Ar atskatu uz 2018.gadu, kad GDPR bija visur...
Pieņemts, ka noslēdzot kalendāro gadu ir jāatskatās uz bijušo gadu un jāizvirza jaunas apņemšanās ( cik no Jums jau sporto vai tas ir ieplānots ar nākamo pirmdienu?).
Lai vai kā, ja pakļaujas šim standartam, tad, protams, 2018.gads bija GDPR gads jeb Vispārīgās datu aizsardzības regulas gads. Ne par velti pat Jānis Skutelis savā svētku pusnakts šovā atskatoties uz 2018.gada notikumiem pieminēja arī “GDPRRR”… Tātad Regula bija visur un visiem bija par to viedoklis. Jāatzīst, ka vairāk gan negatīvs, bet tur laikam jāsaka lielais “paldies” mārketingam, kas ļoti centās ietirgot dažādus brīnumlīdzekļus - gan tehnoloģiskos (iegādājaties šo risinājumu un Jums viss būs kārtībā ar Regulu!) vai juridiskos (uztaisīsim auditu, iedosim “mapīti” un Jums viss būs kārtībā ar Regulu!), stāstot, ka līdz ar Regulu vairs nedrīkstēs pat krogā esot vārdu un telefona numuru paprasīt….. Man kā datu aizsardzības speciālistam, kas jau vismaz desmit gadus interesējās par datu aizsardzības jautājumiem, palīdzot sakārtot organizācijās šos jautājumus, visi šie saukļi izraisīja nelielu smīnu…bija sajūta, ka vajadzētu pienākt ļoti ātri tam brīdim, kad organizācijas sapratīs, ka tikai brīnumlīdzeklis, tas ir, kāds no tehnoloģiskajiem risinājumiem vai tā mapīte ar instrukcijām nenodrošina neko, ja organizācijā nav mainījusies kultūra un nav vēlme sekot savām “apstiprinātajām” procedūrām. Piemēram, pilsētā runā, ka vienai iestādei, kurai vēsturiski pirms visa šī GDPR buma bija drošības incidents, tehnoloģiskie risinājumi jau bija iegādāti, bet tie nebija īsti ieslēgti un saslēgti….
Patiesībā šīs pārdomas uzlikt uz papīra mani pamudināja kolēģis - datu aizsardzības speciālists, kurš gada nogalē informēja par vienas pašvaldības izsludināto iepirkumu. Varētu domāt, ka katrs speciālists tagad strādā un audzē savu klientu loku un paši aktīvi piedalās dažādos iepirkumos un cenu aptaujās. Bet te, vērš uzmanību - ja nu interesē, pašvaldība x meklē DPO.
Nu tad, kafiju dzerot, atvēru nosacījumus arī es un, tālu netiku, jo jau 2.2.1.punkts izraisīja smīnu un sajūtu, ka atkal organizācijā neviens īsti nesaprot ( tāda sajūta ir bijusi jau iepriekš ar citiem iepirkumiem un to prasībām), ko dara un kādi ir datu aizsardzības speciālista pienākumi. Protams, protams, pasūtītājs var iekļaut papildus nosacījumus, ko tas vēlas, lai speciālists dara, bet jebkurā gadījumā atceroties, ka citi pienākumi nedrīkst radīt interešu konfliktu saskaņā ar Regulu.
Tātad 2.2.1.punkts: “personas datu apstrādes atbilstības izvērtējums un neatbilstību novēršana - 4 mēneši no līguma noslēgšanas dienas”
Ja, pirmšķietami, pirmā teikuma daļa neizraisa pārdomas, tad otrā daļa raisa jautājumu - kurš kamikadze ir gatavs 4 mēnešos novērst neatbilstības!!!!??? Balstoties uz pieredzi, nereti ir situācijas, ka, lai novērstu neatbilstības, organizācijai ne tikai vajag “mapīti”, bet arī pārslēgt sadarbības līgumus ar sadarbības partneriem (piemēram, pārziņu - apstrādātāju līgumi), kur otra līgumslēdzējpuse varbūt nemaz nav tik ieinteresēta kaut ko tādu darīt vai arī papildus ir jāievieš kāds no tehnoloģiskajiem risinājumiem, jāpārveido organizatoriskie procesi, procesu saskaņošana ar iesaistītajām personā, jānoorganizē atbildīgo personu lēmumu (jāieliek darba kārtībās), u.tml. Respektīvi, jāizveido vesels pasākumu kopums ( ..un jāievieš, jānotestē vai “tas strādā”), lai kāda (nevis visas) no neatbilstībām tiktu novērsta. Nereti tas viss aizņem gadus. Bet te - iepirkums, saskaņā ar kura nosacījumiem tas viss jāizdara 4 mēnešu laikā!
