GDPR un datu aizsardzības pakalpojumi Latvijā
GDPR (Vispārīgā datu aizsardzības regula) nav tikai juridisks dokuments — tā pieprasa konkrētas tehniskās un organizatoriskās datu aizsardzības prasības, kuras daudzi uzņēmumi vai nu ignorē, vai nepietiekami ievieš. Kamēr juristi palīdz ar privātuma politikām un datu apstrādes līgumiem, kiberdrošības speciālisti nodrošina, ka jūsu dati tiešām ir aizsargāti — ne tikai uz papīra.
securIT specializējas tieši GDPR tehniskajā pusē — mēs ieviešam, testējam un uzraugām tos drošības pasākumus, kurus pieprasa GDPR 32. pants (apstrādes drošība), 33. pants (pārkāpumu paziņošana 72 stundu laikā) un 35. pants (novērtējums par ietekmi uz datu aizsardzību — DPIA). Mūsu pakalpojumi papildina jūsu DPO (datu aizsardzības speciālista) un juridiskās komandas darbu ar praktisku tehnisku ieviešanu.
Latvijā Datu valsts inspekcija (DVI) arvien aktīvāk veic pārbaudes — 2025. gadā DVI piemēroja sodus vairāk nekā €800,000 apmērā par GDPR pārkāpumiem. Neesiet nākamie — nodrošiniet, ka jūsu datu aizsardzība ir ne tikai dokumentēta, bet arī tehniski ieviesta.
GDPR tehniskās prasības, kuras uzņēmumi bieži neievēro
GDPR 32. pants pieprasa "atbilstīgus tehniskos un organizatoriskos pasākumus", bet konkrēti nenorāda, kādi tie ir. Tas rada neskaidrību, un daudzi uzņēmumi domā, ka antivīruss un parole ir pietiekami. Tā nav.
Datu šifrēšana (encryption) — GDPR skaidri min šifrēšanu kā atbilstīgu aizsardzības pasākumu. Dati jāšifrē gan pārraidē (TLS/SSL), gan glabāšanā (at-rest encryption). Cik no jūsu datubāzēm, failserveru mapēm un e-pasta arhīviem ir šifrētas? Lielākajā daļā Latvijas uzņēmumu atbilde ir "neviena" vai "tikai e-pasts".
Piekļuves kontrole — princips "minimāli nepieciešamās piekļuves" (least privilege) nozīmē, ka katrs darbinieks piekļūst tikai tiem datiem, kas nepieciešami viņa darbam. Praksē daudzos uzņēmumos visiem ir administratora tiesības un piekļuve visām mapēm.
Datu noplūdes novēršana (DLP) — sistēma, kas automātiski identificē un bloķē sensitīvu datu nesankcionētu nosūtīšanu pa e-pastu, mākoņkrātuvēm vai USB ierīcēm. Bez DLP jūs vienkārši nezināt, vai dati noplūst.
Žurnālēšana un monitorings — GDPR pieprasa spēju konstatēt datu aizsardzības pārkāpumus. Bez drošības notikumu žurnālēšanas (logiem) un to uzraudzības (SIEM/SOC) jūs neuzzināsiet par pārkāpumu, kamēr nebūs par vēlu.
72 stundu paziņošanas prasība — GDPR 33. pants pieprasa paziņot DVI par personas datu aizsardzības pārkāpumu 72 stundu laikā no tā konstatēšanas brīža. Bez SOC monitoringa daudzi uzņēmumi uzzina par pārkāpumu tikai pēc nedēļām vai mēnešiem — tad 72 stundu termiņš jau ir nokavēts.
securIT GDPR kiberdrošības pakalpojumi
Mūsu GDPR tehniskā atbilstības pakete aptver visus galvenos aspektus, kas nepieciešami, lai jūsu datu aizsardzība būtu reāla, nevis formāla.
Datu aizsardzības novērtējums (€2,500–€5,000): pilns jūsu IT infrastruktūras novērtējums no GDPR skatpunkta — kur glabājas personas dati, kā tie tiek aizsargāti, kādas ir piekļuves tiesības, vai ir šifrēšana, vai ir monitorings. Nodevums: detalizēts ziņojums ar trūkumu sarakstu un prioritizētu rīcības plānu. Laiks: 5–10 darba dienas.
Šifrēšanas ieviešana (no €1,500): disku šifrēšana (BitLocker/FileVault), datubāzu šifrēšana, e-pasta šifrēšana (S/MIME vai PGP), failu krātuves šifrēšana. Ietver arī šifrēšanas atslēgu pārvaldības procedūru izstrādi.
