Personas datu aizsardzības pārkāpumi: Pasaules gals vai noderīga mācība?

10.11.2021 Personas datu aizsardzības pārkāpumi: Pasaules gals vai noderīga mācība?

Pagājušā gada pirmajā pusē ziņu portālos tika atspoguļotas liela apjoma datu noplūdes namu apsaimniekošanas un kopbraukšanas pakalpojumu sniedzēju uzņēmumos, kurās cieta Latvijas un Lietuvas iedzīvotāji. Abos gadījumos trešās personas, nelikumīgi piekļūstot uzņēmumu informācijas tehnoloģiju sistēmām, šifrēja datus, pieprasot izpirkuma maksu par atšifrēšanu. Abi minētie incidenti ir personas datu aizsardzības pārkāpumi, par kuriem uzņēmumi ziņoja uzraudzības iestādēm. Taču ne vienmēr personas datu aizsardzības pārkāpums nozīmē ziņošanu atbildīgajām iestādēm vai datu noplūdi. Šajā rakstā aplūkosim, kādi drošības pasākumi jāievēro, lai neļautu trešajām personām iespēju apdraudēt personas datu drošību, kāpēc jāziņo par personas datu aizsardzības pārkāpumiem un kādi tie mēdz būt.

Vai vēlā vakara ziņa lietotnē tiešām ir no kolēģa?

Visbiežāk ļaundaru piekļuves mēģinājumi sākas ar tā saucamo pikšķerēšanu. Tās gaitā noziedznieki ar viltu iegūst darbinieku piekļuves datus un izmanto tos, lai piekļūtu uzņēmuma apstrādātajiem personas datiem. Ja kādreiz pikšķerēšanas mēģinājumus viegli varēja atpazīt pēc daudzajām gramatikas kļūdām, oficiālās uzrunas, neticamiem solījumiem, pēdējā laikā uzbrucēji pielieto aizvien radošākas metodes, lai sasniegtu savu mērķi.

Piemēram, kāda uzņēmuma darbinieks piektdienas vakarā saņēma ziņu no kolēģa saziņas lietotnē. Šajā uzņēmumā kolēģi ierasti izmantoja savstarpējai saziņai krievu valodu, tādēļ darbinieks nesaskatīja neko aizdomīgu ziņā «Привет, посмотри пожалуйста, клиент отправил» ar pievienotu failu «doc_stats_157.rar» un mēģināja to atvērt. Taču kolēģa konts saziņas lietotnē bija uzlauzts un pievienotais fails saturēja ļaunatūru, trešās personas ieguva piekļuvi darbinieka darbstacijai un šifrēja uzņēmuma apstrādātos personas datus. Šajā gadījumā uzbrukumu varēja novērst, apsverot, kādēļ kolēģis pēkšņi sūta ziņu lietotnē, kurā iepriekš saziņa abu starpā nebija notikusi, un sazinoties ar kolēģi citā lietotnē, ar īsziņu, vai piezvanot, lai noskaidrotu, vai tiešām kolēģis sūtījis šo ziņu.

Turklāt ir zināmi gadījumi, kad noziedznieki izmantojuši speciālas datorprogrammas, kas spēj atdarināt personas balsi, lai pieprasītu uzņēmuma grāmatvedei veikt steidzamu pārskaitījumu, izliekoties par uzņēmuma vadītāju.

Tomēr visbiežāk pikšķerēšanā tiek izmantoti tieši e-pasti, tādēļ, ja e-pastā iekrīt kāds neierasts, uzņēmuma parastajiem procesiem neatbilstošs, ļoti steidzams vai citādi savāds pieprasījums, vienmēr rūpīgi pārbaudi nosūtītāja e-pasta adresi. Bieži vien noziedznieki cenšas izmantot līdzīgas e-pasta adreses un pat reģistrē domēnvārdus, kas ir līdzīgi mērķa uzņēmuma domēnvārdam.

Parole ir tava atslēga, vai tā ir droša?

Lai pasargātu māju no nevēlamiem viesiem, ārdurvis aprīkojam ar atslēgu un slēdzeni, kas maksimāli ilgu laiku var aizkavēt noziedzniekus, neļaujot tiem iekļūt mūsmājās, turklāt atslēgai ir svarīgi, lai to nevarētu viegli nokopēt nozaudēšanas gadījumā. Tava parole ir atslēga, un tai ir jābūt drošai.

Pārbaudi, vai tava parole atbilst piecām drošas paroles pazīmēm!

  1. Parolei jābūt unikālām. Neizmanto vienu un to pašu paroli, lai datu noplūdes gadījumā tavu paroli nevarētu izmantot, lai piekļūtu tavam lietotāja kontam citviet.

Piemēram, parole “VissirtiesitakaTuvelies7dienasnedela!” ir vidēji droša, taču, ja izmanto to gan internetveikalā, gan personīgā e-pasta kontam, gan darba datoram, tad pastāv iespēja, ka notiekot datu noplūdei no internetveikala vai e-pasta pakalpojuma sniedzēja, noziedznieki var paroli, kas iegūta šajās vietnēs, izmantot, lai piekļūtu darbavietas informācijai.

  1. Paroli nedrīkst pierakstīt un novietot citām personām pieejamās vietās, piemēram, uz līmlapām pie monitora vai uz darba galda.
  2. Nekad neizpaud nevienam savu paroli.
  3. Izmanto garas un sarežģītas paroles. Vari izmantot frāzes, piemēram: “VissirtiesitakaTuvelies7dienasnedela!
  4. Izmanto paroļu pārvaldības lietotnes.

