Drošības incidenti - datu aizsardzības pārkāpums, kas rezultējas nopietnos sodos

Pēdējā laika Datu valsts inspekcijas (DVI) aktivitātes, to skaitā publicētā informācija par uzsāktajām pārbaudēm un piemērotajiem sodiem, nav palikušas nepamanītas lielākajai daļai sabiedrības, jo īpaši tāpēc, ka vairāki gadījumi ir saistīti ar uzņēmumos esošajiem klientu datiem. Jāatzīst, ka drošības incidenti visbiežāk skar fiziskās personas, jo, ikviens no mums kā klients ir reģistrēts kāda uzņēmuma datubāzē, piemēram, finanšu iestādēs, interneta veikalā vai veselības iestādēs. Diemžēl Eiropas datu aizsardzības un uzraudzības iestāžu piemērotie sodi komersantiem, norāda uz pieaugošu tendenci, ka vairumā gadījumu tieši drošības incidenti rezultējas nopietnos naudas sodos.

Publiski izskanējis DVI paziņojums saistībā ar personas datu aizsardzības pārkāpumu Latvijas uzņēmumā, kurš ikdienā nodrošina daudzdzīvokļu dzīvojamo ēku pārvaldīšanas, apsaimniekošanas un administrācijas pakalpojumus. Uzņēmums, ievērojot Vispārīgajā datu aizsardzības regulā (Regula) noteiktās prasības, informēja DVI, ka 2021. gada 22. janvārī  piesaistītais datu apstrādātājs konstatējis nesankcionētu piekļuvi uzņēmuma serverim, kā rezultātā tikuši neatļauti šifrēti dati un uzņēmums tos vairs nav spējis kontrolēt. 

Nesen arī kļuvis zināms, ka Lietuvā tikuši nozagti aptuveni 110 000 automašīnu koplietošanas pakalpojuma sniedzēja klientu dati. Lai arī uzņēmums norāda, ka hakeru rīcībā nav nonākusi informācija par lietotāju norēķinu kartēm, tomēr klientu vārdi, personas kodi, tālruņu numuri, dzīvesvietas adreses, e-pasta adreses, autovadītāju apliecību numuri un šifrētās paroles ir nonākušas virtuālo uzbrucēju  rīcībā.

Abi gadījumi uzskatāmi par datu aizsardzības pārkāpumiem, par kuriem var tikt piemērots sods līdz 4 % no uzņēmuma kopējā visā pasaulē iepriekšējā finanšu gadā gūtā gada apgrozījuma. Minētie gadījumi ļoti spilgti izgaismo to, ka sadarbības partnera, kas uzņēmuma uzdevumā veic personas datu apstrādi - piemēram, veic serveru tehnisko apkalpošanu, neatbilstoša rīcība var radīt uzņēmumam ļoti būtisku kaitējumu, kas var rezultēties lielos soda apmēros, kaitējumā uzņēmuma reputācijai, kā arī peļņas kritumā un zaudētās nākotnes sadarbības iespējās.

Ņemot vērā iepriekš minēto un novērojot DVI un citu uzraudzības iestāžu aktivitāti Eiropā, piemērojot sodus par datu aizsardzības pārkāpumiem, varam secināt, ka uzņēmumam, kas uzskatāms par personas datu apstrādes pārzini šobrīd nepieciešams sevišķi rūpīgi izvērtēt savus sadarbības partnerus, kas veiks personas datu apstrādi uzņēmuma uzdevumā. 

Ja līdz šim, daudzi no uzņēmumiem, ieviešot ar Regulu noteiktās prasības, formāli piegāja tajā minētajam, tai skaitā arī attiecībā uz Regulas 32.pantu, kas nosaka minimālās prasības attiecībā uz datu apstrādes drošību, ko nepieciešams ievērot gan pārzinim, gan apstrādātājam, tad šobrīd, līdz ar uzraudzības iestāžu pietiekoši regulāro sodu piemērošanas praksi, redzams, ka šāda formāla pieeja drošības jautājumiem, kas saistīti ar datu aizsardzību ir riskanta.

Tik pat būtiski kā sakārtoti procesi un atbilstošā dokumentācija ir arī uzņēmuma īstenotie tehniskie un organizatoriskie pasākumi, lai  novērstu iespējamus datu aizsardzības pārkāpumus.

Visos iepriekš minētajos GDPR incidentos lielu lomu spēlē  kompāniju tehnoloģiskā puse - gan IT procesi, gan IT un Datu drošības tehniskie procesi. Mūsdienās, kad liela daļa darbu tiek veikti attālināti, uzņēmumi bieži izmanto mākoņplatformas, kur failu koplietošana un glabāšana ir norma. Tas ir izaicinājums uzņēmumiem, kam precīzi jāzina, kur atrodas viņu sensitīvie vai normatīvie dati un kāda veida dati tie ir (strukturētie vai nestrukturētie). Tāpat jāsaprot, kas ar šiem datiem strādā un, kas tiem piekļūst, kā arī vai šie dati uzņēmumam ir nepieciešami, un citi jautājumi, uz kuriem rast atbildes dažreiz ir ļoti sarežģīti. 

Ņemot vērā mūsdienās pastāvošo biznesa procesu savstarpējo savienojamību, to digitalizāciju, ko ir nesusi arī Covid-19 situācija valstīt ir, ļoti jāpiedomā pie jautājumiem - Kur, Kas, Cik, Kad, Vai un Kāpēc dati ir tur kur viņi ir un kā mēs tos aizsargājam. Arī dažādu datoru vīrusu izplatība valstī ir strauji pieaugusi un nesenais incidents ar EMOTET vīrusu, kas ir kompromitējis vairāk nekā 10 000 Latvijas datoru lietotāju un veicis manipulācijas ar viņu datiem ir sarkanais signāls, ka mums kā uzņēmumiem un datu aizsardzības speciālistiem (DPO) ir jāpārliecinās par to, ka datu aizsardzība ir efektīva. Nevienam nav noslēpumu ka dati tiek ievietoti vairākās sistēmās, lietojumprogrammās, datu bāzēs un koplietojamos failos, padarot to aizsardzību, autentifikāciju un konfidencialitāti par izaicinājumu uzņēmumiem. 

PwC ITS un ZAB PwC Legal  komandas Jums palīdzēs atbildēt uz visiem ar datu drošību saistītajiem jautājumiem. 

 

Sazinieties ar mums

Edgars Šacs

Edgars Šacs

PwC Information Technology Services valdes loceklis, Kiberdrošibas un privātuma pakalpojumu vadītājs Baltijas valstīs un Ukrainā, PwC Latvia

Tel: +371 67094400

Sekojiet mums