Starptautisko biznesa pakalpojumu nozares asociācija Latvijā (ABSL Latvia), pārstāvot ārvalstu eksportējošo biznesa pakalpojumu uzņēmumus, rosinājusi Aizsardzības ministriju, Ekonomikas ministriju un Iekšlietu ministriju rast iespēju Latvijas tiesību aktos iekļaut tiesības darba devējam veikt potenciālo un esošo darbinieku sodāmības pārbaudi attiecībā uz tiem nodarbinātajiem, kuru ikdienas pienākumi paredz paplašinātu pieeju būtiskajai uzņēmuma IT infrastruktūrai.
Ņemot vērā, ka mūsdienās IT risinājumi kalpo kā būtiska visu biznesa nozaru sastāvdaļa, kā arī to, ka IT nozare ir viena no augošākajām un eksportspējīgākajām Latvijas nozarēm, ABSL Latvia vērš uzmanību, ka pašlaik ir izveidojusies situācija, kur Latvijā pārstāvētās biznesa organizācijas sniedz pieeju kritiskajām IT sistēmām nepārbaudītiem darba ņēmējiem, uzņemoties nesamērīgu drošības un finansiālo zaudējumu risku. Tas pieļauj situācijas, ka darba devējam un Latvijas valstij nelojāli darba ņēmēji ar ļaunprātīgiem nolūkiem var radīt būtisku kaitējumu lieliem starptautiskiem uzņēmumiem.
Šāds kaitējums var izpausties kā uzņēmuma darbības pārrāvums, kas var skart Latvijas iedzīvotājiem būtiskus pakalpojumus un tādējādi negatīvi ietekmēt gan ikdienas pakalpojumu saņemšanu Latvijas iedzīvotājiem, gan radīt daudz nopietnākas sekas – situācijas, kad komercnoslēpumi, informācija par uzņēmumiem un veselām nozarēm un to kritisko infrastruktūru nonāk trešo personu, tostarp Latvijai nedraudzīgu valstu pārstāvju rokās, lai vēlāk tiktu izmantota kā uzbrukuma vektors. Šādā gadījumā būtiski ciestu visas Latvijas kā finanšu tehnoloģiju centra reputācija investoru acīs, radot būtisku kaitējumu valsts ekonomikai.
Nozares asociācijas ieskatos ne tikai par kiberdrošību, bet arī par valsts drošību, investīciju piesaisti, biznesa vidi atbildīgajām valsts institūcijām būtu nepieciešams steidzamā kārtībā pārskatīt šo jautājumu.
Nepieciešamība
Pašlaik ir radusies Latvijas darba ņēmējiem nelabvēlīga situācija: pārbaudes tiek veiktas tikai attiecībā uz trešo valstu pilsoņiem, kuri piesakās termiņuzturēšanās atļaujām Latvijā. Proti, kārtojot darba atļaujas ārvalstniekiem, PMLP saņem atzinumu no Valsts drošības dienesta1.
Tajā pat laikā darba devējiem nav tiesību veikt drošības pārbaudes tādiem darba ņēmējiem, kuri ir Eiropas Savienības vai Eiropas Ekonomiskās zonas pilsoņi. Pēc būtības šāda juridiskā kārtība var radīt nelabvēlīgāku (diskriminējošu) situāciju darbiniekiem no Latvijas, jo darba devējiem nav iespējas pārliecināties par viņu reputāciju. Zināms, ka pašlaik attiecībā uz atsevišķām amatu kategorijām normatīvie akti paredz veikt sodāmības datu pārbaudi finanšu nozarē, banku nozarē2 un apdrošināšanas izplatīšanā3 tieši iesaistītiem darbiniekiem šajos normatīvajos aktos noteiktajos gadījumos. Tomēr, šīs tiesības neattiecas uz IT speciālistiem ar paplašinātām piekļuves tiesībām (privileged access rights), kas darbojas gan šajās, gan citās nozarēs, tostarp IKT nozarē, kas ir viena no augošākajām nozarēm Latvijā un ieņēma 3.vietu starp visām eksportējošajām nozarēm Latvijā 2022.gadā4.
Ņemot vērā šo IT ekspertu darba pienākumus un to, ka viņiem ir sniegta pieeja būtiskām darba devēju IT sistēmām, kaitējums, ko var nodarīt šādi speciālisti, ir vērtējams kā nesamērojami augsts. Attiecīgi, nav izprotams, kāpēc attiecībā uz banku darbiniekiem un apdrošināšanas izplatītājiem, kas nestrādā ar kritiskām IT sistēmām, ir iespējams veikt sodāmības pārbaudi, savukārt attiecībā uz darbiniekiem, kuru darbs tieši saistīts ar kritiski svarīgām IT sistēmām (tostarp banku un apdrošināšanas) organizācijās, šādas tiesības darba devējam nav paredzētas.
