organizācijas pārstāvji. Tāpat par incidentu ir bijis zināms jau 2.novembrī, bet paziņojumi par to parādījās tikai 9.novembrī, šim termiņam būtiski pārsniedzot Datu regulā noteikto 72 stundu periodu, kad ir sagaidāma aktīva rīcība no pārziņa.
Tāpēc asociācijas pārstāvji uzsver, ka ir šaubas vai ir demonstrēta atbildīga rīcība un pakalpojuma sniedzējs ir sniedzis informāciju, ar kuru pietiek Datu regulā noteikto pienākumu izpildei. Lai arī patiesās sekas vēl nevar novērtēt, patlaban ir skaidrs, ka pārziņi mēģina mainīt fokusu uz tikai vienas organizācijas atbildību, kas, savukārt, ir izvēlējusies aizbildināties ar apstākļiem, kas nav notikuši, lai arī, kāda nepilnvarota persona ir ieguvusi minētos datus un nav pārliecības, kā un vai ar šiem datiem tiks kaitēts datu subjektiem.
Tāpat asociācijas pārstāvji akcentē, ka ir pieejami mākslīgā intelekta rīki, kuri ar šādu datu pieejamību var sagatavot kvalitatīvus uzbrukumu scenārijus. Tāpēc asociācija aicina iedzīvotājus būt piesardzīgiem un kritiski izvērtēt dažādus piedāvājumus virtuālā vidē. Tāpat nedrīkst nepareizi novērtēt ar datu pārkāpumu saistītos riskus katram datu pārkāpumā ietekmētajam subjektam.
Jau ziņots, ka “atsevišķām personām” laikā no 2024.gada 29.oktobra līdz 2.novembrim izdevies neatļauti iegūt atsevišķus datus no Vienotās pašvaldību informācijas sistēmas.
Kā aģentūru LETA informēja sistēmas izstrādātāju “ZZ Dats” direktors Edžus Žeiris, šīm personām bija izdevies piekļūt meklēšanas indeksam, uz kura tika dublēta neliela daļa datu no Vienotās pašvaldību informācijas sistēmas.
Šis incidents tiešā veidā ietekmējis 42 Latvijas pašvaldības, izņemot Rīgu. Drošības speciālistu veiktā analīze liecina, ka “atsevišķām personām” bijusi piekļuve datiem par dažu pašvaldību darbiniekiem, tostarp informācijai par to vārdiem, uzvārdiem, struktūrvienību, amatu, e-pasta adresi un telefona numuru, pašvaldību iedzīvotāju fizisku personu datiem, tostarp vārdiem, uzvārdiem, personas kodiem un deklarētajām adresēm, kā arī atsevišķu pašvaldību lietvedības dokumentu failu aprakstiem – metadatiem.
Pēc problēmas konstatēšanas 2.novembrī veiktas nepieciešamās darbības sistēmas drošības konfigurēšanai un pasākumi, lai novērstu turpmāku nesankcionētu piekļuvi. Darbs pie notikušā analīzes vēl turpinoties.
Latvijas sertificēto personas datu aizsardzības speciālistu asociācija ir neatkarīga sertificēto personas datu aizsardzības speciālistu brīvprātīga profesionāla apvienība, kas apvieno tiesību, informācijas tehnoloģiju un informācijas tehnoloģiju pietuvināto jomu speciālistus. Organizācijas uzdevums ir nodrošināt personas datu aizsardzības speciālistu profesionālo interešu pārstāvību un aizstāvību, veicināt speciālistu zināšanu pilnveidošanu, sniegt vispusīgu palīdzību prakses problēmu risināšanā, kā arī veicināt cilvēktiesību un indivīda tiesību aizsardzību fizisko personu datu apstrādes jomā. Asociācija dibināta 2011.gadā.
