Publicēts pirms 8 gadiem. Izvērtē satura aktualitāti! >>
Datu valsts inspekcijas direktore Daiga Avdejanova: “Vecuma slieksnim, līdz kuram vecākiem būtu jādod piekrišana, lai viņa bērns varētu reģistrēties sociālajos tīklos, vajadzētu būt 16 gadiem. Tas zināmā mērā tomēr izskaustu nelikumīgus datu lietošanas gadījumus, jo informatīvais un izskaidrojošais darbs notiktu jau ģimenē.”
FOTO: Aiga Dambe, LV portāls
Aprīļa sākumā jūs apstiprināja DVI direktores amatā. Kādi ir galvenie darbi, kas tuvākajos gados būtu jāpaveic?
Esmu iezīmējusi īstermiņa un vidēja termiņa darbus. Pirmie saistās ar inspekcijas strukturālajām izmaiņām un kapacitātes celšanu, lai nākotnē spētu nodrošināt ES regulā ietvertās prasības un aktīvi varētu iesaistīties jaunā Datu aizsardzības likumprojekta izstrādē.
Iestādē ir 25 amata vietas, no kurām daļa – sešas - patlaban ir vakantas. Lai izpildītu DVI paredzētos uzdevumus, tās ir jānokomplektē ar profesionāliem darbiniekiem. Atsevišķus IT pakalpojumus, iespējams, nodosim ārpakalpojumā.
Saskaņojot ar Tieslietu ministriju un Valsts kanceleju, pirmkārt, vēlamies izveidot Starptautiskās sadarbības nodaļu, kas arī īstenotu vienas pieturas aģentūras principus.
Ilgtermiņā DVI uzdevums ir ES regulas prasību ieviešana, kas Latvijai jāizdara divu gadu laikā, līdz 2018. gada vidum. Līdz šim laikam kopā ar Tieslietu ministriju, personu datu aizsardzības ekspertiem ir jāizstrādā jauns Datu aizsardzības likumprojekts.
Pašreizējie ES datu aizsardzības noteikumi ir veci - izstrādāti 1995. gadā. Kādi patlaban Latvijā ir spēkā datu aizsardzības noteikumi, pēc kuriem vadāties?
Patlaban Latvijā datu aizsardzību regulē Fizisko personu datu aizsardzības likums, kas pieņemts 2000. gadā un kurā iekļautas tiesību normas, kas izriet no ES Parlamenta un Padomes 1995. gada 24. oktobra direktīvas par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, un Ministru kabineta noteikumi Nr. 40, kuri, ņemot vērā digitālo laikmetu, vairs nav tik piemēroti mūsdienu situācijai un citi. Likumā gan ir veikti grozījumi – pēdējie 2014. gadā.
Kāpēc Latvijā ir vajadzīgs jauns Datu aizsardzības likums? Varbūt varētu iztikt ar kādiem grozījumiem?
Jaunajā likumā tiks ietverti visi ES regulā aktualizētie datu aizsardzības principi un atbildība. Stingrākas prasības tiks izvirzītas datu informācijas sistēmu uzturētājiem jeb tā sauktajiem "pārziņiem". Tiks mainīta sodu sistēma. Patlaban to piemēro, vadoties pēc Latvijas Administratīvo pārkāpumu kodeksa. Nākotnē varēs piemērot bargākus sodus, ņemot vērā komersanta apgrozījumu. Komersantiem, kuri neievēros likumos paredzēto – īpaši par nelikumīgu datu apstrādi, varēs piešķirt naudas sodus līdz pat 2-4% apmērā no apgrozījuma. Naudas soda lielums būs atkarīgs no pārkāpuma.
Kāpēc jāmaina sodu sistēma?
Latvijā kopumā tiks mainīta sodu sistēma – Latvijas Administratīvo pārkāpumu kodekss ir gana vecs. Pašreizējie sodi datu aizsardzības jomā nav efektīvi, tie nesasniedz mērķi. Efektīvākais veids būtu noteikts procents no apgrozījuma, ko paredz arī ES regula - lielāka atbildība datu informācijas sistēmu uzturētājiem.
