GDPR izaicinājumi un kā tos pārvarēt - mmu.lv dokumenti/Seminars.GDPR-LIKTA.2018... · GDPR...
Transcript of GDPR izaicinājumi un kā tos pārvarēt - mmu.lv dokumenti/Seminars.GDPR-LIKTA.2018... · GDPR...
Jauni noteikumi – jaunas prasības!
Vispārīgā datu aizsardzības regula (GDPR) nosaka jaunus
noteikumus organizācijām, kuras
piedāvā produktus vai
pakalpojumus ES pilsoņiem, vai,
kuras vāc un analizē ar ES
pilsoņiem saistītus datus
neatkarīgi no organizācijas
atrašanās vietas.
Uzlabotas personas
privātuma tiesības
Paaugstināta atbildība par
datu aizsardzību
Obligāta ziņošana par pārkāpumiem
Ievērojami sodi par
neatbilstību
25.maijāstājas spēkā
Esošais Fizisko personu datu
aizsardzības likums zaudēs spēku
Regula – vienots regulējums visā Eiropā. Tomēr - dalībvalstis
var paredzēt konkrētākus noteikumus noteiktās jomās.
Tātad noteikumi ES valstīs atšķirsies.
Latvijā būs jauns Personas datu apstrādes likums.
Tajā būs regulēti jautājumi par personas datu
aizsardzības speciālista statusu, izņēmumiem
sabiedrības interesēs, soda naudām valsts
amatpersonām, Datu valsts inspekcijas statusu,
videonovērošanu.
Interesants faktsPirmais Regulas ēras
vietējais datu aizsardzības
likums tika pieņemts
Vācijā 05.07.2017.
Kāpēc jaunas prasības?
150miljonu
+21% +300%
Nozagti personu dati
no UK uzņēmumiem
2017
Kopš 2015.gada pieaudzis
izspiedējvīrusu uzbrukumu
skaits no 1000 līdz 4000 dienā!
Datu uzlaušana- publicēti
174 miljoni konfidenciālu
ierakstu
[BBC] [Identity Theft Resources Centre, ASV] [Avots: FBI]
Lietuvas plastiskās ķirurģijas
klīnikas piemērs
Uzlauza
klīnikas datu
sistēmu
Šantažēja
klīniku
Klīnika
noliedza
notikušo
Noziedznieki
publiskoja
daļu datu
Šantažēja
klīniku un
klīnikas klientus
Klīnika
atzina
notikušo
Zaudēta reputācija un klienti,
ierosinātas tiesvedības
Avots: https://www.occrp.org/en/daily/6387-lithuania-cybercriminals-blackmail-plastic-surgery-clinic-with-stolen-photos
Regulas «lielā jēga»
Regulas mērķis - pasargāt privātumu,
uzņēmēja uzdevums - to nodrošināt.
Nekā nedarīšana - sods līdz 4% no
globālā apgrozījuma.
ES atbilde informācijas laikmetā.
Personasprivātums
Kādas ir galvenās izmaiņas?
Pārvaldība un ziņošana
Caurspīdīgi noteikumi
IT un apmācības
Datu apstrādātājam nepieciešams:
Apmācīt darbiniekus;
Auditēt un atjaunot
informācijas aprites
nosacījumus;
Algot datu aizsardzības speciālistu (lielās organizācijās);
Izveidot un pārvaldīt
apstrādātāja līgumus.
Datu pārzinim ir pienākums:
Aizsargāt personas datus ar
atbilstošiem drošības
risinājumiem;
72h laikā pēc pārkāpuma
konstatēšanas ziņot
uzraugošai valsts iestādei;
Saņemt atļauju pirms
personas datu apstrādes;
Definēt datu glabāšanas un
dzēšanas politikas.
Personai ir tiesības:
Piekļūt saviem personas
datiem;
Labot kļūdas savos personas
datos;
Dzēst savus personas datus;
Iebilst savu personas datu
apstrādei;
Eksportēt savus personas
datus.
Datu apstrādātājam obligāti:
Skaidri norādīt datu
vākšanas faktu;
Izskaidrot datu apstrādes
nolūku un scenāriju;
Definēt datu glabāšanas un
dzēšanas nosacījumus.
