Jaunā Eiropas Savienības personas datu aizsardzības regula teju ikvienā uzņēmumā kļūst par arvien apspriestāku jautājumu, jo tās spēkā stāšanās termiņš (2018.gada 25.maijs) strauji tuvojas. Tādēļ jau ceturto gadu pēc kārtas, sadarbojoties ar “Latvijas Sertificēto Personas Datu Aizsardzības Speciālistu Asociāciju”, viens no vadošajiem kiberdrosības uzņēmumiem Baltijā “Data Security Solutions” 26.aprīlī rīko Latvijas lielāko personas datu aizsardzības regulas pasākumu (EU GDPR - General Data Protection Regulation) “Digitālā Ēra 2017”, kurā vadošie speciālisti no privātā un valsts sektora dalīsies pieredzē un zināšanās, aplūkojot jaunākos un inovatīvākos risinājumus, kā arī jaunākās tirgus tendences un regulatīvās normas kā Latvijā, tā visā Eiropas Savienībā. Vairāk: https://digitalaera.dss.lv/
Digitala Era 2017 - BOD LAW - Līva Aleksejeva - LIELIE DATI un personas datu aizsardzība
1. BIG DATA jeb lielie dati datu aizsardzības
kontekstā
Līva Aleksejeva
ZAB «BDO Law» vecākā juriste
Sertificēta datu aizsardzības speciāliste
2017. GADA APRĪLĪ, RĪGĀ
3. Aktualitāte Faktori, kas veicina datu un informācijas vieglāku pieejamību, lielāku datu apjomu:
o Tehnoloģiju attīstība
o Lietu internets
o Datu apstrāde, tai skaitā uzglabāšana, ir kļuvusi vienkāršāka un lētāka
o Iespējas izmantot datus biznesā
Lai arī lielo datu apstrāde var radīt dažādus ieguvumus biznesam, tā ir saistīta arī ar
riskiem un izaicinājumiem personas datu aizsardzībā
Par pārkāpumiem – sods līdz 20 milj. EUR vai 4% no visā pasaulē gūtā gada
apgrozījuma
2
BIG DATA JEB LIELIE DATI
4. • Šobrīd spēkā Fizisko personu datu aizsardzības likums, kurā pārņemtas direktīvas
95/46/EC normas
• Spēkā stājusies Vispārīgā datu aizsardzības regula 2016/679 (turpmāk – Regula),
kas kļūs piemērojama no 2018. gada 25. maija
• Regula nostiprina datu aizsardzības prasības, datu subjektu tiesības, vienlaikus
saglabājot esošā regulējuma principus
3
Fizisko
personu datu
aizsardzība
BIG DATA UN PERSONAS DATU AIZSARDZĪBA
5. Dažas būtiskākās nianses datu aizsardzības un Regulas kontekstā:
o Profilēšana, automatizēta lēmumu pieņemšana
o Datu minimizēšanas princips
o Nolūka ierobežojumi
4
Fizisko
personu datu
aizsardzība un
lielie dati
BIG DATA UN PERSONAS DATU AIZSARDZĪBA
6. 5
Profilēšana
BIG DATA UN PERSONAS DATU AIZSARDZĪBA
“profilēšana” ir jebkura veida automatizēta personas datu apstrāde, kas
izpaužas kā personas datu izmantošana nolūkā izvērtēt konkrētus ar fizisku
personu saistītus personiskus aspektus, jo īpaši analizēt vai prognozēt
aspektus saistībā ar minētās fiziskās personas sniegumu darbā, ekonomisko
situāciju, veselību, personīgām vēlmēm, interesēm, uzticamību, uzvedību,
atrašanās vietu vai pārvietošanos (Regulas 4.panta 4.punkts)
Datu subjektam ir tiesības nebūt tāda lēmuma subjektam, kura pamatā ir
tikai automatizēta apstrāde, tostarp profilēšana, kas attiecībā uz datu
subjektu rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu
subjektu (Regulas 22.panta 1.punkts)
7. 6
Datu
minimizēšana
un nolūka
ierobežojumi
BIG DATA UN PERSONAS DATU AIZSARDZĪBA
Personas dati: tiek vākti konkrētos, skaidros un leģitīmos nolūkos, un to
turpmāku apstrādi neveic ar minētajiem nolūkiem nesavietojamā veidā
(Regulas 5.panta 1.punkta (b) apakšpunkts)
• Lielo datu ievākšana praksē bieži vien notiek bez skaidri identificēta mērķa
• Apstrādes procesa gaitā konstatēts, ka datus faktiski iespējams izmantot citam,
iepriekš neparedzētam, mērķim
• Personas datu apstrāde nolūkos, kas nav tie, kādos personas dati sākotnēji tika
vākti, būtu jāatļauj tikai tad, ja apstrāde ir saderīga ar tiem nolūkiem, kādos
personas dati sākotnēji tika vākti (Regulas 50.apsvērums)
• Datu subjekta piekrišana
Personas dati: ir adekvāti, atbilstīgi un ietver tikai to, kas nepieciešams to
apstrādes nolūkos (Regulas 5.panta 1.punkta (c) apakšpunkts)
8. 7
Kam jāpievērš
uzmanība?
BIG DATA UN PERSONAS DATU AIZSARDZĪBA
1. Iekšējo procedūru un procesu izstrāde
2. Informācijas sniegšana datu subjektiem – skaidra, vienkārša valoda, vizualizācija
3. Detalizēta informācija privātuma politikās
4. Datu anonimizēšana, kur iespējams
5. Datu aizsardzība pēc noklusējuma (piemēram, pseidonimizācija, datu
minimizēšana)
6. Novērtējums par ietekmi uz datu aizsardzību
(Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes
raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu
tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās
apstrādes darbības ietekmēs personas datu aizsardzību)
7. Jāizvērtē nepieciešamība iecelt datu aizsardzības speciālistu
(Pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un/vai nolūku
dēļ nepieciešama regulāra un sistemātiska datu subjektu novērošana plašā mērogā)
Liela apjoma informācija, kas tiek iegūta no dažādiem avotiem – sociālajiem tīkliem, interneta, dažādām viedierīcēm, informācijas sniegšanas veidlapām u.tml.
Saistīti ar dažādām automatizētām analīzes un apstrādes metodēm, ko izmanto, lai no lielā datu apjoma iegūtu noderīgu informāciju
Ja ietver personas datus – jāievēro personas datu aizsardzības prasības
Lielie dati – nav izņēmums no datu aizsardzības prasību piemērošanas
Regula profilēšanu neaizliedz, bet dod datu subjektam tiesības iebilst, pastāvot noteiktiem apstākļiem
Pretstatā - lielo datu pieeja ir saistīta ar visas iespējamās informācijas ievākšanu no dažādiem pieejamiem avotiem un sekojošu šīs informācijas apstrādi