GDPR

Vispārējā Datu Aizsardzības Regula – VDAR jeb GDPR

Piedāvājam tehniskos risinājumus, kas ļauj izvērtēt jūsu uzņēmuma atbilstību normatīvajiem aktiem, kas regulē personas datu aizsardzību.

NETWORK TRAFIC SECURITY SYSTEM – NTSS & General Data protection Regulation – GDPR
“PERSONAS DATU AIZSARDZĪBAS OBLIGĀTĀS TEHNISKĀS UN ORGANIZATORISKĀS PRASĪBAS” MK NOTEIKUMI NR. 40
MK 442 NOTEIKUMI “KĀRTĪBA, KĀDĀ TIEK NODROŠINĀTA INFORMĀCIJAS UN KOMUNIKĀCIJAS TEHNOLOĢIJU IKT SISTĒMU ATBILSTĪBA MINIMĀLAJĀM DROŠĪBAS PRASĪBĀM.”
DATU VALSTS INSPEKCIJAS REKOMENDĀCIJAS

NETWORK TRAFIC SECURITY SYSTEM – NTSSGeneral Data protection Regulation – GDPR

NTSS: SPECIĀLS TEHNISKS RISINĀJUMS DATU PLŪSMU UN SATURA PĀRVALDĪBAI PĀRZIŅA DATORTĪKLĀ.

  • VISS DATU SATURS UN NOTIKUMI TIEK SAGLABĀTI UN IZVEIDOTS PILNTEKSTA INDEKSS, KAS DOD IESPĒJU DAŽU SEKUNŽU LAIKĀ ATRAST JEBKURU DATU VIENĪBU UN PĀRRAUDZĪT TO KUSTĪBU, PĀRVEIDOŠANU.
  • GALA IERĪČU, TO DATU UN PROGRAMMU NODROŠINĀJUMA INVENTARIZĀCIJA UN ATJAUNOŠANAS MONITORINGS.
  • SISTĒMĀ IEKĻAUTAS PAPILDFUNKCIJAS:

o   UGUNSMŪRIS;

o   VPN: DROŠA ATTĀLINĀTA PIEKĻUVE;

o   E-PASTA PĀRVALDĪBAS RĪKI (ANTISPAMS, PRETVĪRUSI u.c.).

VISPĀRĒJĀ DATU AIZSARDZĪBAS REGULA (Regula (ES) 2016/679, 2016) nosaka, ka personas datu aizsardzības pārkāpuma gadījumā PĀRZINIM:

  • ne vēlāk kā 72 stundu laikā no brīža, kad pārkāpums tam kļuvis zināms, paziņo uzraudzības iestādei
  • var piemērot soda sankcijas, līdz 20.000.000.-EUR vai pat 4% no gada apgrozījuma (ja summa ir lielāka) un datu apstrādes tiesību pārtraukšana.

Ņemot vērā tehnikas līmeni, īstenošanas izmaksas un apstrādes raksturu, apmēru, kontekstu un nolūkus, kā arī dažādas iespējamības un smaguma pakāpes risku attiecībā uz fizisku personu tiesībām un brīvībām, lai nodrošinātu riskam atbilstošu drošības līmeni, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus.

PAMATFUNKCIJAS
  • PERSONAS DATU IDENTIFICĒŠANA PĒC:
  1. PERSONAS KODIEM
  2. BANKU KONTIEM
  3. MAKSĀJUMU KARŠU NR
  4. U.C. DEFINĒTIEM KRITĒRIJIEM, PIEMĒRAM, PERSONU VĀRDIEM UN UZVĀRDIEM, CV, u.c.
  • SAGLABĀ DATU PLŪSMAS KOPIJU (LĪDZĪGI KĀ BACK-UP), NODROŠINOT PERSONAS DATU ŠIFRĒŠANU VAI AIZSTĀŠANU.
  • VEIDO ATSKAITES PAR LIETOTĀJU DARBĪBĀM.
  • UGUNSSIENAS SPECIĀLISTI NODROŠINA REGULĀRU NTSS SISTĒMAS ATJAUNINĀŠANU, INDIVIDUĀLAS KONSULTĀCIJAS PĀRZIŅA SISTĒMU KONFIGURĒŠANĀ, EFEKTIVITĀTES NOVĒRTĒJUMU.
Lai nodrošinātu riskam atbilstošu drošības līmeni, pārzinis un apstrādātājs īsteno atbilstīgus tehniskus un organizatoriskus pasākumus (Regula (ES) 2016/679):