Ar ko sākt? Identificējiet, kādi personas dati Jums ir, un kur tie atrodas
Atklāt1
Nosakiet, kā personas dati tiek lietoti un kas tiem piekļūst
Saprast un pārvaldīt2
Nosakiet drošības kontroles, lai novērstu, atklātu un atbildētu uz ievainojamībām / pārkāpumiem
Aizsargāt3
Uzturiet dokumentāciju, pārvaldiet
datu pieprasījumus un pārkāpumu
ziņojumus
Reaģēt4
Atklāt: Identificējiet, kādi personas datiJums ir
Tvērumā:
Jebkādi dati, kas palīdz identif icēt personu
Vārds
E-pasta adrese
Ieraksti sociālajos tīklos
Fizioloģiska vai ģenētiska informācija
Medicīniska informācija
Atrašanās vieta
Bankas dati
IP adrese
Ticība
1
Kas atklāj rases vai etnisko piederību
Informācija par politiskajiem uzskatiem,
reliģisko un filozofisko pārliecību vai
dalību arodbiedrībās
Ģenētiskie, biometriskie dati, lai veiktu
fiziskas personas unikālu identifikāciju
Kas ir īpašo
kategoriju
dati?
Informācija par fiziskas personas
dzimumdzīvi vai seksuālo orientāciju
Datu apstrādes tiesiskais
pamats
Uzdevumu veikšana
sabiedrības interesēs
Piekrišana Līguma izpilde
Ar likumu uzlikts
pienākums
Leģitīmās intereses
Piekrišana
ATBILDĪBAPārziņa
atbildība
pierādīt
piekrišanas
faktu
PIEEJAMĪBAInformācija
sniegta
saprotamā
veidā, tā ir viegli
pieejama
NOŠĶIRTĪBAAtsevišķi no
pārējā
teksta
PASNIEGŠANABrīvi sniegta
Atklāt: Identificējiet, kādi personas dati Jumsir un, kur tie atrodas
Tvērumā:
Jebkādi dati, kas
palīdz identif icēt
personu
Vārds
E-pasta adrese
Ieraksti sociālajos tīklos
Fizioloģiska vai ģenētiska informācija
Medicīniska informācija
Atrašanās vieta
Bankas dati
IP adrese
Ticība
1
Uzskaitē:
Identif icējiet, kur
personas dati t iek
uzkrāti un glabāti
E-pasti
Dokumenti
Datu bāzes
Pārnēsājamie datu nesēji
Metadati
Žurnālfail i
Rezerves kopijas
2 Saprast un pārvaldīt: Nosakiet, kā personas dati tiek lietoti un kas tiem piekļūst
Datu pārvaldība:
Nosacījumu, lomu un
atbildību definēšana
personas datu lietošanai
Apstrāde
Tranzīts
Glabāšana
Atjaunošana
Arhivēšana
Saglabāšana
Dzēšana
Datu klasifikācija:
Datu organizēšana un
iezīmēšana to
atbilstošai apstrādei
Datu tipi
Kategorijas
Konteksts, l ietojums
Īpašuma tiesības
Administratori
Lietotāji
Lielāka uzmanība datu
apstrādātājiem! (pašreizējais termins: «operatori»)
Arī apstrādātāji atbilstoši
Regulai var būt atbildīgi
tieši pret datu
subjektiem
Jebkurai personai, kurai
regulas pārkāpuma rezultātā
ir nodarīts kaitējums, ir tiesības
no pārziņa vai apstrādātāja
saņemt kompensāciju
Piemēram, darba attiecību
kontekstā – jāuzmanās arī
tiem uzņēmumiem, kas darba
devējam sniedz dažādus
pakalpojumus
Līgums ar apstrādātāju
Svarīgi līgumā paredzēt
apstrādātāja pienākumu
ziņot par datu aizsardzības
pārkāpumu
Jāpārskata visi
līgumi ar datu
apstrādātājiem
Aizliegts bez pārziņa
atļaujas piesaistīt citu
apstrādātāju
Ja apstrādātājs pārkāpj
regulu, to uzskata par
pārzini attiecībā uz šo
datu apstrādi
Sīki noteikts, kas
iekļaujams
līgumā
3 Aizsargāt: Nosakiet drošības kontroles, lai novērstu, atklātu un atbildētu uz ievainojamībām, kā arī citiem pārkāpumiem
Novērst uzbrukumus
datiem:
Datu aizsardzība
Datu centru f iziskā drošība
Tīkla drošība
Glabātuves drošība
Skaitļošanas drošība
Identitātes pārvaldība
Pieeju kontrole
Šifrēšana
Riska mazināšana
Pārkāpumu noteikšana un
reaģēšana:Iebrukumu uzraudzība
un noteikšana
Sistēmu uzraudzība
Pārkāpuma atpazīšana
Ietekmes aprēķins
Plānota reakcija
Ārkārtas atkopšana
Ziņošana valsts uzraudzības iestādei
Pārziņiem jāspēj nodrošināt un demonstrēt, ka viņu veiktā personas
datu apstrāde atbilst Regulas prasībām – atbilstošu datu apstrādes politiku izstrāde, noteikumi līgumos.