Ok, lasam tālāk, kur, protams, papildus vēl ir iekļauta prasība, ka datu aizsardzības speciālista pakalpojumi jānodrošina 12 mēneši no līguma noslēgšanas dienas un maksimālā līgumcena par visu paredzēta ne vairāk kā 12 000 EUR. Tātad matemātiski rēķinot 1000.00 EUR mēnesī. Papētīju pašvaldību darbinieku atalgojumu sarakstus (eh, šī datu aizsardzība), kur datu aizsardzības speciālisti ir nozīmēti un sanāca, ka tomēr aptuveni 1000 EUR “uz rokas” ir, bet te - 1000,- EUR un ja vēl jāsamaksā speciālistam “algas nodokļi” no šiem 1000,- EUR, tad nekas daudz tur nesanāk. Protams, var teikt, ka tur speciālists strādā visu laiku, bet šis taču ir tikai viens no “projektiem”.
Var jau būt, ka šis arī ir tas gadījums, kad var visu izdarīt un vēl strādāt pie citiem projektiem.
Labi, lasam tālāk un tiekam līdz Tehniskajai specifikācijai. Tehniskā specifikācija kā jau Tehniskā specifikācija. Sadalīta vairākās daļās ar uzdevumiem un nodevumiem, neaizmirstot pateikt, ka iepirkumā ietilpst 33 struktūras (policija, bibliotēka, skola, bāriņtiesa, sociālais dienests….) par kurām speciālistam būs jāuztraucas veselu gadu. Pirmajā daļā, kur pienākumi veicami divu (!!!) mēnešu laikā, apstājos pie uzdevuma -“ietekmes novērtējuma veikšana”. Kur atkal rodas daudz jautājumu - visam? Tad, kas ir viss? Tikai tās datu apstrādes, kuras Datu valsts inspekcija ir norādījusi savā 2018.gada 18.decembra Rīkojumā Nr.1-2.1/125 “Apstrādes darbību veidi, attiecībā uz kuriem ir jāveic datu aizsardzības ietekmes novērtējums saskaņā ar VDAR 35.panta 4.punktu” vai visām datu apstrādēm balstoties uz 29.panta datu aizsardzības darba grupas (kolēģijas) vadlīnijām, kur pārredzamības ietvaros ir “rekomendēts” veikt novērtējumu tiešām visām datu apstrādēm, lai “pierādītu”, ka veiktajās datu apstrādēs nav iespējami augsti riski datu subjektu tiesībām un brīvībām.
Regula nosaka, ka novērtējums par ietekmi veicams “…Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību. Vienā novērtējumā var pievērsties tādu līdzīgu apstrādes darbību kopumam, kurām piemīt līdzīgi augsti riski [Regulas 35.1.pants]
Vai pansionāta klientu datu apstrādes darbību kopums būtu vienādi vērtējams kā bibliotēkas apstrādes darbības un tad to visu varam likt vienā novērtējumā. Kaut kā šķiet tomēr, ka nē, kas, savukārt, rezultējas, ka novērtējumi būs vairāki jātaisa. Protams, var nosaukt par vienu novērtējumu ar daudzām nodaļām, ko veido atsevišķi mazi novērtējumi.
Bet turpinot, jau nākamjā punktā ir noteikts, ka jāveic: “…dokumentēts Pasūtītāja veiktās fizisko personas datu apstrādes atbilstības izvērtējums katrai 1.tabulā norādītai iestādei – …” Ok, tas, ka ir 33 iestādes tā kā bija norādīts, bet jautājums - Ar ko atšķiras “ietekmes novērtējums” no “dokumentēta Pasūtītāja veiktās fizisko personu datu apstrādes atbilstības izvērtējuma”? Nosaukumi tikai dažādi vai arī saturā Pasūtītājs redz atšķirību, ja ir atšķirība, tad kāda? Varbūt vajadzēja uzdot šo jautājumu iepirkuma komisijai- lai paskaidro, kas ar šo uzdevumu ir domāts un kāda ir saturiskā atšķirība, protams, ja tāda ir?