  • pseidonimizāciju, kas ir paredzēti, lai efektīvi īstenotu datu aizsardzības principus, datu minimizēšanu
  • apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību;
  • personas datu šifrēšanu (4.5.2016. L 119/51 Eiropas Savienības Oficiālais Vēstnesis LV);
  • laicīgu atjaunošanu personas datu pieejamībai un piekļuvi tiem gadījumā, ja ir noticis fizisks vai tehnisks negadījums;
  • procesu regulārai tehnisko un organizatorisko pasākumu efektivitātes testēšanu, izvērtēšanu un novērtēšanu, lai nodrošinātu apstrādes drošību.

PERSONAS DATU AIZSARDZĪBAS(PDA) SPECIĀLISTIEM

  • NTSS IR LIETOTĀJAM DRAUDZĪGA SASKARNE (WEB INTERFACE), NAV NEPIECIEŠAMAS SPECIĀLAS IT ZINĀŠANAS.
  • DA SPECIĀLISTS VAR ĒRTI NOVĒROT UN SADARBĪBĀ AR IT VADĪTĀJU PĀRVALDĪT:
  1. DATU PLŪSMU TĪKLĀ;
  2. GALA IERĪČU SATURU UN PROGRAMMU ATJAUNINĀJUMUS.
  • IZVEIDOT PERSONAS DATU DROŠĪBAS BRĪDINĀJUMUS UZ NOTEIKTIEM ATSLĒGAS VĀRDIEM UN NOTIKUMIEM, PIEMĒRAM, PERSONAS KODIEM; VĀRDIEM UZVĀRDIEM; NEPAREIZU PAROĻU IZMANTOŠANU; INFORMĀCIJAS PALIELINĀTU PIEPRASĪJUMU UN PIESLĒGUMU APJOMU NO NEVĒLAMIEM AVOTIEM U.C.

  • DA SPECĀLISTS var iecelt, pamatojoties uz viņa profesionālo kvalifikāciju, tomēr īpašu uzsvaru liekot uz speciālām zināšanām datu aizsardzības tiesību un prakses jomām un spēj pildīt Regulā definētos uzdevumus (Regula (ES) 2016/679):
  • uzraudzīt, vai tiek ievērota šī regula, citi ES vai dalībvalstu noteikumi par datu aizsardzību un pārziņa vai apstrādātāja politika saistībā ar personas datu aizsardzību, tostarp pienākumu sadali, apstrādes darbībās iesaistīto darbinieku informēšanu un apmācību, un ar to saistītajām revīzijām;
  • pēc pieprasījuma sniegt padomus attiecībā uz novērtējumu par ietekmi uz datu aizsardzību un pārraudzīt tā īstenošanu saskaņā ar Regulas 35. pantu;
  • sadarboties ar uzraudzības iestādi;
  • būt par uzraudzības iestādes kontaktpunktu jautājumos, kas saistīti ar apstrādi.

NTSS NODROŠINA ARĪ LR NORMATĪVU PRASĪBU IZPILDI

APSTRĀDĀJOT PERSONAS DATUS, ĪPAŠA UZMANĪBA IR JĀPIEVĒRŠ JAUTĀJUMAM PAR LIETOTĀJU DARBĪBU UZSKAITI, NODODOT, SAŅEMOT UN MAINOT INFORMĀCIJU.

VAIRUMS MŪSDIENU SISTĒMU NODROŠINA NOTIKUMU UZSKAITES ŽURNĀLU, NEANALIZĒJOT NOTIKUMU SATURU. BEZ SPECIALIZĒTA RĪKA, SATURA APSTRĀDE IR TEHNISKI SAREŽĢĪTS UN DARBIETILPĪGS PROCESS, KURU VAR VEIKT TIKAI TEHNISKI AUGSTI KVALIFICĒTI IT SPECIĀLISTI.

NTSS PADARA TĪKLA DATU SATURA PĀRVALDĪBU PIEEJAMU PDA SPECIĀLISTAM, IT UN UZŅĒMUMA VADĪBAI.

