2020.gada rasols

Dec 28 / Agnese Boboviča
Ikdienas darbā nereti nepamet sajūta, ka ir cīņa ar vējdzirnavām, un jā, nolaižās rokas, kad saproti, ka ir jāizdara tiiik daudz un darba apjomam neredzi ne galu ne malas un katra mazā neizdarītā lieta var būt klupšanas akmens, lai visi pārējie izdarītie darbi būtu tikai nenozīmīgs fons problēmu gadījumā, bet tad, tajā paša darbā, saproti, ka “nav vērc, jo tāpat nenovērtēs”, jo ar retiem izņēmumiem, bet vēl joprojām valda viedoklis, ka datu aizsardzība “dzīvo” uz citas planētas un organizācijas ikdienas procesos neiesaistās ( “aizlaidīsim” projektu un tad palūgsim, lai “sataisa” papīrus, lai mums ar GDPR viss kārtībā). Respektīvi, 2020.gada sajūtas laikam var atsaukties uz nabaga Emīlu, kurš visiem zināmā filmā reiz teica: Kad man nav naudas, tad es nevaru dzert [limonādi ;)], kad man ir nauda, tad es nedrīkstu, kad tad lai es dzeru [un atkal - limonādi]? Jeb pārfrāzējot un mēģinot raksturot šo gadu ar atskatu uz GDPR notikumiem - kad nav darbā izaicinājumi - slikti, kad ir darbā izaicinājumi, bet “nedrīkst”, tad atkal ir slikti - jo “nepadarītā” darba sajūta paliek. Ar nepadarīto darbu šoreiz es vairāk domāju situāciju, kad, lai varētu nodrošināt, ka viss ir pēc GDPR fen šui, būtu jāsaliek vēl daudz punkti uz “i”, bet pēc tā nav pieprasījums un vēlme "iespringt". Kā rezultātā, jā - korekta Vispārīgās datu aizsardzības regulas izpilde vēl joprojām nav prioritāte, jo “papīrs paciešs visu”, izņemot tiem dažiem, kuriem ir bijuši (bieži vien turpinās) strīdi ar datu subjektiem vai kurus ir apciemojuši hakeri un piekļuvuši interneta vietnēm, serveriem. Diemžēl atskatoties uz aizejošo gadu, kad mūsu digitālā dzīve ieguva pavisam citus apjomus, vārds “piekļuvuši” ir viskorektākais, ko tagad varētu lietot, jo atsevišķos gadījumos teikt, ka hakeriem bija kaut kas “jālauž”, ir pārāk skaļi teikts…… un jā, tas ir tas mirklis, kad papīrs (tā neesamība, formalā attieksme pret to) vairs nepacieš visu.
Un tie ir tie brīži, kas nāk ne saukti, ne aicināti…
 Vai šis gads bija ar kaut ko īpašs personas datu aizsardzības nozarē?
Noteikti nē - tikai vienkārša tiesību evolūcija, ko iezīmēja 1995. gada Direktīva , Datu regulas pieņemšana 2016.gadā un piemērošanas uzsākšana 2018.gadā.
 Vai šis gads bija garlaicīgs, stagnējošs personas datu aizsardzībā?
Nē! Nē! Nē!