Vai pēdējā laikā esat piemērojuši sodu kādam komersantam vai publiskai iestādei par nopietnu datu aizsardzības neievērošanu?
Patlaban, reaģējot uz vairāku privātpersonu iesniegumiem, inspekcija pārbauda kādu valsts akciju sabiedrību, kuru – publiski nevaru izpaust. Sods varētu būt bargs – maksimālais 14 000 eiro. Šajā iestādē dati, ja tā var teikt, ir dzīvojuši haosā. Tie netika pienācīgi aizsargāti, izveidotā sistēma periodiski netika pārskatīta. Dati dažubrīd bija apstrādāti nelikumīgi.
Esat izteikusies, ka valsts pārvaldes iestādēs obligāti būs jābūt personu datu aizsardzības speciālistam. Tātad šis būs tas speciālists, kas gādās, lai organizācijā nav haoss ar datiem?
Jā, tā būs viņa atbildība.
Vai šis speciālists darbosies amatu apvienošanas kārtā vai būs atsevišķa štata vieta?
Valsts pārvaldes iestādes pēc lieluma ir dažādas, un arī sistēmas, ko tās uztur, ir gan atšķirīgas skaitliski, gan pēc lieluma. Atsevišķa štata vieta daudzām institūcijām droši vien būtu nesamērīga prasība, daudzās publiskās iestādēs nebūtu pilnas noslodzes.
Personu datu aizsardzības speciālistiem darbs būs jāuzsāk pēc diviem gadiem, kad stāsies spēkā jaunais Datu aizsardzības likums.
Un privātajiem komersantiem – vai arī tiem datu aizsardzībai vajadzēs algot speciālu darbinieku?
Ja privātie komersanti uzturēs nozīmīgas informācijas sistēmas, iespējams, arī uz viņiem attieksies šī prasība. To darba grupa sapratīs un izvērtēs Datu aizsardzības likumprojekta izstrādes gaitā.
Kā DVI veic pārbaudes - ir izstrādāts darbības plāns, kas ir jāpārbauda?
Katru gadu inspekcija izvirza prioritātes, nosaka riska jomas, kurās veic pārbaudes. Tās notiek arī uz privātpersonu iesnieguma pamata.
Ko pēc pārbaužu veikšanas iepriekšējos darbības gados esat secinājuši? Kā valsts rīkojas ar datiem, vai apzinīgi?
Ir saskatāmas zināmas problēmas valsts informācijas sistēmas uzturētājos un šajās sistēmās esošo datu nodošanā atkalizmantotājiem. Piemēram, Uzņēmumu reģistra (UR) sistēma un datu nodošana atkalizmantotājam SIA "Lursoft IT".
Jūs domājat notikumus pērnruden, kad publiski pieejamos UR datos bija atrodams mazgadīga bērna vārds?
Jā, arī tas. Arī citu institūciju sistēmās atsevišķos gadījumos ir novērota datu pieejamība, apstrāde un izmantošana ārpus amata pilnvaru robežām.
Kādiem nolūkiem? Nejauši?
Lielākoties tas ir izpratnes trūkuma dēļ.
Nav attiecīga līmeņa speciālistu, kas nepievērš pienācīgu uzmanību noteikumiem?
Amatu pilnvaras to pieļauj, bet ir jautājums – kad un kādā apjomā? Ir daļa datu, ko ir pienākums apstrādāt, bet iestādes paņem informāciju plašākā apjomā un apstrādā arī citus datus.
ES regula paredz, ka vecākiem būs jādod piekrišana, lai viņa bērns varētu reģistrēties sociālajos tīklos. Turklāt Latvijai būs jāizvēlas vecuma slieksnis, no kura būs nepieciešama atļauja. Pašlaik reālākais variants esot 13 gadu vecums.