NTSS NODROŠINA PLAŠAS DATU MEKLĒŠANAS IESPĒJAS, KĀ ARĪ IZVEIDOT BRĪDINĀJUMUS, ATBILSTOŠI PĀRZIŅA DARBĪBAS SPECIFIKAI, FIZISKU PERSONAS DATU AIZSARDZĪBAS LIKUMA PRASĪBĀM, LR NORMATĪVIEM AKTIEM UN DVI REKOMENDĀCIJĀM.

“PERSONAS DATU AIZSARDZĪBAS OBLIGĀTĀS TEHNISKĀS UN ORGANIZATORISKĀS PRASĪBAS” MK NOTEIKUMI NR. 40

MK noteikumi nr. 442 NOSAKA

2001. gada 30. janvārī, saskaņā ar VPDAL 26. panta pirmo daļu tika pieņemti MK noteikumi Nr. 40, kas nosaka personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības. Personas datu obligāto TEHNISKO AIZSARDZĪBU ĪSTENO AR FIZISKIEM UN LOĢISKIEM AIZSARDZĪBAS LĪDZEKĻIEM, NODROŠINOT SEKOJOŠO (MK NOTEIKUMI NR. 40, 2001):

  • aizsardzību, kuru realizē ar programmatūras līdzekļiem, parolēm, šifrēšanu, kriptēšanu un citiem loģiskās aizsardzības līdzekļiem.
  • ka informācijas nesējus, kuros ir personas dati, reģistrē, pārvieto, sakārto, pārveido, nodod, kopē un citādi apstrādā tam pilnvarotas personas;
  • ka personas datu vākšanu, ierakstīšanu, ierakstīto personas datu sakārtošanu, saglabāšanu, kopēšanu, pārrakstīšanu, pārveidošanu, labošanu, dzēšanu, iznīcināšanu, arhivēšanu, rezerves kopēšanu, bloķēšanu veic tam pilnvarotas personas, kā arī nodrošina iespēju noteikt personas datus, kuri bijuši apstrādāti bez attiecīgā pilnvarojuma, kā arī apstrādes laiku un personu, kas to veikusi;
  • nododot personas datus, informācijas saglabāšanu par ( personas datu nodošanas laiku; personu, kas nodevusi personas datus; personu, kas saņēmusi personas datus;  konkrētiem datiem saturu, kas tikuši nodoti)
  • saņemot personas datus, informācijas saglabāšanu par (personas datu saņemšanas laiku; personu, kas nodevusi personas datus; personu, kas saņēmusi personas datus; saņemtajiem personas datiem)

Pārzinis, apstrādājot personas datus, izstrādā iekšējos datu apstrādes aizsardzības noteikumus, kuros nosaka (MK noteikumi nr. 40, 2001):

  • atbildīgās personas, to tiesības un pienākumus;
  • personas datu aizsardzības klasifikāciju;
  • tehniskos resursus;
  • organizatorisko procedūru, aizsardzībai pret ārkārtas apstākļiem (piemēram, ugunsgrēks, plūdi);
  • informācijas nesēju glabāšanas un iznīcināšanas kārtību;
  • paroles garumu un uzbūves nosacījumus (minimālais paroles garums ir astoņi simboli) un pēc kura nomaināma parole.

MK 442 NOTEIKUMI “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju IKT sistēmu atbilstība minimālajām drošības prasībām.”

MK noteikumi nr. 442  NOSAKA:

  • Lietotāju tiesības un konti:
  1. speciālās administratoru piekļuves;
  2. lietotāju kontu sasaista ar fizisku personu;
  • Veidot sistēmas auditācijas pierakstu (sistēmas pieraksti), kas tiek glabāts vismaz 6 mēnešus pēc ieraksta izdarīšanas;
  • Nodrošināt pretvīrusu funkcionalitāti visām iekārtām un atjauninājumus visām programmām.

MK noteikumi nr. 442. nosaka vairākas drošības prasības par PAAUGSTINĀTAS DROŠĪBAS

  1. Tiek nodrošināta sistēmas pierakstu veidošana un uzglabāšana vismaz 18 mēnešus pēc ieraksta izdarīšanas, uzglabājot sistēmas pierakstus vai to kopijas atsevišķi no sistēmas;
  2. Tiek nodrošināta sistēmas pierakstu satura plānveida uzraudzība un analīze, lai konstatētu incidentus;
  3. Tiek nodrošināta plūsma starp sistēmu un tās lietotājiem, kā arī starp sistēmu un citām sistēmām tiek kontrolēta, piemēram, izmantojot ugunsmūri;
  4. Paaugstinātas drošības sistēmām, kas pieejamas, izmantojot publisku datu pārraides tīklu, institūcija nodrošina šo noteikumu 12. punktā minēto sistēmas drošības pārbaudi, vismaz reizi divos gados pasūtot ārēju drošības dokumentācijas auditu un ielaušanās testu veikšanu.