Šis gads bija/ir pārbagāts ar jauniem tiesas spriedumiem, jauniem atzinumiem, jauniem problēmjautājumiem, tehnoloģijām, kas ietekmē mūsu ikdienu un ir veikušas lēcienus, ne tikai gājušas maziem solīšiem, kur, šķiet, atsevišķos gadījumos juridiski administratīvo regulējumu, kas reglamentē personas datu aizsardzības aspektus tikai retais spēj piemērot…… un nē, tas nebija domāts augstprātīgi, jo ir ļoti daudz situācijas, kad arī man ir jāsamierinās ar kompromisa izpildījumu, kas pašai nepatīk, bet saproti, ka neko labāku tieši šajā situācijā nevar. Kā piemēru var minēt tradicionālo situāciju, kad pārstāvot “mazu” klientu ir jārunā ar pakalpojumu sniedzēju (terminoloģijā runājot - apstrādātāju), kurš ir liels, varens un katrs mazais līgumiņš nemaz nav nepieciešams, bet kuri ir izstrādājuši savus standarta līgumus, kura saturs ir ļoti līdzīgs Datu regulas 28.pantā iekļautajām deklaratīvajām frāzēm. Man nekas nav pret “standarta līgumiem”, jo saprotu arī apstrādātāja problēmjautājumu loku, ka nav iespējams lekt kā nu katrs sadarbības partneris iedomājas, bet tad, manuprāt, šiem “standarta līgumiem” tiešām ir jāatbilst Datu regulas nosacījumiem, nevis tikai jābūt iekopētam Datu regulas 28.pantam, kas papildināti ar mārketinga saukļiem: “GDPR atbilstošs!”. 
Novembra sākumā Eiropas Komisija nodeva publiskai apspriešanai izstrādāto līguma projektu, kur Komisija ir uzlikusi uz papīra savu redzējumu kā būtu jāizskatās šiem pārziņa - apstrādātāju līgumiem. Jāsaka uzreiz, ka praksē tādas kvalitātes līgumus es laikam īsti neesmu redzējusi, bet, kad esmu mēģinājusi “izspiest” no pakalpojuma sniedzējiem kādu konkrētību par standartiem, kas ieviesti (biežāk runājot par tehnoloģiskajiem un organizatoriskajiem), ne tikai deklaratīvas frāzes, tad izrādās, ka …. jā, drošāk ir palikt pie deklaratīvās frāzes, kas saka, ka “mēs nodrošināsim atbilstošus tehnoloģiskos un organizatoriskos pasākumus, lai dati būtu drošībā”, jo atbildes ne vienmēr ir tādas, kuras ir akceptējamas 21.gs., kad mēs dzīvojam digitālajā vidē un mums ir jārunā ne tikai par kādas sistēmas/ pakalpojuma funkcionalitāti, bet arī par drošības risinājumiem.
Eiropas Komisijas ieskatā pušu līguma attiecībās, runājot par “atbilstošiem tehniskiem un organizatoriskiem pasākumiem” būtu jāatspoguļo informācija, kas veido pat veselu sarakstu, protams, ņemot vērā datu apstrādes būtību, apjomu, kontekstu un apstrādes mērķi un tā ietekmi uz datu subjekta tiesībām un brīvībām:
  • jāapraksta elementi, kas ir būtiski, lai nodrošinātu atbilstošu drošības līmeni;
  • jāapraksta personas datu pseidonimizācijas un šifrēšanas prasības;
  • jāapraksta prasības, kas tiek nodrošinātas, lai attiecībā uz personas datiem tiktu nodrošināta konfidencialitāte, integritāte un pieejamība, kā arī sniegtā pakalpojuma noturība; [Te gan uzreiz jāpiemetina, ka ļoti bieži ir diskusijas tieši par šo, jo pakalpojuma sniedzējam ir "standarta" frāze - mēs neko negarantējam.]
  • jāapraksta prasības par ieviesto tehnisko un organizatorisko pasākumu efektivitātes testēšanu, lai pārliecinātos, ka esošie ieviestie pasākumi ir atbilstoši;
  • jāapraksta prasības lietotāju identifikācijai un verifikācijai;
  • jāapraksta prasības personas datu aizsardzībai pārsūtot datus;
  • jāapraksta personas datu aizsardzības prasības, tos glabājos;
  • jāapraksta vietas, kur tiek apstrādāti personas dati, fiziskās drošības prasības;
  • jāapraksta prasības sistēmpierakstu veidošanai;
  • jāapraksta prasības sistēmu konfigurācijai, tajā skaitā, pamata konfigurācijai;
  • jāapraksta prasības iekšējai IT drošības pārvaldībai;
  • jāapraksta prasības produkta/procesu sertifikācijai, ja tāda ir;
  • jāapraksta personas datu minimalizācijas prasības;
  • jāapraksta personas datu kvalitātes (pareizības) prasības;
  • jāapraksta personas datu saglabāšanas prasības;
  • jāapraksta atbildības kritēriji;
  • jāapraksta personas datu pārnesamības un dzēšanas prasības.