Atkāpei - gada nogale daudziem Eiropas (un ne tikai) datu aizsardzības speciālistiem nepamanīts nepalika Nīderlandes Tieslietu ministrijas sagatavots ietekmes novērtējums viena pakalpojuma sniedzēja vienam (!) pakalpojumam - Microsofta Office 365. Arī Latvijā ļoti daudzi lieto Microsoft pakalpojumus. Šis ietekmes novērtējums ir uz gandrīz 100 lpp, kurā pēc analīzes ir secināts, ka novērtētājs atsevišķos datu apstrādes etapos saskata augstus riskus datu apstrādei un tāpēc ir nepieciešama konsultēšanās ar uzraudzības iestādi.
To zinot, ieraugot prasību veikt novērtējumu (nezin kam) loģiski rodas jautājums - a ja nu man jātaisa novērtējums Microsofta pakalpojumam x un tas jāpaveic divos mēnešos?
Vispār man ir sajūta, ka es nemāku strādāt, jo taisot ietekmes novērtējumu vienam mazām IT rīkam un analīzējot sadarbību ar šo pakalpojumu sniedzēju tika patērētās aptuveni 3 nedēļas - kamēr veic priekšizpēti, kamēr saraksta visus neskaidros jautājumus, kamēr saņem atbildes gan no klienta, gan no tā sadarbības partnera, kamēr noformē novērtējumu (ok, lapu skaits nav nekāds rādītājs, bet šķiet kādas padsmit lapas rezultātā aizpildījās), tikmēr ne viena vien diena pagājusi. Un tas ir novērtējums par sadarbību ar vienu mazu pakalpojumu sniedzēju, bet cik sadarbības partneri, kur sadarbības nosacījumos ir ietverta personas datu apstrāde, vidēji ir katrai organizācijai? Pieredze liecina, ka tomēr vairāk kā viens tāds sadarbības partneris.
Ak, jā vēl taču ir stāsts par to, ka 2018.gads pagāja zīmē, kad ļoti bieži bija sajūta, ka Tevi neviens nesaprot un ka Tu redzi problēmu tur, kur citi to neredz (negrib redzēt). Lai datu aizsardzības speciālists varētu veikt savu uzdevumu, tam ir “jāizseko” visai datu plūsmai jeb jābūt informācijai par datu dzīvesciklu. Nu tad nākas uzdot muļķīgus jautājumus - kur dabūji, kas iedeva, vai pats paņēmi, kam devi, cik ilgi un kāpēc? Tad viena no interesantākajām epizodēm laikam bija situācijā, kur klients bija ieplānojis veikt aptauju, lūdzot respondentiem aizpildīt aptaujas anketas un, lai motivētu kādu aizpildīt anketas, tika piedāvāta simboliska naudas balviņa dažiem uzvarētājiem. Pirmā pozīcija - tā ir anonīma aptauja, datu aizsardzības jautājumi tur nav. Atkal - atceramies, ka internetā gandrīz nekas nav “anonīms”, tāda nu tā tehnoloģija ir. Nu lūk, bet tā kā nelikos mierā, tad saņēmu papildus atbildi -“… neviens tiem datiem klāt netiek, tie ir tikai manā datorā un arī es nezinu, kas kuru anketu ir aizpildījis….” jā, kā tad…“tikai manā datorā” un “neviens nezin”. Kā tad Jūs plānojat iedot kādam to naudas balviņu, ja jau neviens, neviens un viss ir tik ļoti anonīms?
