Vispārīgā datu aizsardzības regula (GDPR) ir bijusi spēkā kopš 2018. gada, tomēr daudzi Latvijas uzņēmumi joprojām nepilnīgi izprot tās kiberdrošības prasības. GDPR nav tikai par privātuma politikām un sīkdatņu paziņojumiem — tā uzliek konkrētas tehniskās un organizatoriskās drošības prasības ikvienam, kas apstrādā personas datus. Un personas datus apstrādā praktiski katrs uzņēmums — no darbinieku algu datiem līdz klientu kontaktinformācijai.
Šajā rakstā apskatīsim GDPR kiberdrošības aspektus — kādi tehniskie pasākumi ir nepieciešami, kā rīkoties datu aizsardzības pārkāpuma gadījumā, kāda ir DVI loma un kādi sodi draud.
GDPR kiberdrošības prasības
GDPR 32. pants nosaka, ka datu pārzinis un apstrādātājs ievieš “atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu apstrādes drošību”. Konkrēti regula pieprasa:
Personas datu pseidonimizāciju un šifrēšanu. Dati, kas tiek pārraidīti vai glabāti, ir jāšifrē. Tas attiecas gan uz datu bāzēm, gan uz e-pastu komunikāciju, gan uz portatīvajām iekārtām.
Apstrādes sistēmu un pakalpojumu nepārtrauktu konfidencialitāti, integritāti, pieejamību un noturību. Sistēmām, kas apstrādā personas datus, jābūt aizsargātām pret nesankcionētu piekļuvi, datu bojājumiem un darbības pārtraukumiem.
Spēju laikus atjaunot personas datu pieejamību un piekļuvi fiziska vai tehniska incidenta gadījumā. Tas nozīmē rezerves kopijas un atkopšanas plānus, kas tiek regulāri testēti.
Regulāras drošības pasākumu efektivitātes testēšanas un novērtēšanas procesu. Drošības pasākumi nav statisks saraksts — tie ir jātestē un jāpilnveido regulāri.
Datu aizsardzības speciālists (DAS)
GDPR pieprasa iecelt datu aizsardzības speciālistu (Data Protection Officer — DPO) šādos gadījumos:
- Valsts un pašvaldību iestādēm
- Organizācijām, kuru pamatdarbība ir sistemātiska un plaša personas apstrāde
- Organizācijām, kas apstrādā īpašo kategoriju datus (veselības dati, biometriskie dati u.c.) lielā apjomā
Arī ja DAS iecelšana nav obligāta, Latvijas uzņēmumiem ir ieteicams nozīmēt personu, kas ir atbildīga par datu aizsardzības jautājumiem. Šī persona var būt iekšējais darbinieks vai ārpakalpojumu speciālists.
DAS pienākumi ietver:
- Konsultēt uzņēmumu par GDPR prasībām
- Uzraudzīt atbilstību
- Sadarboties ar Datu valsts inspekciju (DVI)
- Būt kontaktpersonai datu subjektiem
Paziņošana par datu aizsardzības pārkāpumiem
Viena no svarīgākajām GDPR prasībām ir pienākums paziņot par datu aizsardzības pārkāpumiem:
Paziņošana DVI (72 stundu laikā)
Ja notiek personas datu aizsardzības pārkāpums, kas var radīt risku fizisko personu tiesībām, datu pārzinis 72 stundu laikā paziņo Datu valsts inspekcijai (DVI). Paziņojumā jāietver:
- Pārkāpuma būtība — kādi dati ir skarti, cik datu subjektu skarti
- DAS kontaktinformācija
- Iespējamās sekas
- Veiktie un plānotie pasākumi
Paziņošana datu subjektiem
Ja pārkāpums var radīt augstu risku fizisko personu tiesībām, jāinformē arī paši datu subjekti (piemēram, klienti, kuru dati noplūduši). Paziņojumam jābūt skaidrā un saprotamā valodā.
Dokumentēšana
Neatkarīgi no tā, vai pārkāpums ir ziņojams DVI, visi personas datu aizsardzības pārkāpumi ir jādokumentē iekšēji — ieskaitot faktus, sekas un veiktos labojošos pasākumus.
Šie pienākumi nozīmē, ka uzņēmumam ir jābūt gatavam operatīvi reaģēt uz incidentiem. Bez incidentu reaģēšanas plāna un SOC uzraudzības izpildīt 72 stundu paziņošanas termiņu ir ļoti grūti.
DVI loma Latvijā
Datu valsts inspekcija (DVI) ir Latvijas uzraudzības iestāde GDPR jomā. DVI:
- Izskata sūdzības par datu apstrādes pārkāpumiem
- Veic pārbaudes un auditus
- Piemēro administratīvos sodus
- Sniedz vadlīnijas un rekomendācijas
- Sadarbojās ar citu ES valstu uzraudzības iestādēm
DVI pēdējos gados ir pastiprinājusi uzraudzības aktivitāti — sodu skaits un apmēri pieaug. Latvijas uzņēmumiem vairs nevar paļauties uz to, ka “mūs neskatīsies”.
Tehniskie pasākumi GDPR atbilstībai
Konkrēti tehniskie pasākumi, kas palīdz izpildīt GDPR kiberdrošības prasības:
Piekļuves kontrole. Piekļuve personas datiem jāierobežo tikai tiem darbiniekiem, kuriem tā ir nepieciešama darba pienākumu veikšanai (mazāko tiesību princips). Piekļuves tiesības regulāri jāpārskata.
Šifrēšana. Personas dati jāšifrē gan pārraidē (TLS/SSL), gan glabāšanā (diska šifrēšana, datu bāzu šifrēšana). Portatīvajām iekārtām — obligāta pilna diska šifrēšana.