Protams, ejot cauri augstākminētajam sarakstam arī var izlīdzēties ar deklaratīvām frāzēm, bet kaut kā ir pamatotas aizdomas, ka tāds gluži nebija likumdevēja redzējums kā būtu izpildāms Datu regulas 28.pants.
 Vienlaicīgi, publiskajai apspriešanai Eiropas komisija nodeva arī Standartklauzulu līguma projektu, lai izpildītu Datu regulas prasības par personas datu pārsūtīšanu uz trešajām valstīm. Laikam jāpaskaidro, ka viens no būtiskākajiem Eiropas Savienības tiesas spriedumiem bija tieši par datu pārsūtīšanu uz ASV un par to, vai ASV pusē tiek nodrošinātas garantijas datu subjektiem, kā tas ir Eiropas Savienībā. Šajā tiesas spriedumā Tiesa lēma, ka Privātuma vairoga sertifikācijas mehānisms personas datu pārsūtīšanai uz ASV nav spēkā esošs un visas organizācijas, kas to izmantoja, to vairs nebija tiesīgas darīt. Tāpat, šajā tiesas spriedumā Tiesa lēma, ka esošais standartklauzulu līgums(-i) , kuram (-iem) būtu jāgarantē datu subjekta tiesību un brīvību ievērošanu, nedrīkst būt tikai formalitāte, bet tam ir jāatspoguļo tiešām garantijas, ko, konkrēti, ASV puses organizācijas var uzņemties. Lai arī Tiesa standartklauzulu līgumu atstāja spēkā un organizācijas to drīkst arī turpmāk izmantot, tā uzlika daudz augstākus standartus attieksmei pret šāda veida līgumiem un faktiski norādīja uz vienkāršu loģiku - nav akceptējama situācija, ka tiek parakstīts līgums, kurā puse uzņemas saistības, kur skaidri redzams, ka tā tās nevar izpildīt dēļ nacionālajiem normatīvajiem aktiem.  
Vēl viens interesants fakts šī Tiesas lēmuma sakarā - lēmums tika pieņemts 2020.gada 16.jūlijā jeb vasaras vidū, kad izveidojās nosacīts vakuums personas datu pārsūtīšanai uz ASV. Neskatoties uz to, nesekoja aktīva rīcība, kā tas varbūt varētu šķist, jo pat uzraudzības iestādes ieņēma nogaidošu pozīciju - mēs vērtēsim, skatīsimies, analizēsim…. attiecīgi arī bizness nesteidza pārskatīt savus esošos procesus, kas savukārt, “nepatika” šī Tiesas lēmuma iniciatoram Maximillianam Šremam, kurš augustā, koordinējot no nevalstiskās organizācijas NOYB, sagatavoja 101 sūdzību par dažādām organizācijām Eiropas Savienībā, kas izmantoja Google analytics sīkdatnes un Facebook pixeļus. Āķis ir tur, ka izmantojot šo organizāciju pakalpojumus, dati tiek pārsūtīti uz ASV, kas, kā norādīts iepriekš, pirmšķietami, notiek neievērojot Datu regulas prasības. Latvijā nepaveicās tvnet.lv un e-klase.lv par kuriem tika sagatavotas sūdzības, kur e-klase.lv ļoti ātri atrisināja problēmu - no viņu mājas lapas ir pazudušas Google analytics sīkdatnes….. ;)
Jāsaka, ka sīkdatņu problēmjautājums ne tikai dēļ personas datu nodošanas uz trešo valsti pavadīja visu gadu, jo šeit jau no paša sākuma ir skaidrs, ka bez atbilstoša tehniska risinājuma, “papīri” neko nedos. Ir jābūt abilstošiem tehniskiem risinājumiem, kas spēj pamatatot “papīros” sarakstīto. Jā, lai arī ar katru dienu tehniskie risinājumi paliek labāki, savu ideālo risinājumu jeb GDPR atbilstošāko vēl neesmu atradusi, kur būtu iespējams realizēt tos standartus, kas, cita starpā, izriet no cita EST lēmuma, proti, Planet 49, kas tika pieņemts jau 2019.gada nogalē. Manuprāt, te lūk vēl ir vieta kādam Start-upam ņemt grožus savās rokās, jo pat lielu un populāru organizāciju piedāvātie risinājumi ir …. kā lai labāk pasaka - kompromisa varianti.
