Atslēgvārdi:

Pār mēru informētā valsts

Aicinu sašaurināt reģistrējamo informācijas sistēmu loku, iekļaujot tikai sistēmas, kuras apstrādā sensitīvus pesonu datus vai, izmantojot šos datus, sniedz pakalpojumus. Steidzami jāizstrādā garantijas, kas aizsargā sistēmu īpašniekus vai valdītājus no valsts patvaļas.

Iesaki citiem:

Igaunija cenšas pasaulē izcelties ar pirmo e-valdību, Lietuva ar peldošu naftas terminālu, bet Latvija izceļas ar to, ka mums vienīgajiem Eiropas kontinentā ir savi Informācijas sistēmu drošības noteikumi, un tagad tie būs jāievēro visiem, kas apstrādās fizisko personu datus. Līdz ar to, manuprāt, Fizisko personu datu aizsardzības likums no instrumenta, kura pienākums ir aizsargāt cilvēktiesības, ir kļuvis par valsts instrumentu plašas informācijas ievākšanai par trīs ceturtdaļām, bet varbūt par vairāk, valsts teritorijā funkcionējošām datorsistēmām. Jebkura informācija, kas atrodas valsts rokās, ir ļoti spēcīgs instruments, lai to attiecīgos gadījumos varētu pielietot arī represīvos nolūkos.

Fizisko personu datu aizsardzības likuma mērķis ir aizsargāt fizisko personu pamattiesības un brīvības, it īpaši privātās dzīves neaizskaramību, attiecībā uz fiziskās personas datu apstrādi. Likums nosaka, ka personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisko personu, bet datu apstrāde – jebkuras ar tiem veiktas darbības, ieskaitot datu vākšanu, reģistrēšanu, ievadīšanu, glabāšanu, sakārtošanu, pārveidošanu, izmantošanu, nodošanu, pārraidīšanu un izpaušanu, bloķēšanu vai dzēšanu. Likums prasa, lai visas valsts un pašvaldību institūcijas, citas fiziskās un juridiskās personas, kas veic vai vēlas uzsākt personas datu apstrādi un veido personas datu apstrādes sistēmas, reģistrē tās šajā likumā noteiktajā kārtībā, ja vien nav noteikts citādi. Savukārt personas datu apstrādes sistēma šā likuma izpratnē ir jebkādā formā fiksēta strukturizēta personas datu kopa, kas ir pieejama, ievērojot attiecīgus kritērijus.

Tātad, ievērojot likuma prasības, Valsts datu inspekcijai (VDI) līdz šā gada sākumam bija jāreģistrē vairāk nekā 250 000 datu apstrādes sistēmu. Pirms gada, pieņemot Ministru kabineta noteikumus par personu datu apstrādes sistēmas obligātajām prasībām, valdība nolēma, ka šo sistēmu vispārīgos drošības noteikumus regulēs jau raksta sākumā minētie Informācijas sistēmu drošības noteikumi.

Kāds ļaunums, ka šie MK noteikumi par informācijas sistēmu drošību tiek piesaistīti Fizisko personu datu aizsardzības likuma prasībām?

Pirmkārt, šiem juridiskiem aktiem ir atšķirīgi mērķi un uzdevumi. Informācijas sistēmu drošības noteikumi nosaka, ka informācijas sistēmas drošība ir informācijas pieejamības, integritātes un konfidencialitātes nodrošināšana informācijas sistēmā, bet IS ir datu ievadīšanas, uzglabāšanas un apstrādes sistēma, kas paredz lietotājpieeju tajā glabātajiem datiem vai informācijai. Tātad, likumā definētā datu apstrādes sistēma ievērojami paplašina MK noteikumu subjektu loku, jo teorētiski par šādu datu apstrādes sistēmu var atzīt arī elektronisku piezīmju grāmatiņu, bet daži kolēģi smīnot saka, ka šī definīcija var tikt attiecināta arī uz jebkuru strukturētu datu kopu, to skaitā arī uz manu kabatas grāmatiņu. Izņēmums ir tikai tad, ja es šos datus izmantoju personiskām vajadzībām. Interesanti, kā VDI to pārbaudīs, vai kratīs manas kabatas, vai pārkāps Satversmes 96.pantu, kas nosaka ikviena tiesības uz privātās dzīves, mājokļa un korespondences neaizskaramību.