+
Rīcības kodeksi un sertifikācija +
Pārskata atbildība un apstrādes reģistrēšana
+
Katrs pārzinis un apstrādātājs reģistrē tā pakļautībā veiktās apstrādes
darbības (izņemot: mazie uzņēmumi zem 250, bet vajag tomēr, ja apstrāde rada risku vai nav neregulāra, vai apstrādā īpašo kategoriju datus).
Datu valsts inspekcijā personas datu apstrāde jāreģistrē vairs nebūs+
Varbūt vajag personas datu
aizsardzības speciālistu?
Vajag, ja:
Apstrādi veic publiska iestāde vai
struktūra, izņemot tiesas
Regulāra un sistemātiska datu
subjektu novērošana plašā mērogā
Pamatdarbība ietver īpašo kategoriju datu - 9. un 10.
pantā minēto personas datu par sodāmību un pārkāpumiem apstrādi
plašā mērogā
4 Reaģēt: Uzturiet vajadzīgo dokumentāciju, pārvaldiet
datu pieprasījumus un pārkāpumu ziņojumus
Dokumentācija:Organizācijām būs
jādokumentē:
Datu apstrādes iemesls
Personas datu klasifikācijas
Trešo pušu pieejas pie datiem
Organizācijas strukturāl ie un tehniskie
r i sinājumi
Datu glabāšanas laiks
Ziņošanas rīki:
Ziņošanas iespēju
ieviešana:
Mākoņservisu (datu operatoru)
dokumentācija
Audita žurnāl i
Ielaušanās ziņojumi
Datu subjekta pieprasījumu apstrāde
Atbi lstības dokumentācija
Tiesības uz vispārīgu
informāciju par
personas datu apstrādi
Tiesības piekļūt
saviem personas
datiem
Tiesības labot
datus
Tiesības ierobežot
apstrādi (noteiktās
situācijās)
Tiesības iebilst pret
datu apstrādi
(noteiktās situācijās)
Tiesības uz datu
pārnesamību (noteiktās
situācijās)
Tiesības tikt
aizmirstam uz visiem
laikiem
Jebkuram datu subjektam ir šādas tiesības – un pārzinim / apstrādātājam
tās jānodrošina
Novērtējums par ietekmi uz datu aizsardzību
profilēšana, uz kuras pamata tiek pieņemti lēmumipubliski pieejamas zonas uzraudzība plašā mērogāīpašas kategorijas datu vai sodāmības datu apstrāde
Papildus uzraudzības iestāde izstrādā sarakstu ar darbību veidiem, kuriem jāveic novērtējums
Tas ir process ar mērķi aprakstīt apstrādes darbības, novērtēt apstrādes nepieciešamību un samērīgumu un palīdzēt pārvaldīt riskus datu subjektu tiesībām un brīvībām, tos novērtējot un nosakot līdzekļus, kā tos novērst
Obligāti jāveic, ja notiek (bet uzskaitījums nav izsmeļošs):
Jābūt gatavam paziņot par personas
datu aizsardzības pārkāpumiem
Pārkāpums
Regula: «personas datu
aizsardzības pārkāpums» i r
drošības pārkāpums, kura
rezultātā notiek nejauša vai
nel ikumīga nosūtīto, uzglabāto vai
citādi apstrādāto personas datu
iznīcināšana, nozaudēšana,
pārveidošana, neatļauta
izpaušana vai piekļuve tiem
Ziņošanas
Regulas 33.panta 1.punkts:
personas datu aizsardzības
pārkāpuma gadījumā pārzinis bez
nepamatotas kavēšanās un, ja
iespējams, ne vēlāk kā 72 stundu
laikā no brīža, kad pārkāpums tam
kļuvis z ināms, paziņo par personas
datu aizsardzības pārkāpumu
uzraudzības iestādei
Ar ko sākt? Identificējiet, kādi personas dati Jums ir un, kur tie atrodas
Atklāt1
Nosakiet, kā personas dati tiek lietoti un kas tiem piekļūst
Saprast un pārvaldīt2
Nosakiet drošības kontroles, lai novērstu, atklātu un atbildētu uz ievainojamībām / pārkāpumiem
Aizsargāt3
Uzturiet dokumentāciju, pārvaldiet
datu pieprasījumus un pārkāpumu
ziņojumus
Reaģēt4
Lai palīdzētu sagatavoties pārmaiņām,
Datu valsts inspekcija publicējusi
12 soļus veiksmīgam
darbam http://www.dvi.gov.lv/lv/zinas/12-soli-veiksmigam-
darbam/