#dviskaidro
Privacy by design

Veicot personas datu apstrādi, organizācijām jānodrošina, lai to apstrāde atbilstu integrētas datu aizsardzības[1] un datu aizsardzības pēc noklusējuma[2] principiem.

Jau iepriekš esam skaidrojuši par datu aizsardzību pēc noklusējuma (data protection by default)[3].  Šis princips nozīmē, ka tehnoloģijas ir izveidotas tā, lai jau no paša sākuma lietotāja dati tiktu apstrādāti tikai minimālā apjomā un tikai tik daudz, cik nepieciešams, neprasot lietotājam veikt īpašas darbības, lai aizsargātu savu privātumu.

Savukārt šoreiz pievērsīsimies integrētai datu aizsardzībai (data protection by design), kas ir pieeja, kuras mērķis ir nodrošināt likumīgu un drošu personas datu apstrādi jau no sistēmas, pakalpojuma vai procesa plānošanas un izstrādes posma. Šī pieeja paredz, ka visā apstrādes dzīvesciklā tiek īstenoti tehniski un organizatoriski pasākumi, lai aizsargātu personas datus, izpildītu organizācijai kā pārzinim noteiktās prasības un nodrošinātu cilvēka kā datu subjekta tiesību ievērošanu. Tādējādi privātuma aizsardzība tiek iekļauta informācijas sistēmās, pakalpojumos un tīklu infrastruktūrā jau no paša sākuma, savlaicīgi paredzot un novēršot iespējamos privātuma apdraudējumus. [4]

Piemēram, Jāņa Datiņa fitnesa lietotnes izstrādē jau plānošanas posmā tika ieviesti risinājumi, kas garantē lietotāju datu drošību un aizsardzību. Lietotne pieprasa tikai nepieciešamos datus, piemēram, vecumu un vēlamos mērķus, savukārt automātiski dzēš informāciju, ja noteiktu laiku tā netiek lietota. Lai novērstu iespējamos privātuma riskus, tika izmantota datu šifrēšana un veikti testi, lai laikus identificētu un novērstu sistēmas ievainojamību. Šādi pasākumi nodrošina datu aizsardzību jau no izstrādes sākuma, padarot apstrādi drošu un likumīgu.

Plašākā izpratnē šādi pasākumi ietver jebkuru metodi vai līdzekli, ko organizācija var pielietot datu apstrādes procesā. Tie var ietvert, piemēram:

  • datu pseidonimizāciju;
  • iespēju cilvēkiem (datu subjektiem) kontrolēt savu datu apstrādi;
  • ļaunprogrammatūras atklāšanas sistēmu ieviešanu;
  • darbinieku apmācību par kiberhigiēnas pamatiem;
  • privātuma un informācijas drošības pārvaldības sistēmu izveidi;
  • līgumisku pienākumu noteikšanu apstrādātājiem.

Integrētas datu aizsardzības pieeju raksturo:

  • Ar personas datu aizsardzību saistītu pasākumu ieviešana (iekļaušana) jau personas datu apstrādes plānošanas un līdzekļu izstrādes posmā, padarot tos par neatņemamu apstrādes sastāvdaļu. Piemēram, datu apstrādes sistēmā jau sākotnēji tiek iestrādāta funkcija, kas automātiski dzēš personas datus pēc glabāšanas termiņa beigām.
  • Ar aizsardzības pasākumu integrēšanu apstrādē tiek veicināta priekšlaicīga apstrādes risku novērtēšana un novēršana, neatstājot to risināšanu uz brīdi, kad tie iestājušies. Piemēram, pirms sistēmas izmantošanas tiek veiktas tās drošības pārbaudes, veicot ielaušanās testus, lai pārliecinātos, vai nepastāv datu noplūdes riski.
  • Tiek pielietoti gan tehniski, gan organizatoriski pasākumi, lai apstrādes procesā nodrošinātu atbilstību datu aizsardzības prasībām. Piemēram, uzņēmumā pirms apstrādes uzsākšanas tiek nodrošināta gan apstrādē izmantojamo programmatūru atbilstība, gan veikta personāla apmācība par drošu datu apstrādi.