Otrkārt, mēs radīsim nelabvēlīgu vidi e-komercijas un citu e-aktivitāšu attīstībai. Noteikumi tika izstrādāti vadoties no OECD (Organisation for Economic Cooperation and Development – Ekonomiskās sadarbības un attīstības organizācija) vadlīnijām par informācijas sistēmu drošību, kas ietver sevī tādus principus kā proporcionalitāte, daudzslāņainība, informācijas klasifikācija. Ja mēs savienojam noteikumus ar datu aizsardzības likuma prasībām, tad mēs praktiski ievērojami paplašinām noteikumiem pakļauto sistēmu skaitu un valsts vārdā šīm sistēmām uzspiežam ievērojamus finansiālus izdevumus, jo fiziskās un loģiskās aizsardzības pasākumi ir pietiekami dārgi. Līdz ar to, mēs praktiski likvidējam noteikumos paredzēto informācijas klasifikācijas shēmu, jo informācijas sistēmā, kura apstrādās fizisko personu datus, visa informācija būs jākvalificē kā konfidenciāla, augsta vai vidēja riska informācija. Tas var radīt situāciju, ka informācijas sistēmu īpašnieki vai valdītāji, lai izvairītos no papildus izdevumiem, turpmāk glabās šādus datus citā informācijas nesējā.

Treškārt, valsts var izveidot totālu regulēšanas un sodīšanas sistēmu. Pirmie soļi jau šajā virzienā tiek sperti, jo VDI ir iesniegusi valdībā grozījumus Administratīvo pārkāpumu kodeksā, kur paredzēts sodīt tos sistēmu īpašniekus vai valdītājus, kas nebūs reģistrējušies, ar naudas sodu līdz pat 1000 latiem un perspektīvā paredzēs arī sodīt par personu datu aizsardzības prasību neievērošanu un drošības noteikumu neizpildi. Valsts ir atradusi efektīvu līdzekli, kā papildināt savu budžetu. Tas ir ļoti bīstami, jo es esmu pārliecināts, ka daudzas informācijas sistēmas finansiālu apsvērumu dēļ nevarēs to izpildīt, jo MK noteikumi paredz, ka valsts un pašvaldību institūcijas tajos paredzētos pasākumus veic tikai budžeta ietvaros. Tad perspektīvā var ļoti sekmīgi pielietot vēl ietekmīgākus sodus. Proti, atzīt šo informācijas sistēmu īpašniekus un valdītājus par vainīgiem personu datu aizsradzības formālu prasību neizpildē, iekļaut Krimināllikumā jaunu pantu, kas paredz atbildību par minētā likuma prasību neievērošanu, ja persona par šādu pārkāpumu jau sodīta administratīvi, un tiesa būs spiesta piemērot kriminālsodu, jo formāli likuma burts būs pārkāpts. Es ceru tomēr, ka likumdevējs nepieļaus šādas nejēdzības.

Tāpēc es aicinu, pirmkārt, aktīvi uzsākt diskusiju par likumā paredzēto reģistrējamo sistēmu loka sašaurināšanu, paredzot reģistrēt tikai tās sistēmas, kas apstrādā sensitīvus pesonu datus un kas, izmantojot šos datus, sniedz pakalpojumus. Likuma 2.panta 8.punktā par sensitīviem atzīti dati, kas norāda personas rasi, etnisko izcelsmi, reliģisko, filozofisko un politisko pārliecību, dalību arodbiedrībās, kā arī sniedz informāciju par personas veselību vai seksuālo dzīvi.

Otrkārt, Informācijas sistēmu drošības noteikumos izslēgt 3.4. un 4.punktu, respektīvi, neattiecināt šos noteikumus uz informācijas sistēmām, kurās glabā un apstrādā personas datus saskaņā ar Fizisko personu datu aizsardzības likumu.

Treškārt, steidzami izstrādāt garantiju un nosacījumu sistēmu, kas aizsargā informācijas sistēmu īpašniekus vai valdītājus no valsts patvaļas, paredzot ne tikai personu datu, bet arī Satversmes Cilvēka pamattiesību nodaļā minēto tiesību aizsardzību.

Iesaki citiem:
Creative commons c6ae3e51884b139b45a669ce829ac99646bf0ceb328fc95963f1703a58a032d0 CREATIVE COMMONS LICENCE ĻAUJ RAKSTU PĀRPUBLICĒT BEZ MAKSAS, ATSAUCOTIES UZ AUTORU UN PORTĀLU PROVIDUS.LV, TAČU PUBLIKĀCIJU NEDRĪKST LABOT VAI PAPILDINĀT. AICINĀM ATBALSTĪT PROVIDUS.LV AR ZIEDOJUMU!