Drošība, datu noplūdes un izspiedējvīrusi: uzbrukumi, kas jāuztver nopietni.

Juridiskā uzraudzība Nr. 32 — 2021. gada februāris

Drošība, datu noplūdes un izspiedējvīrusi: uzbrukumi, kas jāuztver nopietni. Prese februāra beigās atkārtoja Masveida datu noplūde medicīnas nozarē.

Pirms brīvas publicēšanas internetā, specializētā forumā tika pārdota sensitīva informācija par vairāk nekā 500 000 cilvēku, tostarp asinsgrupas un sociālās apdrošināšanas numuri.

Šajā datu sarakstā ir iekļauti arī lietotājvārdi un paroles, kas ļāva šiem pacientiem izveidot savienojumu ar medicīnas centriem un analīzes laboratorijām, kuras skāra datu noplūde.

Notiek tiesas izmeklēšana, un lietu ir uzņēmušās gan ANSSI, gan CNIL.

Datu pārkāpuma nopietnība ir tikpat lielā mērā atkarīga no skarto cilvēku skaita, cik no datu sensitīvā rakstura.

Šī ir iespēja izvērtēt pasākumus, kas jāveic, lai reaģētu uz šādiem uzbrukumiem un, pats galvenais, lai jau iepriekš pasargātu sevi no tiem.

CNIL, kā arī ANSSI un Tieslietu ministrija ir publicējušas vairākas rokasgrāmatas, lai palīdzētu datu pārziņiem pasargāt sevi no šādiem drošības pārkāpumiem.neatkarīgi no tā, vai tā ir iekšēja kļūme vai izspiedējvīrusa uzbrukums.

Jo īpaši CNIL publicētajos ieteikumos ir uzskaitīti dažādi datu apstrādes drošības pārvaldības posmi.

Pēc būtības ir lietderīgi:

• Identificējiet datu apstrādi un tās atbalsta līdzekļus (aparatūru, programmatūru, saziņas kanālus, papīra formāta līdzekļus):

• Novērtēt katras apstrādes darbības radītos riskus un noteikt iespējamo ietekmi uz attiecīgo personu tiesībām un brīvībām nelikumīgas piekļuves datiem, nevēlamas datu grozīšanas vai datu pazušanas gadījumā.

Apstrādājot īpašas datu kategorijas, piemēram, veselības datus, datu pārkāpuma ietekme uz datu subjektiem ir vēl lielāka.

Tāpēc šādai ārstēšanai nepieciešama rūpīga riska novērtēšana.

• Identificējiet riska avotus (cilvēka radītus avotus un avotus, kas nav saistīti ar cilvēku).
• Analizējiet iespējamos draudus, t. i., iespējamos izraisītājnotikumus (piemēram, vandālismu, dabiska nolietojuma izraisītu degradāciju, pilnu noliktavas vienību, pakalpojuma atteices uzbrukumu).
• Identificējiet esošos vai plānotos pasākumus katra riska novēršanai (piemēram, dublējumkopijas, šifrēšana). Pasākumiem jābūt samērīgiem ar riskiem. Ja apstrādājamie dati ir sensitīvi, ir jāgarantē īpaši augsts drošības līmenis. Tāpēc paroļu glabāšana vienkāršā tekstā pārziņa failos būtu jāaizliedz: informācijai jābūt šifrētai un ir jāievieš spēcīgi autentifikācijas pasākumi.
• Novērtējiet risku nopietnību un iespējamību, ņemot vērā iepriekš minētos elementus.

Datu pārkāpuma gadījumā nekavējoties jāveic atbilstoši pasākumi, lai apturētu pārkāpumu un ierobežotu ietekmi uz attiecīgajām personām.

Atbildīgajai personai 72 stundu laikā no brīža, kad tā ir kļuvusi zināma, par pārkāpumu ir jāpaziņo arī CNIL.

Tai ir arī pienākums individuāli informēt attiecīgās personas, ja datu noplūde varētu radīt augstu risku viņu tiesībām un brīvībām.  Tas attiecas uz gadījumiem, kad ir iesaistīti sensitīvi dati, piemēram, veselības dati.

Tāpēc saistībā ar masveida datu noplūdi, kas notika februāra beigās, no cietušajām personām ir nepieciešama informācija.

Kaitējums var būt ārkārtīgi nopietns pacientiem, kuru medicīniskā aprūpe var tikt ietekmēta, bet arī datu pārziņiem, kuru reputācija un pats bizness ir apdraudēts.

CNIL norāda, ka datu pārkāpumu paziņojumu skaits 2020. gadā pieauga par 24% un ka ar kriptolokeru uzbrukumiem veselības aprūpes iestādēm (slimnīcām, EPHAD, pansionātiem, laboratorijām utt.) saistīto pārkāpumu skaits viena gada laikā trīskāršojās.