Efektivitāte

Efektivitāte ir integrētas datu aizsardzības jēdziena pamatā. Katram īstenotajam pasākumam jāsniedz plānotie rezultāti pārziņa paredzētajai apstrādei. Organizācijām nav noteikti specifiski pasākumi, kas jāveic. Tie jāpielāgo katrai konkrētai apstrādei, ņemot vērā iespējamos privātuma apdraudējuma riskus.  

Kad īstenojama integrēta datu aizsardzība?

Organizācijām ir svarīgi pievērsties datu aizsardzībai jau agrīnā posmā, plānojot jaunas apstrādes darbības un nosakot līdzekļus. Taču datu aizsardzības pasākumi jāuztur un regulāri jāvērtē arī visā apstrādes laikā, lai pārliecinātos, ka tie joprojām ir efektīvi.

Apstrādes līdzekļu[5] noteikšanas laiks ir posms, kurā pārzinis pieņem lēmumu par to, kā notiks apstrāde, un mehānismiem, kas tiks izmantoti. Tajā ietilpst datu apstrādes programmatūras, aparatūras un pakalpojumu izstrādes, iegādes un ieviešanas laiks.

Šādu lēmumu pieņemšanas procesā organizācijai ir jāizvērtē atbilstošie pasākumi un garantijas, lai efektīvi īstenotu principus un datu subjektu tiesības apstrādes procesā. Tāpat arī jāņem vērā tādi elementi kā tehnikas līmenis, īstenošanas izmaksas, raksturs, apmērs, konteksts un nolūks, kā arī riski.

Integritāte nozīmē, ka pārzinis pirms datu apstrādes uzsākšanas izvērtē iespējamos riskus un jau iepriekš pielāgo apstrādes mērķus un līdzekļus tā, lai tos novērstu.

Tas nodrošina, ka datu apstrāde tiek uzsākta un notiek saskaņā ar normatīvajiem aktiem. Agrīna datu aizsardzības pasākumu iekļaušana ir izdevīga arī no izmaksu viedokļa, jo vēlāk mainīt jau izveidotus apstrādes procesus var būt problemātiski un dārgi.

Apstrādes laikā (datu aizsardzības prasību uzturēšana un pārskatīšana)

Pēc apstrādes uzsākšanas organizācijām joprojām ir pienākums uzraudzīt, vai to veiktajā apstrādē iekļautie datu aizsardzības pasākumi darbojas un pilda to funkciju atbilstoši ieviešanas mērķim. Tāpat apstrādes darbību raksturs, apmērs un konteksts, kā arī risks var mainīties apstrādes gaitā. Tas nozīmē, ka organizācijai ir atkārtoti jāizvērtē savas apstrādes darbības, regulāri pārskatot un novērtējot izvēlēto pasākumu efektivitāti.

Vairāk par integrētu datu aizsardzību un datu aizsardzību pēc noklusējuma aicinām lasīt Eiropas Datu aizsardzības kolēģijas Pamatnostādnēs 4/2019 par 25. pantu Integrēta datu aizsardzība un datu aizsardzība pēc noklusējuma (pieejamas: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en)

Būsim pateicīgi, ja skaidrojuma kvalitātes novērtēšanas nolūkos aizpildīsiet šo aptauju - https://www.visidati.lv/aptauja/2103231148/.


[1] Datu regulas 25. panta 1. punkts

[2] Datu regulas 25. panta 2. punkts

[3] #DVIskaidro: Kas ir “privātums pēc noklusējuma”? (pieejams: https://www.dvi.gov.lv/lv/jaunums/dviskaidro-kas-ir-privatums-pec-noklusejuma)

[4] https://www.ipc.on.ca/sites/default/files/legacy/2018/01/pbd-1.pdf

[5] Apstrādes līdzekļi ir gan vispārīgi, gan sīki izstrādāti apstrādes plānošanas elementi, tostarp arhitektūra, procedūras, protokoli, izkārtojums un izskats.