Un jā, vēl taču pēc 25.05. bija mazie ikdienas darbiņi - atbilžu sagatavošana/ sagatavoto atbilžu saskaņošana datu subjektiem, kur tie vēlas pārliecināties, ka viņiem ir tiesības, mazie ikdienas jautājumi, kas ievelkas vairāku dienu diskusijās par “problēmjautājumu”, jo tas nav it nemaz tik viegli analīzes centrā nolikt datu subjektu, nevis biznesa “vajadzību” un pārliecināt biznesu, ka datu aizsardzības prasību izpilde ilgtermiņā tomēr nesīs augļus. Mēs tagad publiskajā telpā ļoti labi redzam, ar kādām uzticamības problēmām ir saskāries facebook.com - pat paziņojums, ka Facebook nopirka kiberdrošības uzņēmumu, lai rūpētos par lietotāju personas datiem izraisīja smīnu un lika uzdot retorisku jautājumu - nopirka kiberdrošības ekspertu uzņēmumu, lai rūpētos par lietotāju datiem vai tomēr, lai rūpētos par to, lai neviens neuzzin, ka ar lietotāju datiem kaut kas ne tā….? Savukārt, Apple Inc. pārstāvis aizvien vairāk prezentē, ka privātums ir vērtība un viņi kā organizācija rūpējas, lai lietotāju privātās lietas paliek privātas. Apple vadītājs pat vienā Eiropas konferencē, kas bija veltīta datu aizsardzības jautājumiem atzina, ka GDPR ir laba lieta un to vajadzētu ieviest ne tikai Eiropā…
Jau vasaras sākumā tiekoties ar vienu kolēģi raudāju, ka saņemu ziņojumus par iespējamajiem personas datu aizsardzības pārkāpumiem, kur kolēģis, atbildot priecājās: “..Paldies Dievam, man nav neviens incidents!”. Kolēģim nav neviens ziņojums par incidentu, a man jau saraksts: te darbinieks pieķerts, kurš ejot prom no darba sagribēja sev līdzi paņemt uzņēmuma datu bāzi, te video novērošanas kameru ierakstu kāds pārfilmējis ar mobilo telefonu, te IT programmētājiem rakstot programmas kodu kaut kas ne tā salikās un datu bāzē izdzēsās ne tas, ko vajadzēja….toreiz kolēģis pateica patīkamu lietu - tāpēc, ka Tev ir ieviesta un strādā personas datu aizsardzības pārkāpumu ziņošanas sistēma un Tev ir paveicies ar klientiem, kas nopietni attiecas pret datu aizsardzības jautājumiem. Jā, laikam tagad atskatoties uz 2018.gadu tiešām ir jāsaka, ka ir izdevies “atrast” klientus, kuri Tevi neredz kā apgrūtinājumu un tikai kā izdevumu pozīciju, bet tomēr kā palīgu un padomdevēju. Nu labi, gan jau, ka grāmatvedis redz to “izdevumu pozīciju”, bet ikdienā strādājot sajūta ir patīkama - Paldies viņiem par to! Paldies maniem klientiem, ka viņi tiešām cenšās pēc labākās sirdsapziņas un godprātīgi izpildīt datu aizsardzības prasības, nebaidoties atsevišķos gadījumos pamainīt kādus biznesa procesus! Paldies manu klientu vadībām, kuras līdzdarbojas datu aizsardzības prasību ieviešanā. Tas tiešām palīdz strādāt.
Un jā, 2018.gads parādīja, ka ar personas datu aizsardzības pārkāpumiem jeb drošības incidentiem ir ļoti interesanti. Pat pie tā, ka organizācija ir domājusi par šiem jautājumiem, ir ieviestas visas ziņošanas procedūras, tad ir ļoti jāiespringst, lai Regulas paredzētajās 72 h varētu pirmšķietami saprast, kas ir vai nav noticis un ko, piemēram, mēs rakstam ziņojumā Datu valsts inspekcijai un vai vispār rakstam. Atzīstiet taču, ka no biznesa viedokļa raugoties neizskatīsies labi ziņojums - mēs neko nezinam…Kaut kādu izmeklēšanu un rezultātu taču vajag. Tāpat, saprast vai uz konkrēto šaizīti ir vai nav jāskatās caur Regulas prizmu vai arī tas ir kiberdrošības incidents parastais, bez ietekmes uz personas datiem. Ok, pat nevajag kiberdrošību, vienkārša situācija - Apstrādātājs atsūtījis līgumus (ar datu subjektiem), bet pēc kaut kāda laika atklājas, ka pie pārziņa līgumi nav…a kur palika? Apstrādātājs izsūtīja vai tikai teica, ka izsūtīja līgumus, Pārziņa sekretāre ne tajā mapītē ielika vai vispār nesaņēma? Ja vēl pa vidu ir nedēļas nogale, tad dabūt paskaidrojumu no sadarbības partnera iesaistītajiem darbiniekiem varētu būt liels izaicinājums… kādas 72 h!?!?! Skrienam uz DVI ar ziņojumu? Iespējams taču, ka apstrādātāja darbinieka atvilknē šie līgumi stāv (tajā brīdi ceri, ka tā ir!), bet pats viņš slims, atnāks no slimošanas, atsūtīs un faktiski jau drošības incidents nemaz nav/nebija noticis.