Īstenībā, Planet 49 lēmums ir atzīmēšanas vērts, jo, lai arī pamata problēmjautājums bija, it kā, triviāls - vai par atbilstoši sniegtu piekrišanu var uzskatīt jau ieliktu ķeksīti par to, ka atļauj iemitināt sīkdatnes, tad izrietoši, interpretējot prasības piekrišanas došanai, kopsakarā ar Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), redakcijā ar grozījumiem, kas izdarīti ar Eiropas Parlamenta un Padomes Direktīvu 2009/136/EK (2009. gada 25. novembris), Tiesa vērsa uzmanību, ka neatkarīgi no tā vai kāds grib izlikties, ka sīkdatņu gadījumā, tā it kā nav personas datu apstrāde, tad tik un tā ir jāievēro Datu regulā norādītie standarti, kas ir norādīti “piekrišanas” iegūšanai, tas ir, cita starpā ir jāiekļauj informācija par glabāšanas termiņu un.tml. Un jā, arī mūsu Informācijas sabiedrības pakalpojuma likums nosaka, ka Informācijas uzglabāšana abonenta vai lietotāja galiekārtā vai piekļuves iegūšana galiekārtā uzglabātajai informācijai ir atļauta, ja attiecīgais abonents vai lietotājs ir devis savu piekrišanu pēc tam, kad saņēmis skaidru un visaptverošu informāciju par iepriekšminētās apstrādes mērķi saskaņā ar personas datu aizsardzību regulējošo normatīvo aktu prasībām.
Kas interesanti, gan Padomes Direktīva, gan ISPL, gan Planet 49 Tiesas lēmums runā par vienu vienīgo iespējamo izmantojamo tiesisko pamatu personas datu apstrādei - piekrišanu, kas savukārt raisa retorisku jautājumu - kā tas nākas, ka aizvien vairāk parādās sīkdatņu risinājumi, kur 99% datu apstrādes tiek pamatotas ar leģitīmajām interesēm, kas paredz nevis opt-in, bet gan opt-out? Šķiet, ka atbilde būs meklējama vēl nākamajā (-os) gadā (-os), kad tiks pieņemta saucamā E-privātuma regula, bet nedaudz sekojot līdzi versijām, kas parādās saskaņošanas procesā, izskatās, ka uz vieglāku dzīvi (izmantot leģitīmo interesi) varam necerēt, jo bez “piekrišanas” prasīšanas varēs iztikt tikai ļoti retos gadījumos.
Turpinot par tuvāko nākotni - nākamais gads (gadi) izskatās tik pat dinamski, kā bija šis gads, jo ir gaidāmi daudzi interesanti Eiropas savienības tiesas nolēmumi, tajā skaitā, vajadzētu būt atbildei uz jautājumiem, kas uzdoti no Latvijas, piemēram, par pārkāpuma uzskaites punktiem ceļu satiksmē un vai to apstrāde ir pretrunā Datu regulas 10.pantam, kur ģenerāladvokāts jau ir devis savu redzējumu, vai arī, jautājumi, kas tika uzdoti saistībā ar strīdu starp Valsts ieņēmumu dienestu un ss.lv un Valsts ieņēmumu dienesta vēlmi faktiski iegūt ss.lv klientu datu bāzi. Tāpat, domāju, ka izaicinājumi, mēģinot “salauzt” izpratni par personas datu aizsardzību, pietiks ne vienam vien gadam.
Lai Jums izdevies nākamais gads!