Piekļuves kontroles audits un optimizācija (no €2,000): Active Directory/Azure AD piekļuves tiesību pārbaude, lieko tiesību noņemšana, lomu bāzētas piekļuves kontroles (RBAC) ieviešana, MFA ieviešana visiem lietotājiem, priviliģēto kontu pārvaldība (PAM).
DLP risinājuma ieviešana (no €3,000): datu klasifikācijas politiku izstrāde, DLP rīku konfigurēšana e-pastam, mākoņkrātuvēm un gala ierīcēm, lietotāju apmācība par datu apstrādes noteikumiem.
SOC monitorings ar GDPR fokusu (no €20/ierīce/mēnesī): nepārtraukta uzraudzība ar īpašu uzmanību personas datu piekļuves anomālijām, nesankcionētas datu kopēšanas vai nosūtīšanas konstatēšana, 72 stundu incidentu paziņošanas procesa nodrošināšana.
DVI audita sagatavošana (€1,500–€3,000): dokumentācijas pārbaude un sakārtošana, tehnisku pierādījumu sagatavošana, iekšējā mēģinājuma audita veikšana, darbinieku instruktāža.
GDPR pārkāpumu reālās izmaksas — ne tikai sodi
Daudzi uzņēmumi vērtē GDPR riskus tikai caur sodu prizmu. Taču DVI sods (līdz €20,000,000 vai 4% no globālā apgrozījuma) ir tikai aisberga redzamā daļa.
Tiešās izmaksas pēc datu noplūdes ietver: forenziskā izmeklēšana (€10,000–€50,000), juridiskās konsultācijas (€5,000–€30,000), skarto personu paziņošana (€2–€10 par personu — ja noplūdē skarti 10,000 cilvēki, tas ir €20,000–€100,000), IT sistēmu atkopšana (€10,000–€100,000), reputācijas pārvaldība un PR (€5,000–€50,000).
Netiešās izmaksas: klientu zaudēšana (vidēji 3–5% klientu aiziet pēc publiskas datu noplūdes), biznesa iespēju zaudēšana (potenciālie klienti izvēlas drošāku partneri), apdrošināšanas prēmiju pieaugums, darbinieku morāles krišanās un talanta aizplūšana.
Latvijā DVI ir piemērojusi sodus gan privātajam, gan publiskajam sektoram — no brīdinājumiem līdz desmitiem tūkstošu eiro. 2025. gadā DVI piedalījās vairākos Eiropas koordinētos GDPR pārbaudēs, un šī tendence turpinās.
Investīcija GDPR tehniskajā atbilstībā (€5,000–€15,000 vienreizēji + monitorings) ir niecīga salīdzinājumā ar potenciālajām datu noplūdes izmaksām, kas vidēji sasniedz €3,500,000+ (IBM Cost of a Data Breach Report).
DPIA — novērtējums par ietekmi uz datu aizsardzību
GDPR 35. pants pieprasa veikt DPIA (Data Protection Impact Assessment) pirms augsta riska datu apstrādes uzsākšanas. Augsts risks rodas, kad uzņēmums veic sistemātisku un plašu personu novērtēšanu (profiling), apstrādā īpašas kategorijas datus (veselības dati, biometriskie dati) vai veic plašu publiskas vietas sistemātisku monitoringu.
Daudziem uzņēmumiem ir pienākums veikt DPIA, bet tie to nezina vai atliek. securIT palīdz šo procesu veikt tehniski korekti.
Mūsu DPIA pakalpojums (€2,000–€4,000) ietver: datu apstrādes darbību inventarizāciju, risku identifikāciju un novērtēšanu no tehniskā un organizatoriskā skatpunkta, risku mazināšanas pasākumu rekomendācijas un ieviešanu, DPIA ziņojuma sagatavošanu DVI prasībām atbilstošā formātā.
Mēs neaizstājam jūsu DPO — mēs papildinām viņa darbu ar tehnisko ekspertīzi, ko DPIA pieprasa. Ja jums nav DPO, varam ieteikt kvalificētus sadarbības partnerus.
72 stundu incidentu paziņošanas process
Viens no kritiskākajiem GDPR aspektiem, kur kiberdrošība un datu aizsardzība satiekas, ir 72 stundu paziņošanas prasība. Kad notiek personas datu aizsardzības pārkāpums, laikā darbojas pret jums.