Vairāk sliecos uz vecuma slieksni 16 gadi. Kāpēc? Tāpēc, ka 16 gados jaunietis jau ir saņēmis personu apliecinošu dokumentu (pasi vai identifikācijas karti (iD) karti), un līdz ar to šajā vecumā personu ir iespējams nepārprotami identificēt, kā arī jaunieši jau apzinās savas rīcības sekas. Turklāt šajā vecumā daudzos gadījumos jaunieši jau spēj patstāvīgi aizsargāt un aizstāvēt savas tiesības un izpildīt savus pienākumus.
Sociālajos tīklos "Draugiem.lv", "Facebook" vai kur citur bērns varētu reģistrēties, norādot neatbilstošu vecumu, piemēram, 13 gadus vecs var norādīt, ka viņam ir 18 gadu. Patlaban to nav iespējams izkontrolēt.
Pāris gadu laikā, līdz jaunie likumi būs spēkā, piemēram, sociālo tīklu komersantiem būs jāievieš rīks, kas ļaus gūt skaidru pārliecību, ka bērna vecāks ir devis savu piekrišanu bērnam reģistrēties konkrētajā platformā. Kā to varēs izdarīt?
Kā SIA "Draugiem", kas uztur portālu "Draugiem.lv", identificēs, vai jaunietis ir vai nav norādījis atbilstošu vecumu? Ir jādomā, kādi varētu būt rīki, mehānismi. Piemēram, viens no risinājumiem būtu, ka uz "Draugiem" biroju, kas atrodas tikai Rīgā, bērns dodas kopā ar vecākiem, lai tēvs vai māte dotu piekrišanu bērna datu apstrādei un lai pārliecinātos par bērna vecumu. Bet, ja esi no Daugavpils, vai ir iespēja atbraukt? Un vai tas būtu lietderīgi un efektīvi?
Šāds risinājums droši vien negūtu sabiedrības atsaucību.
Nākamais risinājums – identifikācija būtu, izmantojot portālu "Latvija.lv" vai internetbanku.
Tas jau būtu reālāk.
Bet kur ir garantija, ka vecāki prot rīkoties ar internetu? Vai viņiem ir internetbanka? Šobrīd grūti prognozēt, kādi būs visatbilstošākie identifikācijas rīki un risinājumi.
Bet vai vispār vajadzētu ieviest kādus ierobežojumus reģistrācijai bērniem bez vecāku ziņas sociālajos tīklos?
Jā, jo uzskatu, ka bērni līdz 13 gadiem līdz galam neapzinās savu rīcību, lejupielādējot dažāda veida fotogrāfijas vai jebkāda cita veida informāciju. Šāds vecums būtu piemērots, lai mazinātu administratīvo slogu vecākiem. Un apdraudējums ir ne tikai viņam pašam, bet tādējādi tiek ietekmēti arī citi bērni vai ģimene, ja tiek ievietotas ģimenes fotogrāfijas. Protams, fotogrāfijas tiek izplatītas, ļaunprātīgi izmantotas un nozagtas.
Vecāku piekrišana darboties sociālajā vidē vajadzīga arī tādēļ, ka bērni veido profilus citu vienaudžu vārdā, lai tādējādi viņus ietekmētu vai aizskartu. Ir novērota ļaunprātīga citu bērnu tiesību aizskaršana.
Cik bieži saskaraties ar šādiem gadījumiem?
Patlaban izmeklējam divas šādas lietas. Pērn gan šādi gadījumi nav apkopoti.
Tomēr varētu teikt, ka reizi divos mēnešos izmeklējam situācijas, kad sociālajos tīklos bērni aizskar savus vienaudžus – izmanto nelikumīgi citu personu datus – vārdus, uzvārdus. Informācija ir bijusi kaut kur pieejama vai arī apzināti nozagta, un tiek veidoti viltotie profili.
Tas, ka vecāki dos savu piekrišanu bērnam darboties sociālajos tīklos šādus gadījumus izskaudīs? Vai nebūs tā, ka vienreiz piekritīs, bet nekontrolēs līdzi, ko atvase internetā katru dienu dara?
Es arī par to aizdomājos. Tamdēļ arī vajadzētu ieviest 16 gadu slieksni. Manuprāt, vecāku piekrišana zināmā mērā tomēr izskaustu nelikumīgus datu lietošanas gadījumus, jo informatīvais un izskaidrojošais darbs notiktu jau ģimenē.
