Pasaulē
Kā skaidroja inspekcijā, dati tika glabāti "ZZ Dats" uzturētajā informācijas sistēmā. Saņemot informāciju par iespējamu pārkāpumu, inspekcija sāka pārbaudi un atzina uzņēmumu par vainīgu, jo tas nebija nodrošinājis apstrādātāja pienākumu izpildi atbilstoši Vispārīgās datu aizsardzības regulas 32. pantam, skaidroja inspekcijā.
Par konstatēto pārkāpumu uzņēmumam šogad septembrī piemērots administratīvais sods - naudas sods 300 000 eiro apmērā. Savukārt "ZZ Dats" šo lēmumu ir pārsūdzējis Rīgas pilsētas tiesā.
Saistībā ar notikušo datu noplūdi pieņemti lēmumi arī par 42 iesaistītajām pašvaldībām - tām izteikti rājieni, atklāja DVI. Skartas ir visas pašvaldības, izņemot Rīgu, atklāja inspekcijā.
Saskaņā ar DVI datiem kopš Vispārīgās datu aizsardzības regulas piemērošanas šis ir otrais lielākais piemērotais sods. Lielākais sods savulaik uzlikts SIA "Tet" saistībā ar uzņēmuma veikto personas datu apstrādi, nodrošinot satura straumēšanas pakalpojumu "Tet+".
"ZZ Dats" direktors un līdzīpašnieks Edžus Žeiris aģentūrai LETA norādīja, ka dzīvojam realitātē, kur kiberincidentu draudi pieaug katru dienu. Viņš uzsver, ka kopš notikušā "ZZ Dats" ir būtiski stiprinājis pašvaldību sistēmu kiberdrošību un samazinājis nākotnes riskus.
Tāpat uzņēmums veicis vairākus ārējos auditus, tostarp kopā ar profesionālo pakalpojumu un konsultāciju uzņēmuma "PricewaterhouseCoopers" un citiem partneriem, lai pārliecinātos par ieviesto drošības pasākumu kvalitāti. "Vienotās pašvaldību informācijas sistēmas uzlabošana ir nepārtraukts process, ko turpinām arī šobrīd," saka Žeiris.
Viņš atzīmē, ka uzņēmums saprot sabiedrības interesi par šo lietu, taču, lai saglabātu tiesas procesa objektivitāti un izvairītos no jebkādas ietekmes uz tā norisi, šobrīd no detalizētiem komentāriem "ZZ Dats" atturēsies. "Jautājumu šobrīd izskata tiesa slēgtā procesā, un mēs paļaujamies uz objektīvu un profesionālu tiesas izvērtējumu," viņš piebilst.
Tāpat Žeiris uzsver, ka "ZZ Dats" pilnībā sadarbojas ar visām kompetentajām iestādēm un ievēro visus spēkā esošos normatīvos aktus, tostarp datu aizsardzības prasības. Viņš apstiprina, ka tiesvedība par 2024. gada drošības incidentu turpinās un šobrīd nav stājies spēkā neviens galīgs lēmums attiecībā uz uzņēmumu.
Žeiris sola, ka pēc tiesas sprieduma stāšanās spēkā "ZZ Dats" sniegs plašākus komentārus un atbildēs uz sabiedrības jautājumiem. "Mums ir svarīga caurspīdība un sabiedrības uzticība mūsu darbam," viņš uzsver.
Jau ziņots, ka "atsevišķām personām" laikā no 2024. gada 29. oktobra līdz 2. novembrim izdevās neatļauti iegūt atsevišķus datus no Vienotās pašvaldību informācijas sistēmas.
Kā aģentūru LETA pēc incidenta informēja Žeiris, šīm personām bija izdevies piekļūt meklēšanas indeksam, uz kura tika dublēta neliela daļa datu no Vienotās pašvaldību informācijas sistēmas.
Šis incidents tiešā veidā ietekmējis 42 Latvijas pašvaldības, izņemot Rīgu. Drošības speciālistu veiktā analīze liecina, ka "atsevišķām personām" bijusi piekļuve datiem par dažu pašvaldību darbiniekiem, tostarp informācijai par to vārdiem, uzvārdiem, struktūrvienību, amatu, e-pasta adresi un telefona numuru, pašvaldību iedzīvotāju fizisku personu datiem, tostarp vārdiem, uzvārdiem, personas kodiem un deklarētajām adresēm, kā arī atsevišķu pašvaldību lietvedības dokumentu failu aprakstiem - metadatiem.
Pēc problēmas konstatēšanas 2. novembrī veiktas nepieciešamās darbības sistēmas drošības konfigurēšanai un pasākumi, lai novērstu turpmāku nesankcionētu piekļuvi, skaidroja uzņēmumā.
Tolaik Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas pārstāvji aģentūrai LETA pauda, ka pašvaldību datu noplūdē iesaistīto personu atbildība jāvērtē daudzskaitlī. Asociācijas pārstāvji uzsvēra, ka sistēmas izstrādātājs "ZZ Dats" ir tikai datu apstrādātājs un, atbilstoši Datu regulas nosacījumiem, pašvaldības ir atbildīgas par sadarbības partnera izvēli un standartu izvirzīšanu, lai nodrošinātu, ka personas dati tiek droši apstrādāti.
Tāpat, pēc asociācijas pārstāvju paustā, "ZZ Dats" komunikācijā, norādot, ka notikušais nav radījis tiešas sekas pašvaldību iedzīvotājiem, jo nav nokopēti dati, kas satur, piemēram, paroles un banku informāciju, noklusēti vairāki būtiski riski, jo ir noplūdusi informācija par iedzīvotāju vārdiem, uzvārdiem, personas kodiem un dzīvesvietu adresēm. Šī informācija veido katras personas pamata datus, nodrošinot pilnīgu personas identifikāciju. Tāpat nav zināmi datu ieguvēju nolūki un kā šie dati varētu tikt izmantoti, secināja asociācijā.
Organizācijas pārstāvji arī atgādināja, ka ikvienā pašvaldībā ir obligāti jābūt norīkotam datu aizsardzības speciālistam. Atbilstoši Datu regulas nosacījumiem, datu aizsardzības speciālists ir persona, kas uzrauga pārziņa veiktās datu apstrādes atbilstību Datu regulas nosacījumiem. Tāpat, Datu regulā ir noteikts, ka par datu aizsardzības speciālista pilnvērtīgu iesaisti datu apstrādes procesos ir atbildīgs pārzinis.
Toreiz asociācija skaidroja, ka ar datu pārkāpumu saistītā komunikācija, pamatojoties uz publiski pieejamo informāciju, liecina, ka Datu regulas prasības nav pareizi ievērotas. Datu regula paredz pārziņiem pienākumu aktīvi pārvaldīt datu pārkāpumu, tostarp veikt tā ietekmes adekvātu novērtēšanu uz datu subjekta tiesībām un brīvību.
"ZZ Dats" 2024. gadā strādāja ar 17,662 miljonu eiro apgrozījumu un 3,495 miljonu eiro peļņu.
Kompānija "ZZ Dats" reģistrēta 1995. gadā, un uzņēmuma pamatkapitāls ir 40 000 eiro, liecina "Firmas.lv" informācija. Uzņēmums pieder Mārim Ziemam (40%), kurš šogad miris, Ingai Ziemai (35%), kā arī Žeirim (25%).