DATU VALSTS INSPEKCIJAS REKOMENDĀCIJAS

Lai palīdzētu sagatavoties pārmaiņām, ko rosina REGULA, kas tiks piemērota, sākot ar 2018. gada 25. maiju, Datu valsts inspekcija ir publicējusi 12 soļus veiksmīgam darbam (12 soļi, 2017):

  • JĀNOSKAIDRO, KĀDA INFORMĀCIJA IR ORGANIZĀCIJAS RĪCĪBĀ – NEPIECIEŠAMS APZINĀT, KĀDI FIZISKO PERSONU DATI IR ORGANIZĀCIJAS RĪCĪBĀ, KĀ TIE TIEK IEGŪTI UN KAM NODOTI. JA NEPIECIEŠAMS, IR JĀVEIC PERSONU DATU APSTRĀDES SISTĒMU AUDITS.
  • Vai organizācija var nodrošināt informācijas sniegšanu DS atbilstoši VDAR prasībām – ir jānodrošina DS tiesības un brīvības ievērošana, apstrādājot personas: Datus; Datu subjekta piekļuve saviem datiem; Personīgo datu labošana un dzēšana; Komerciālo sūtījumu aizliegšana; Automatizētu lēmumu un profilēšanas aizliegšana; Personīgo datu dzēšana;  Personīgo datu pārnešana.
  • Vai organizācija ir gatava nodrošināt VDAR noteikto datu subjektu tiesību ievērošanu? Kā organizācija nodrošini informācijas sniegšanu datu subjektam pēc datu subjekta informācijas pieprasījuma? – Sākot ar 2018. gada 25. maiju, būs īsāks informācijas sniegšanas termiņš, jānodrošina papildu informācijas sniegšana par personas datu apstrādi un glabāšanas periodu, jāveic korekcijas kļūdaini ievadītajos personas datos.
  • Vai organizācija spēs sniegt atbildi uz datu subjekta informācijas pieprasījumu? Kādus personas datus organizācija apstrādā? – Izvērtē personas datu apstrādes mērķi (mērķus) un uzkrātos personas datus. Kāds ir tiesiskais pamats personas datu apstrādei? Izvērtē un dokumentē, jo, balstoties uz tiesisko pamatu personas datu apstrādei, tiks noteiktas datu subjekta tiesības attiecībā uz saviem personiskajiem datiem.
  • Pārliecinies, ka spēsi konstatēt datu aizsardzības pārkāpumus un iekšēji ir skaidra pārkāpumu paziņošanas kārtība! Datu aizsardzības pārkāpumi – esi drošs, ka ir viss nepieciešamais nodrošinājums personas datu aizsardzības pārkāpumu konstatēšanai, izmeklēšanai un novēršanai. Atsevišķos gadījumos būs jāziņo par personas datu aizsardzības pārkāpumiem, piemēram, identitātes zādzību.

DVI SAVĀ MĀJASLAPĀ SNIEDZ METODISKOS NORĀDĪJUMUS – ASTOŅUS LABAS PRAKSES PRINCIPUS FIZISKO PERSONU DATU APSTRĀDĒ.

Ja uz visiem sekojošajiem jautājumiem uzņēmums var atbildēt ar “jā”, tad personas datu apstrāde šajā uzņēmumā ir droša un tiek veikta atbilstoši normatīvo aktu prasībām (Datu valsts inspekcija, 2017):

  • Dati tiek godīgi un likumīgi apstrādāti;
  • Datu apstrāde tiek veikta konkrētiem mērķiem un tikai saskaņā ar tiem;
  • Dati ir adekvāti (ne pārmērīgi);
  • Dati ir precīzi;
  • DATI NETIEK GLABĀTI ILGĀK, NEKĀ NEPIECIEŠAMS;
  • Dati tiek apstrādāti saskaņā ar Jūsu tiesībām;
  • DATI IR DROŠĪBĀ;
  • DATI NETIEK PĀRSŪTĪTI UZ CITĀM organizācijām, iestādēm vai ārvalstīm bez drošas adekvātas aizsardzības.