Problēma: bez profesionāla monitoringa (SOC) vidējais laiks pārkāpuma konstatēšanai ir 197 dienas (IBM). Ja pārkāpums tiek konstatēts pēc pusgada, 72 stundu termiņš kļūst bezjēdzīgs — un sods par novēlotu paziņošanu tiek piemērots papildus sodam par pašu pārkāpumu.
securIT nodrošina pilnu 72 stundu cikla pārvaldību. Konstatēšana: mūsu SOC monitorings ļauj identificēt personas datu kompromitēšanu stundās, ne mēnešos. Klasifikācija: mēs palīdzam novērtēt, vai incidents kvalificējas kā paziņojams pārkāpums (ne visi incidenti prasa DVI paziņošanu). Ziņojuma sagatavošana: mēs sagatavojam tehniskā incidenta aprakstu DVI formātā — skarto datu kategorijas, apjoms, ietekmēto personu skaits, veiktie pasākumi. Koordinācija: ja nepieciešams, koordinējam sadarbību ar DVI, CERT.LV un tiesībsargājošajām iestādēm.
Šis pakalpojums ir iekļauts mūsu SOC Standard un Premium plānos bez papildmaksas.
Biežāk uzdotie jautājumi
Kāda ir atšķirība starp DPO pakalpojumiem un securIT GDPR kiberdrošības pakalpojumiem?
DPO (datu aizsardzības speciālists) fokusējas uz juridisko un organizatorisko pusi — privātuma politikas, datu apstrādes līgumi, datu subjektu tiesību nodrošināšana, DVI komunikācija. securIT fokusējas uz tehnisko pusi — šifrēšana, piekļuves kontrole, monitorings, DLP, incidentu konstatēšana un reaģēšana. Abi pakalpojumi papildina viens otru, un ideālā gadījumā uzņēmumam vajag abus.
Ko DVI pārbauda audita laikā no tehniskā skatpunkta?
DVI auditā novērtē, vai uzņēmums ir ieviesis atbilstīgus tehniskos pasākumus: datu šifrēšanu, piekļuves kontroli, žurnālēšanu, rezerves kopēšanu, ievainojamību pārvaldību un incidentu reaģēšanas procesu. DVI var pieprasīt pierādījumus — logus, konfigurācijas dokumentāciju, testa rezultātus. securIT DVI audita sagatavošanas pakalpojums nodrošina, ka visi pierādījumi ir sakārtoti un prezentējami.
Vai mums jāšifrē visi dati, lai atbilstu GDPR?
GDPR nenorāda šifrēšanu kā obligātu visiem datiem, bet min to kā piemērotu aizsardzības pasākumu. Praksē — ja personas dati noplūst šifrētā veidā, tas var atbrīvot no pienākuma paziņot skartajām personām (GDPR 34. pants). Tāpēc mūsu rekomendācija: šifrējiet visus personas datus gan pārraidē, gan glabāšanā. securIT palīdzēs izvēlēties un ieviest piemērotu šifrēšanas risinājumu.
Cik maksā GDPR tehniskā atbilstības nodrošināšana?
Datu aizsardzības novērtējums sākas no €2,500. Pilna GDPR tehniskā atbilstības pakete (novērtējums + šifrēšana + piekļuves kontrole + DLP) — €8,000–€15,000 atkarībā no infrastruktūras sarežģītības. Nepārtrauktais SOC monitorings ar GDPR fokusu — no €20/ierīce/mēnesī. DVI audita sagatavošana — €1,500–€3,000.
Mums jau ir antivīruss un ugunsmūris — vai ar to nepietiek GDPR prasībām?
Nē. Antivīruss un ugunsmūris ir pamata aizsardzība, bet GDPR pieprasa daudz vairāk — datu šifrēšanu, piekļuves kontroli, datu noplūdes novēršanu, drošības notikumu monitoringu, 72 stundu incidentu paziņošanas spēju un regulāru drošības testēšanu. Bez šiem pasākumiem DVI audita gadījumā konstatēs neatbilstību.
Vai securIT var palīdzēt, ja jau ir noticis datu aizsardzības pārkāpums?
Jā — mūsu incidentu reaģēšanas komanda ir pieejama 24/7. Mēs palīdzēsim ar forenzisko izmeklēšanu (kas notika, kā, kādi dati skarti), pārkāpuma ierobežošanu un novēršanu, DVI paziņojuma sagatavošanu 72 stundu termiņā, skarto personu paziņošanas procesa vadību un atkopšanas plāna izstrādi un ieviešanu. Incidentu reaģēšanas pakalpojums bez iepriekšēja līguma — €180/h. Ar retainer līgumu — no €1,000/mēnesī ar garantētu 1 stundu reaģēšanas laiku.