Tad DVI nebūtu atsevišķās skolās jāveido apmācības vai informatīvās programmas, lai skaidrotu, piemēram, robotu ierašanos vai kā lietot viedtālruni. Patlaban esam uzsākuši sarunas ar Rīgas pašvaldību, ka skolās skaidrosim sociālo tīklu izmantošanu un tieši savu datu aizsardzību.
ES regula paredz arī tiesības tikt aizmirstam internetā (iespēju lūgt izdzēst par sevi datus). Vai jau patlaban var lūgt pārlūkprogrammām, piemēram, "Google", izdzēst savus datus?
Šādi gadījumi DVI vēsturē nav bijuši. Bet nākotnē personu tiesības būt aizmirstam tiek plānotas un to īstenosim ar inspekcijas vienas pieturas aģentūras palīdzību.
Bet ja pēc desmit gadiem es vēlēšos atkal nebūt "aizmirsta"? Datus varēšu atjaunot?
Jā, varēsiet. Personai pašai ir tiesības veidot un vadīt savu dzīvi tādu, kā pati vēlas.
Bet kāda jēga ir šādām tiesībām?
Tās ir tiesības kontrolēt savus datus, tos izņemt vai ievietot internetā. Patlaban tie tiek ievietoti un saglabāti uz mūžu. Bet, ja dati ir kļūdaini un labojami vai vairāk nevēlos, ka šie dati ir publiski pieejami, tad lūdzu šos datus dzēst, labot, pilnībā vai daļēji izdzēst.
Latvijā dzīvo nepilni divi miljoni iedzīvotāju. Ja pie DVI griezīsies, piemēram, katrs piektais?
Šobrīd DVI kapacitāte šai funkcijai ir nepietiekama. Lai no 2018. gada īstenotu arī šo funkciju, ir jāpalielina darbinieku skaits, kuri ir arī jāapmāca. Tā ir viena no mana darba prioritātēm.
Kā Latvijā kopumā tiek aizsargāti personu dati darba attiecībās? Piemēram, ja sakarā ar nepilngadīgu bērnu pienākas papildatvaļinājums, vai darba devējam ir jāuzrāda bērna dzimšanas apliecības vai pases kopija?
Pases kopijas ir tiesības iegūt un glabāt tikai iestādēm/personām, kurām šādas tiesības ir tieši paredzētas kādā ārējā normatīvajā aktā. Piemēram, konkrētos gadījumos tās ir Augstskolu likumā, kā arī Noziedzīgi iegūtu līdzekļu un terorisma finansēšanas novēršanas likumā noteiktas personas šajos likumos noteiktajos gadījumos. Citos gadījumos pašreizējais regulējums neparedz pases kopiju iegūšanu un glabāšanu.
Vispareizākais būtu, ka uzrādiet pasi vai bērna dzimšanas apliecību, un darba devējs pārliecinās par fakta patiesumu. Bet pases kopija darba devējam nav nepieciešama tieši šādam mērķim. Ja arī tiek iedota pases kopija konkrētam mērķim, tad, kad glabāšanas termiņš ir beidzies konkrētā mērķa sasniegšanai, dokumenta kopija ir jāiznīcina. Vai to izdara? Pieļauju, ka lielākajā daļā gadījumā par to tiek piemirsts.
Kāda ir datu aizsardzība komercattiecībās? Nesen, pārreģistrējoties no viena mobilā operatora uz otru, man lūdza nokopēt pasi, piekritu. Bieži vien komercattiecībās uzkrājas dati, kuriem nevajadzētu tur būt.
Tieši tā. Starp citu, par pasi Personu apliecinošu dokumentu likuma 2. panta otrajā daļā ir noteikts, ka tā ir Latvijas Republikas īpašums, bet minētā likuma 15. pants noteic personu apliecinoša dokumenta (t.sk. pases) lietošanas ierobežojumus, tai skaitā 15. panta 6. punkts noteic, ka personu apliecinoša dokumenta turētājs personu apliecinošu dokumentu nedrīkst izsniegt citai personai, izņemot šajā likumā noteiktos gadījumus.
