✔️ Nesenais Datu valsts inspekcijas (DVI) lēmumu vilnis, kas skāris aptuveni 40 Latvijas pašvaldības, ir izgaismojis satraucošu tendenci valsts pārvaldē – hronisku atbildības novelšanu un formālu pieeju iedzīvotāju datu drošībai. 2024.gada nogalē notikusī datu noplūde no "Vienotās pašvaldību sistēmas" (VPS), ko uztur SIA "ZZ Dats", kļuva par katalizatoru vērienīgai DVI pārbaudei. Tās rezultāti ir skarbi: vairumam iesaistīto pašvaldību piemēroti rājieni un uzlikti tiesiskie pienākumi.

✔️ DVI lēmumos redzams, ka pārbaudes lietas tika sadalītas, uzsākot procesus pret 45 pārziņiem (pašvaldībām). Pašvaldību aizstāvības stratēģija šajos procesos bija pārsteidzoši vienveidīga un juridiski vāja – tās mēģināja paslēpties aiz pakalpojuma sniedzēja muguras. Pašvaldības masveidā argumentēja, ka tām nav resursu un tehnisko zināšanu, lai uzraudzītu IT milzi "ZZ Dats". Tās apgalvoja, ka pilnībā paļāvušās uz izstrādātāja ISO sertifikātiem un citu pašvaldību veiktiem auditiem. Šāda "strausa politika" datu aizsardzībā ir nepieļaujama. Kā norādīja DVI, ISO sertifikāts nav "industriāla atlaide" no atbildības. Tas, ka apstrādātājam ir sertifikāts, neatbrīvo pārzini (pašvaldību) no pienākuma pārliecināties, vai drošības procedūras tiek ievērotas arī praksē. Pašvaldības bija izvēlējušās principu "uzticies akli", ignorējot pamatprincipu "uzticies, bet pārbaudi".

✔️ Vēl kliedzošāks ir fakts, ka incidenta brīdī daudzām pašvaldībām ar sistēmas uzturētāju nemaz nebija noslēgts atbilstošs datu apstrādes līgums. Tā vietā pašvaldības atsaucās uz vēsturiskiem iepirkumu noteikumiem vai tehniskajām specifikācijām, kas nekādā veidā neregulē datu apstrādes atbildību un drošības procedūras. Tas nozīmē, ka milzīgi apjomi sensitīvu iedzīvotāju datu tika apstrādāti juridiskā "pelēkajā zonā", kur pašvaldība nebija nodrošinājusi sev pat elementāras tiesības veikt auditus vai pieprasīt atskaites par drošības incidentiem.

✔️ Visbiežāk dzirdētais attaisnojums – "mums nav naudas un speciālistu, lai veiktu auditus" – juridiskā plaknē neiztur kritiku. DVI pamatoti norādīja: ja pārzinis apzinās savu nekompetenci IT jomā, tam ir ar vēl lielāku rūpību jāizvēlas apstrādātājs un jānoslēdz stingrāki līgumi, nevis jāatsakās no kontroles vispār. Arguments, ka sistēmas izmantošana ir obligāta vai to nosaka valsts, neatceļ pašvaldības kā pārziņa atbildību. Situācija, kurā publiskā sektora iestādes uzskata, ka resursu trūkums tām ļauj ignorēt likuma prasības, rada bīstamu precedentu un apdraud ikviena Latvijas iedzīvotāja privātumu.

✔️ Šie lēmumi pret aptuveni 40 pašvaldībām ir skaļš brīdinājuma zvans. Pašvaldībām ir jāpārtrauc formālā pieeja datu aizsardzībai, kur dokumenti tiek sakārtoti tikai "uz papīra" vai pēc tam, kad noplūde jau notikusi. Datu pārzinis ir un paliek atbildīgs par saviem datiem – neatkarīgi no tā, cik lielam vai sertificētam uzņēmumam tas uzticējis serveru atslēgas.

✔️ Lai izvairītos no līdzīga scenārija – reputācijas krīzes un uzraudzības iestādes sankcijām – valsts un pašvaldību iestādēm, kā arī uzņēmumiem, kas izmanto ārpakalpojumus, ir nekavējoties jāpārskata sava pieeja datu aizsardzībai. Balstoties uz DVI secinājumiem lietās pret pašvaldībām, sniedzam šādus ieteikumus:

1. Revidējiet līgumus ar IT pakalpojumu sniedzējiem Nepalaidieties uz vēsturiskām iepirkuma tehniskajām specifikācijām vai vispārīgiem pakalpojumu līgumiem. Pārliecinieties, vai jums ir spēkā esošs, VDAR 28. pantam atbilstošs datu apstrādes līgums, kurā skaidri definēta atbildība, drošības prasības un – kas ir kritiski svarīgi – jūsu tiesības veikt auditus un saņemt regulāras atskaites par drošības incidentiem.

2. "ISO sertifikāts" nav drošības spilvens Pārtrauciet praksi uzskatīt pakalpojuma sniedzēja ISO 27001 sertifikātu par automātisku "atbrīvojumu" no atbildības. Sertifikāts apliecina tikai procesa esamību, nevis tā ievērošanu ikdienā. Pieprasiet no apstrādātāja pierādījumus par drošības pasākumu faktisko izpildi, piemēram, regulārus ielaušanās testu rezultātus vai drošības auditu kopsavilkumus.

3. Neaizbildinieties ar resursu trūkumu DVI ir skaidri norādījusi – resursu vai kompetences trūkums neatbrīvo pārzini no atbildības. Ja iestādei nav iekšējo IT zināšanu, lai uzraudzītu lielo sistēmu izstrādātājus, šī kompetence ir jāpērk vai jāpiesaista no ārpuses. Argumenti par "mazu pašvaldību" vai "ierobežotu budžetu" juridiskā strīdā par datu noplūdi nedarbosies.

4. Neveiciet "kolektīvo paļaušanos" Tas, ka kaimiņu pašvaldība vai cita iestāde ir veikusi auditu konkrētajai sistēmai, nenozīmē, ka jūsu dati ir drošībā. Katrs pārzinis atbild par saviem datiem individuāli. Ja vēlaties paļauties uz citu veiktu auditu, tam ir jābūt juridiski noformētam (piemēram, kopīgs audits ar pilnvarojumu), nevis balstītam uz neformālu informāciju asociāciju sanāksmēs.

5. Pārvērtiet "papīra" procedūras reālā rīcībā Incidentu reaģēšanas plāniem un risku novērtējumiem ir jābūt "dzīviem" dokumentiem. DVI lēmumi parāda, ka formāla dokumenta esamība neko nedod, ja krīzes brīdī darbinieki nezina, kā rīkoties, vai ja risku novērtējums nav atjaunots gadiem.

✔️ "Vai Jūsu organizācijas attiecības ar datu apstrādātājiem atbilst VDAR prasībām, vai arī Jūs paļaujaties uz "aklu uzticību"?