Daudzfaktoru autentifikācija. MFA jāievieto visām sistēmām, kas apstrādā personas datus. Skatiet mūsu paroļu politikas ceļvedi.
Drošības uzraudzība. Sistēmu žurnālu monitorings, kas ļauj identificēt nesankcionētu piekļuvi personas datiem. SOC pakalpojums nodrošina nepārtrauktu uzraudzību un brīdina par aizdomīgām aktivitātēm.
Rezerves kopēšana. Regulāras, šifrētas rezerves kopijas ar dokumentētu un testētu atkopšanas procesu. 3-2-1 princips — 3 kopijas, 2 datu nesēji, 1 ārpus uzņēmuma.
Iekārtu pārvaldība. Centralizēta iekārtu pārvaldība (MDM), kas ļauj attālināti dzēst datus no nozaudētas vai nozagtas iekārtas.
Incidentu reaģēšanas plāns. Dokumentēts, testēts plāns, kas ietver arī GDPR paziņošanas procedūras. Skatiet mūsu rakstu Kā rīkoties pēc kiberuzbrukuma.
GDPR un NIS2 — kā tie saistās
GDPR un NIS2 ir divi atšķirīgi regulējumi, bet to kiberdrošības prasības būtiski pārklājas:
| Prasība | GDPR | NIS2 |
|---|---|---|
| Risku novērtējums | Jā | Jā |
| Tehniskie pasākumi | Jā | Jā |
| Incidentu paziņošana | 72h (DVI) | 24h sākotnējais (CERT.LV) |
| Vadības atbildība | Jā (datu pārzinis) | Jā (personīga) |
| Sodi | Līdz 4% apgrozījuma | Līdz 2% apgrozījuma |
| Apmācības | Ieteicamas | Obligātas |
Uzņēmumiem, kas ir gan GDPR, gan NIS2 subjekti, ir jēga ieviest vienotu kiberdrošības pārvaldības sistēmu, kas izpilda abu regulējumu prasības. Vairāk par NIS2 lasiet mūsu rakstā NIS2 direktīva Latvijā.
Sodi par GDPR neievērošanu
GDPR paredz divus sodu līmeņus:
Līdz 10 miljoniem EUR vai 2% no gada apgrozījuma — par pārkāpumiem saistībā ar tehniskajiem pasākumiem, datu aizsardzības speciālista neiecelšanu, pārkāpumu nedokumentēšanu.
Līdz 20 miljoniem EUR vai 4% no gada apgrozījuma — par nopietnākiem pārkāpumiem, piemēram, personas datu apstrādi bez tiesiskā pamata, datu subjektu tiesību neievērošanu.
Latvijā DVI ir piemērojusi sodus vairākām organizācijām. Lai arī summas pagaidām nav sasniegušas miljonu apmērus, tendence ir augoša — gan sodu biežums, gan apmēri pieaug.
Biežāk uzdotie jautājumi (BUJ)
Vai GDPR attiecas arī uz mazu uzņēmumu ar 3 darbiniekiem? Jā. GDPR attiecas uz ikvienu organizāciju, kas apstrādā personas datus — neatkarīgi no lieluma. Pat mazs uzņēmums apstrādā darbinieku datus, klientu kontaktinformāciju un, iespējams, maksājumu datus. Prasību apjoms ir proporcionāls riskam, bet pamata pienākumi (drošības pasākumi, pārkāpumu dokumentēšana) attiecas uz visiem.
Kas ir personas datu aizsardzības pārkāpums? Jebkurš drošības incidents, kas izraisa personas datu nejaušu vai nelikumīgu iznīcināšanu, nozaudēšanu, pārveidošanu, nesankcionētu izpaušanu vai piekļuvi. Piemēri: izspiedējvīrusa uzbrukums, kas šifrē klientu datu bāzi; darbinieks nosūta e-pastu ar klientu sarakstu nepareizajam adresātam; hakeri noplūdina klientu datus.
Vai man jāpaziņo DVI par katru kiberuzbrukumu? Nē — tikai par tiem, kas skar personas datus un rada risku datu subjektu tiesībām. Piemēram, DDoS uzbrukums, kas uz laiku padara vietni nepieejamu, parasti nav GDPR pārkāpums. Bet izspiedējvīruss, kas šifrē vai noplūdina klientu datus — ir. Ja neesat pārliecināti, konsultējieties ar DAS vai kiberdrošības speciālistu — labāk paziņot par daudz nekā par maz.
Kā GDPR ietekmē mākoņpakalpojumu izmantošanu? Mākoņpakalpojumu sniedzējs ir datu apstrādātājs GDPR izpratnē. Jums jānoslēdz datu apstrādes līgums, jāpārliecinās, ka dati tiek glabāti ES/EEZ (vai ir atbilstošs juridiskais pamats pārsūtīšanai ārpus tās), un jāpārbauda sniedzēja drošības pasākumi. Skatiet arī mūsu rakstu Kiberdrošība mākoņpakalpojumiem.
Vai pietiek ar drošības politiku papīra formā? Nē. DVI un auditori vērtē ne tikai politiku esamību, bet arī faktisko ieviešanu. Politika, kas pastāv tikai kā dokuments, bet netiek ievērota praksē, neaizsargā ne no kiberuzbrukumiem, ne no sodiem. Nepieciešami pierādījumi par faktisko ieviešanu — žurnāli, apmācību atskaites, testēšanas protokoli.
Vai vēlaties uzlabot sava uzņēmuma kiberdrošību? Sazinieties ar securIT — [email protected] vai +371 27555221.