2018.gads bija GDPR haosa gads - visi to piesauca gan vietā, gan nevietā. Atceros pat anekdoti, kas ceļoja sociālajos tīklos, par to, ka kapos ir pārkāpta datu aizsardzības regula, jo uz kapakmeņiem taču ir sarakstīti vārdi, uzvārdi, gada skaitļi, norādes par ģimenes locekļiem (šeit dus četru meitu tēvs…), aizmirstot par regulas būtību un jēgu. Jā, ļoti daudz dzirdēju, ka tā ir Eiropas birokrātu uzspiests pasākums un mēs kā iztapīga tauta tagad skrienam, nevienam to nevajag, viss jau nokavēts, visi tā pat zin visu par visiem, viss ir internetā. Te man laikam jāatzīst, ka vienu lietu Regula jau tagad izdarījusi labu - cilvēki sāka aizdomāties par šiem jautājumiem, aizdomāties par savu privātumu. Nereti, bija situācijas, kad aizej uz organizāciju stāsti par ļaunās Regulas prasībām un datu subjekta tiesībām, tad priekšnieks ar lielu negāciju klausās, jo viņš jau redz to “izdevuma pozīcīju”, bet parunājot tālāk, paskaidrojot kāpēc tas viss, paskaidrojot “priekšniekam” kā datu subjektam kāpēc Eiropas likumdevējs izstrādāja regulu, kādus instrumentus regula piešķir datu subjektam, lai tas varētu (ja gribētu) kontrolēt savu datu izmantošanu, ka viņam ir iespēja noskaidrot un izvērtēt kas un kāpēc apstrādā viņa datus, un protams - sūdzēties (lai arī kāds priekšnieks, ideja, ka viņam ir tiesības sūdzēties tomēr patīk 
), tad nonākam pie tā, ka - ne nu tā ideja jau ir laba un vajadzīga, bet nu tā regula ar savām prasībām!
), tad nonākam pie tā, ka - ne nu tā ideja jau ir laba un vajadzīga, bet nu tā regula ar savām prasībām!
Jā, Regulu pieņemot likumdevējs kā lielo risku tieši redzēja tehnoloģiju attīstību, kad mēs dodam savus datus pat putekļsūcējam, nepaprasot kāpēc tam tos vajag. Šodien, laikmetā, kad aizvien vairāk tehnoloģijas pieņem lēmumus pat bez cilvēku līdzdalības, ir jābūt pārliecībai un regulējumam, ka, ikviens no mums var noskaidrot, kas ir atbildīgs par tā putekļsūcēja veikto personas datu apstrādi un ja kaut kas ne tā - pie kura mēs varēsim vērsties.
Tehnoloģiju attīstība un invazīvā ietekme uz mūsu ikdienu 2018.gadā piespieda arī mani padziļināti pievērsties tehnoloģiju izpētei un risku analīzei, kas saistīta ar tehnoloģiju vidi. Rudenī apgūstot attālināti kiberdrošības riskus, mācoties tos “vadīt” un samazināt ( cik nu tas ir iespējams, jo no hakeru uzbrukuma nav pasargāts neviens, ne liels, ne mazs, lai kā “mazajiem” patīk tā domāt) secināju, ka tā ir tāda pasaule, ko nevar apgūt un ielikt divu mēnešu kursos. Tā ir pasaule, kas nemitīgi mainās, ne par velti pasniedzēju rekomendācija kursa laikā bija - jums ir jābūt ne tikai “baltajos” forumos, kur tiek diskutēts par kiberdrošību, kiberuzbrukumiem, bet arī “pelēkajos” un “melnajos” forumos. Tā teikt - iepazīsti savu ienaidnieku! Šobrīd rakstot šīs rindas ir pat nedaudz skumji, jo mācības ir beigušās un nav vairs trijos naktī jāpiedalās kiberuzbrukumu simulācijās, kur jāmēģina ar kursa biedriem no visas pasaules nomenedžēt attiecīgo uzbrukumu… ceru, ka nepiesaukšu 2019.gadā kādu reālu kiberuzbrukumu, pasūdzoties, ka izaicinājumi pietrūkst ….
Lai arī sanāca ļoti gari, jo GDPR gadā garlaicīgi nebija, rezumējot laikam jāsaka, ka ar regulu ir un būs tāpat kā ar rasolu - svētku vakarā ir sajūta, ka ir ēsts tik daudz, ka ilgi to vairs negribēsies, bet nepienāk i nākamais rīts, kad virinam ledusskapja durvis un esam ļoti priecīgi, ja atrodam vēl kādu bļodiņu.
Lai izdevies un mierīgs 2019.gads!