Ja atļaujat nokopēt pasi, jāņem vērā, ka apstrādātais datu apjoms ir krietni lielāks. Piemēram, pasē ir ierakstīts jūsu augums. Vai mobilajam operatoram tas ir jāzina?
Laikam taču nē.
Piekrītu. Datu apjoms tika apstrādāts neatbilstoši mērķim.
Kā vajadzēja darīt?
Vajadzēja uzrādīt pasi un informācijas sistēmā ievadīt tikai nepieciešamos datus. Bija jāpārliecinās par jūsu identitāti, jāsalīdzina dati un nepieciešamie dati jāfiksē.
Tagad kopija palika.
Iepriekšējam operatoram bija jūsu pases kopija noteikti jāiznīcina. Jums bija tiesības pārliecināties, vai viņš to ir izdarījis. Lai nesanāk tā, ka pēc gada kaut kur nesankcionēti parādās jūsu personas dati. Pārziņiem, datu apstrādātājiem, jābūt ļoti atbildīgiem.
Vai cilvēki bieži sūdzas par datu neaizsargātību?
Jā, daudzi. Vairāk ir gadījumi, kad uzdod jautājumu, vai drīkstēja tā darīt? Cilvēks uzskata, ka viņa dati ir aizsargājami un šaubās, vai tie tiks godprātīgi, likumīgi apstrādāti un aizsardzība tiks nodrošināta arī turpmāk.
Ir gadījumi, kad konstatējam, ka datu apstrāde nav notikusi likumīgi, tad atkarībā no pārkāpuma smaguma piemērojam Latvijas Administratīvo pārkāpumu kodeksā noteiktos sodus.
Vai pārkāpumus vairāk izdara valsts vai privātā jomā?
Vairāk komercsabiedrības.
Martā darbu vajadzēja sākt jaunizveidotajam Rīgas domes Datu aizsardzības un informācijas tehnoloģiju drošības centram, lai nodrošinātu Fizisko personu datu aizsardzības likuma, Informācijas tehnoloģiju drošības likuma un citu tiesību aktu personas datu aizsardzības un informācijas tehnoloģiju drošības jomā koordinētu ieviešanu un regulāru pārraudzību. Vai šādi centri būtu vajadzīgi katrā pašvaldībā?
Tā ir Rīgas domes iniciatīva. Patlaban, spriežot pēc Rīgas domes mājaslapas, neesmu pārliecināta, ka šāda institūcija ir sākusi darbu.
Domāju, Rīgas pašvaldība – tas ir izņēmums. Lielākajās Latvijas pašvaldībās nebūtu vajadzīga šāda struktūrvienība gan no līdzekļu izlietojuma, darba apjoma, gan personāla kompetences viedokļa.
Kā DVI kā iestādei pašai sekmējas datu aizsardzībā?
Ļoti labs jautājums. Kā jebkurai institūcijai, inspekcijā ir iekšējais regulējums, kā datus aizsargājam. Ja amata pienākumu veikšanai tie nav vairāk vajadzīgi, dokumentu kopijas pēc iespējas ātrāk iznīcinām vai dokumentus arhivējam atbilstoši noteiktajam.
Darbiniekiem ir aizliegums izpaust jebkāda veida informāciju, kas viņam kļuvusi zināma amata pienākumu veikšanas laikā, iznest dokumentus ārpus inspekcijas telpām. DVI strādā augsta riska jomā – daudz ir privātpersonu iesniegumu, kuru dati ir jāaizsargā.
Informācijas tehnoloģiju drošības incidentu novēršanas institūcija "Cert.lv" ik pa laikam ziņo, ka atsevišķu iestāžu mājaslapas ir mēģināts uzlauzt. Vai DVI arī ir ar to saskārusies?
Manā rīcībā šādas informācijas nav. IT infrastruktūras un mājaslapas uzturēšana nodota ārpakalpojumā.
