Informējam, ka jau trešo gadu pēc kārtas, kopīgi ar “Latvijas Serticēto Personas Datu Aizsardzības Speciālistu Asociāciju”, SIA Data Security Solutions rīko semināru “Digitālā Ēra”, lai, sanākot kopā nozares vadošajiem specialistiem no valsts un privātā sektora, tiktu apspriesti jautājumi par privātumu internetā, kā arī par datu aizsardzību, aplūkojot jaunākās regulatīvās normas kā Latvijā, tā Eiropas Savienībā. Datu noplūdes problēma kļūst arvien aktuālāka ne tikai tehnoloģiju straujās attīstības kontekstā, bet arī kibernoziedznieku un pat valstu algotu specdienestu izsmalcinātības kontekstā. Īpašs uzsvars Eiropas Savienības kiberdrošības darba kārtībā ir tieši personas datu drošībai, ikviena digitālajam privātumam. Kā rūpēties par personas datu aizsardzību no tiesiskā, administratīvā, un tehnoloģiskā skatupunkta? Kādi ir apdraudējumi un kādi ir risinājumi? Kāda ir Eiropas Savienības vīzija datu drošības izaicinājuma novēršanai? Diskutēsim par to 21.aprīļa seminārā “Digitālā Ēra 2016”!"

1. Personas datu atbilstības novērtējuma
problemātikas
Arnis Puksts
Fizisko personu datu aizsardzības speciālists,
Latvijas Sertificēto Personas Datu Aizsardzības Asociācijas līdzpriekšsēdētājs

2. 21.04.2016 ©Arnis Puksts 2
Saturs
● Atbilstības novērtējums – obligātums vs
loģiskums ;
● Atbilstības novērtējums – cik daudz IT ?;
● Atbilstības novērtējums – kad veicams ?;
● Atbilstības novērtējums un tā veicējs ;
● Koppārziņi un operatori ;

3. 21.04.2016 ©Arnis Puksts 3
Obligāti?
● MK 2015.gada noteikumu Nr.216 "Kārtība, kādā sagatavo un iesniedz personas
datu apstrādes atbilstības novērtējumu", turpmāk ANMKN, 2.punkts imperatīvi
nosaka, ka noteikumi attiecas uz valsts un pašvaldību institūcijām un
privātpersonām tad, ja tām deleģēti valsts pārvaldes uzdevumi ;
● Vienlaicīgi, MK 2001.gada noteikumu Nr.40 "Personas datu aizsardzības obligātās
tehniskās un organizatoriskās prasības", turpmāk OPMKN, 6.punkts nosaka, ka
ikvienam pārzinim obligāti jāveic ieviesto tehnoloģisko un organizatorisko
novērtējumu, atbilstoši ANMKN pielikuma (tabulas) III daļai "Personas datu
aizsardzības un drošības pasākumi".

4. 21.04.2016 ©Arnis Puksts 4
Loģiski ?
● Atbilstības novērtējuma veikšana, pirmkārt, ir
paša pārziņa interesēs !
● Ņemot vērā, ka pārziņa pienākumi, saskaņā ar
Fizisko personu datu aizsardzības likuma,
turpmāk FPDAL, 10.panta pirmo daļu ir
citādāk zināmie « personas datu aizsardzības
principi » - tikai pilnīga Atbilstības novērtējuma
veikšana un konstatēto trūkumu novēršana
pārzinim ļauj apgalvot – ka viss ir kārtībā !

5. 21.04.2016 ©Arnis Puksts 5
Atbilstības novērtējums – cik daudz
IT ?
● ANMKN, 3.punktā paustā tēze : « Vērtējot personas
datu apstrādes faktiskos apstākļus, novērtētājs
intervē personas, kas iesaistītas personas datu
apstrādē un aizsardzībā, pārbauda iekšējās
procedūras, veic vizuālo novērtēšanu un pārbauda
dokumentus. »
● Bet – viens mazs piemērs [skat.nākošo slaidu!] ;
● Secinājums – bez IT zināšanām jēgpilnu Atbilstības
novērtējumu nav iespējams izveikt !

6. 21.04.2016 ©Arnis Puksts 6
Situācijas piemērs...
1.Ir tīmekļa (www) serveris;
2.Klienta-servera sesijas tiek šifrētas, izmantojot
SSL sertifikātu (protokols HTTPS);
3.Daļa no datiem datu bāzē arī ir šifrēta → tātad,
var prezumēt, ka dati gan pārsūtīšanas, gan
glabāšanas laikā ir pieejami tikai pārzinim.
Maza nianse – ir trešās puses pārvaldīts DdoS
aizsardzības risinājums...

7. 21.04.2016 ©Arnis Puksts 7
Atbilstības novērtējums – kad
veicams ?
● Atbilstoši ANMKN 4.punktam, Atbilstības
novērtējums jāveic :
– pirms personas datu apstrādes uzsākšanas
jaunam personas datu apstrādes mērķim ;
– pēc Datu valsts inspekcijas pieprasījuma ;
– pirms tādu izmaiņu veikšanas personas datu
apstrādē, kas ietekmē datu subjekta tiesības
vai intereses personas datu aizsardzības jomā;
– pēc iestādes iniciatīvas.

8. 21.04.2016 ©Arnis Puksts 8
Atbilstības novērtējums un tā
veicējs
● Atbilstības novērtējuma mērķis –
obligāti, « ķeksīša pēc » vai – lai patiesi pildītu
pārziņa pienākumus ?
● Neatkarīgums un objektivitāte - vai veicējs
tāds ir ?
● Zināšanas personas datu aizsardzībā ?
● Zināšanas IT (skat. slaidu Nr.5) !

9. 21.04.2016 ©Arnis Puksts 9
Operatora un pārziņa attiecības
● Atbilstības novērtējums ir pārziņa pienākums –
pārzinis izvēlas « atbilstības
novērtējuma veicēju » ;
● Saskaņā ar FPDAL 14.pantu, operators rīkojas
saskaņā ar rakstveidā noslēgto vienošanos ;
● Praksē ir problēmas ar operatoru attieksmi pret
« trešo pusi » - neatkarīgu Atbilstības
novērtējuma veicēju.

10. 21.04.2016 ©Arnis Puksts 10
Kopīgie pārziņi
● Saskaņā ar FPDAL 3.panta ceturto daļu « Ja
personas datu apstrādei ir vairāki pārziņi un
normatīvajos aktos nav noteikti katra pārziņa
pienākumi, viņi rakstveidā var vienoties par
savstarpējiem pienākumiem, lai izpildītu šo
likumu. »
● Šādā gadījumā neatkarīgs Atbilstības
novērtējuma veicējs ir būtisks !

11. 21.04.2016 ©Arnis Puksts 11
Jautājumi ?
Piebildes ?
Komentāri ?
Epasts arnis.puksts@gmail.com
m.t. 29235250