Paroļu pārvaldības lietotnes ir vislabākais veids, kā tikt vaļā no stresa, ko rada nepieciešamība atcerēties daudzas paroles. Labas paroļu pārvaldības lietotnes glabā tavas paroles šifrētā veidā. Paroļu pārvaldības lietotne LastPass 2015. gadā cieta kiberuzbrukumā, taču uzbrucēji, lai gan pamanījās nozagt lietotāju e-pastus, netika pie paroļu datiem, un pat ja tiktu, tie nespētu atšifrēt paroles.

Paroļu pārvaldības lietotņu priekšrocības ir ne tikai iespēja mazināt paroļu stresu, bet arī laika ietaupījums, jo daudzas lietotnes piedāvā automātiski aizpildīt reģistrācijas datus un ģenerēt drošas paroles, kā arī brīdināt, ja parole ir tikusi nopludināta kādā datu incidentā, kurā iegūtos datus noziedznieki publiskojuši.

Kas ir personas datu aizsardzības pārkāpums

Personas datu aizsardzības pārkāpumi ir ne tikai skaļas datu noplūdes. Gadījumā, ja personas dati, arī nelielā apjomā, ir nejauši vai nelikumīgi iznīcināti, nozaudēti, pārveidoti, neatļauti izpausti, vai tiem piekļuva neautorizētas personas, ir pamats vērtēt notikušo kā datu aizsardzības pārkāpumu. Piemēram, USB atmiņas vai mobilā tālruņa nozaudēšana, e-pasta nosūtīšana neparedzētam adresātam, nejauša failu dzēšana ir potenciāli personas datu pārkāpumi.

Par personas datu aizsardzības pārkāpumiem nebūs uzskatāmi incidenti, kuros nav skarti personas dati, piemēram, uzņēmuma tehniskās vai komerciālās informācijas noplūde vai iznīcināšana, ja informācija neietver personas datus.

Kāpēc par personas datu pārkāpumiem ir jāziņo

Pirmkārt, tādēļ, ka šādu pienākumu jebkuram uzņēmumam paredz Vispārīgā datu aizsardzības regula (VDAR). Otrkārt, apzinot un izvērtējot pārkāpumus, var gūt vērtīgu pieredzi un saprast, kādi procesi ir jāuzlabo, lai turpmāk nepieļautu līdzīgus pārkāpumus.

Latvijā, salīdzinot ar Lietuvu un Igauniju, arī ņemot vērā aktīvu uzņēmumu skaitu, tiek iesniegts krietni mazāks paziņojumu skaits par personas datu pārkāpumiem (Latvijā 113, Lietuvā 181, Igaunijā 138). Visticamāk, uzņēmumi Latvijā nepietiekami ziņo par pārkāpumiem, un iespējamais iemesls ir zināšanu un pārliecības trūkums par pienākumu ziņot, kā arī bailes no sankcijām. Tomēr tieši attiecībā uz ziņojumiem par datu pārkāpumiem Datu valsts inspekcija nereti pieņem iesniegumus zināšanai, nepiemērojot sodu. Savukārt, neziņojot par pārkāpumu, uzņēmums uzņemas risku, ka tiks sodīts tieši par neziņošanu.

Sods par ziņošanas pienākuma neizpildi ir līdz 10 miljoniem EUR vai līdz 2% no uzņēmumu grupas gada apgrozījuma. Darbiniekam, kurš konstatējis pārkāpumu, par to jāpaziņo nekavējoties, lai gadījumā, ja jāiesniedz ziņojums Datu valsts inspekcijai, pagūtu to paveikt 72 stundu laikā no brīža, kad tas ir kļuvis zināms.

Vai apstrādātājs ziņos par pārkāpumu?

Bieži uzņēmumi uztic datu apstrādi personas datu apstrādātājiem – pakalpojumu sniedzējiem (piegādātājiem). Personas datu apstrādātāja uzdevumu izpilde ir tipiska zvanu centru, algu aprēķinu, datu centru, mākoņdatošanas pakalpojumu sniegšanas jomā. Ar apstrādātāju obligāti ir jānoslēdz rakstveida datu apstrādes līgums. Līgumā atbilstoši VDAR 28. panta trešajai daļai jāparedz, ka apstrādātājam ir jāziņo par datu aizsardzības pārkāpumu pārzinim, kas savukārt pieņems lēmumu par to, vai ziņot Datu valsts inspekcijai.

Aktualitātes Datu valsts inspekcijas darbā

Lai gan Latvijas Datu valsts inspekcija joprojām ievēro principu “konsultē vispirms”, nesen tā ir noteikusi ievērojamas soda naudas saskaņā ar VDAR. Par personas datu apstrādi ilgāk, nekā atļauts saskaņā ar spēkā esošajiem likumiem maksātnespējas jomā piemērots naudas sods EUR 65 000 apmērā. Par nelikumīgu darbinieka COVID-19 pozitīvā stāvokļa atklāšanu citiem darbiniekiem tika uzlikts naudas sods EUR 6000 apmērā. Par komerciālu paziņojumu nosūtīšanu datu subjektam neraugoties uz atsauktu piekrišanu, neatbilstošu sīkdatņu izmantošanu un privātuma politikas skaidrības trūkumu pērn tika piemērots naudas sods EUR 15 000 apmērā. Par neatbilstošu personu apliecinošu dokumentu datu apstrādi kādam uzņēmumam pagājušajā gadā piemērots naudas sods EUR 100 000 apmērā.