Turklāt divas trešdaļas CNIL noteikto sankciju attiecas uz datu drošības pienākumu pārkāpumiem, un šī tendence atspoguļojas visā Eiropā.

Un arī

Francija:

“Tousanticovid” lietojumprogramma tiek izstrādāta, lai integrētu lietotāju brīdināšanas sistēmu, ņemot vērā sporta zāļu, restorānu vai izrāžu zāļu iespējamo atkārtotu atvēršanu. 

CNIL, kas saņēma dekrēta projektu, kopumā sniedza pozitīvu vērtējumu, vienlaikus pieprasot, lai apmeklējumu reģistrēšanas sistēma būtu obligāta tikai vietās ar augstu risku (grūti īstenojami barjeras pasākumi) un lai tā nebūtu obligāta vietās, kur apmeklējuma laikā varētu tikt atklāti sensitīvi dati (piemēram, kulta vietās).

Pēc tā publicēšanas sīkfailu lietošanas vadlīnijas Pagājušā gada oktobrī CNIL atgādināja, ka atbilstības termiņš beidzas marta beigās.

Tā nosūtīja vēstuli divsimt valsts iestādēm, kā arī galvenajiem privātajiem dalībniekiem, īpaši uzsverot nepieciešamību ļaut lietotājam pieņemt vai atteikties no sīkdatnēm ar tādu pašu vienkāršības pakāpi (reklāmkarogos bieži redzamā poga “konfigurēt” neatbilst šai prasībai).

Eiropa:

• Beļģija: Datu aizsardzības iestāde publicē detalizēts ceļvedis par datu tīrīšanas un datu nesēju iznīcināšanas metodes, reflekss, kas pārāk bieži tiek atstāts novārtā, atbrīvojoties no datorrīka.

• Apvienotā Karaliste: Eiropas Komisija publicē lēmuma projektu, ņemot vērā Apvienotās Karalistes garantētais aizsardzības līmenis personas datu apstrādei kā līdzvērtīgai Eiropas Savienības apstrādei.

Ja Eiropas Datu aizsardzības kolēģija un dalībvalstu pārstāvji atbalstīs šo novērtējumu, datu pārsūtīšana uz Apvienoto Karalisti var turpināties bez papildu nosacījumiem.

Jāatzīmē arī, ka Eiropas Datu aizsardzības uzraudzītājs 22. februārī sniedza atzinumu, kurā tas atkārtoti uzsvēra, ka datu aizsardzība kā pamattiesības nav apspriežama Eiropas Savienības un Apvienotās Karalistes tirdzniecības nolīgumu kontekstā.

• Eiropa – ePrivātums Pēc četrus gadus ilgām sarunām ES dalībvalstis beidzot ir pieņēmušas kopēju nostāju elektronisko sakaru aizsardzības jautājumā.

Paredzams, ka E-privātuma regula atjauninās pašreizējo direktīvu, cita starpā precizējot noteikumus par saziņas konfidencialitāti, metadatu aizsardzību un noteikumus, kas piemērojami sīkdatnēm un citiem izsekotājiem.

Teksts vēl jāapspriež Eiropas Parlamentā, un tā galīgā versija stāsies spēkā divus gadus pēc publicēšanas.

• Eiropa – veselības pase Eiropas Komisija 1. martā paziņoja, ka gatavo projektu par vienotu pasi dalībvalstīm, kas atvieglotu cilvēku pārvietošanos pašreizējā pandēmijas kontekstā.

Šajā pasē būtu iekļauti personas dati par vakcināciju, iegūto imunitāti vai attiecīgās personas veiktajām pārbaudēm.

Komisija apliecina, ka tiks veikti pasākumi, lai novērstu jebkādu diskrimināciju vai ļaunprātīgu izmantošanu, kas saistīta ar attiecīgo personu privātumu.

Starptautiskās:

ASV: Pēc Kalifornijas aptuveni desmit Amerikas Savienoto Valstu štati gatavo tiesību aktus par personas datu aizsardzību, ieskaitot Ņujorkas štatu un Vašingtonas štatu.

Vispārīgi runājot, šie likumi lietotājiem nodrošina mazāk plašas tiesības nekā GDPR un dod priekšroku tiesībām iebilst pret savu datu apstrādi, nevis lūgt iepriekšēju piekrišanu.

Jebkurā gadījumā tiem ir tāda priekšrocība, ka tie uzlabo datu apstrādes pārredzamību un nodrošina Amerikas patērētājiem tiesības uz aizsardzību.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.