Viena no tādām profesijām ir IT drošības speciālists, kuram darba pienākumu ietvaros ir pieejas tādām sistēmām vai informācija par ievainojamībām, ar kuru palīdzību vienas dienas laikā ļaundari var nodarīt būtiskus kaitējumus starptautiskam biznesam un līdz ar to visai Latvijas valsts reputācijai. To, ka valstij nelojāli cilvēki var strādāt ar kritisko infrastruktūru, nav teorētiska problēma, apstiprina arī 2023.gadā Valsts drošības dienesta pārbaudes kritiskās infrastruktūras jomā5, kuras rezultātā 115 cilvēki ir atzīti par neatbilstīgiem darbam kritiskās infrastruktūras objektos. Nav pamata domāt, ka privātajā sektorā IT nozares pārbaudes rezultāti būtu citādi, ja šādu pārbaudi būtu iespējams veikt. Pastāvot šādam riskam, darba devēju labākajās interesēs būtu pārbaudīt gan esošos, gan topošos darbiniekus, kam ir paplašinātas piekļuves tiesības darba devēja IT sistēmām. ABSL ieskatā sodāmības pārbaudē būtu jāietver tajā skaitā, bet ne tikai, noziedzīgi nodarījumi pret valsti, pret īpašumu, kā arī noziedzīgi nodarījumi, kas ir saistīti ar nelikumīgām darbībām informācijas tehnoloģiju vidē – Krimināllikuma 177.1 pants Krāpšana automatizētā datu apstrādes sistēmā, 244.pants Nelikumīgas darbības ar automatizētas datu apstrādes sistēmas resursu ietekmēšanas ierīcēm, 245.pants. Informācijas sistēmas drošības noteikumu pārkāpšana.
Esošais regulējums
Pašlaik Latvijā Darba likuma 33.panta otrās daļas 3.punkts nosaka, ka darba intervijā nav pieļaujami jautājumi, kas saistīti ar darbinieku iepriekšēju sodāmību, izņemot gadījumus, kad tam attiecībā uz veicamo darbu varētu būt būtiska nozīme. Tomēr likums neparedz šīs informācijas iegūšanu tālākos nodarbinātības posmos. Savukārt, Vispārīgās datu aizsardzības regulas (VDAR) 10.pants paredz, ka personas datu apstrādi par sodāmību var veikt, ja to konkrēti paredz dalībvalsts tiesību akti, līdz ar to ir nepamatota iemīļotā valsts iestāžu atsauce par to, ka VDAR šādas pārbaudes nepieļauj pavisam. Ja tas nav paredzēts tiesību aktos, darba devējam nav tiesību apstrādāt datus par sodāmību.
Pašlaik Latvijas normatīvie akti neparedz darba devēja tiesības lūgt IT speciālistam ar piekļuvi kritiskai IT infrastruktūrai vai šīs amata kandidātam iesniegt izziņu no Sodu reģistra un neparedz darba devējam pašam pieprasīt to no Sodu reģistra. Tādējādi darba devējam trūkst tiesiska pamata šādu datu apstrādei. ABSL Latvia pārstāvētie uzņēmumi arī atzīst, ka nereti novērojamas situācijas, ka to sadarbības partneri lielos IT projektos nosliecas par labu darbiniekiem no citām valstīm, kuru sodāmības datus ir iespējams pārbaudīt, nevis darbiniekiem no Latvijas, jo Latvijas darba devējam nav iespējas pārbaudīt darbinieku sodāmības datus. Kā arī Latvijas darbinieku kandidatūras lieliem starptautiskiem projektiem šī iemesla dēļ bieži vien vispār netiek izskatītas. Tas negatīvi ietekmē Latvijas darbinieku konkurētspēju starptautiskā uzņēmējdarbības vidē.
Drošība un reputācija
Atsaucoties uz pēdējo gadu notikumiem Eiropā, Krievijai iebrūkot Ukrainā, nav noslēpums, ka ārvalstu investori daudz piesardzīgāk vērtē Latviju kā potenciālo investīciju lokāciju. Atbilstoši CERT pārstāvju publiski sniegtajai informācijai, kopš 2022.gada sākuma trīs līdz četras reizes ir pieaugusi Krievijas hakeru aktivitāte Latvijā6. Attīstoties politiskajai spriedzei pasaulē, hakeru aktivitāte turpina pieaugt. Mūsu pieredze liecina, ka ārvalstu investori bieži neuzticas personām ar slāvu izcelsmes uzvārdiem. Pieredze rāda, ka nepastāvot iespējai veikt pārbaudes, investori mēdz pieņemt lēmumu vispār nesadarboties ar jebkādām personām, kurām ir slāvu izcelsmes uzvārdiem, neraugoties ne uz kādiem citiem kritērijiem. Šis aspekts pieļauj tiešu Latvijas iedzīvotāju diskrimināciju pēc etniskās izcelsmes, kas mūsu valstī ir aizliegta. Pēc ABSL Latvia rīcībā esošās informācijas, 2023. gada nogalē Rīgu kā potenciālo lokāciju biznesa pakalpojumu centra izveidei izvērtēja starptautisks uzņēmums, kurš plānoja Latvijas galvaspilsētā tuvāko 3-5 gadu laikā radīt 600 jaunas darba vietas augsta līmeņa IT profesionāļiem, finansistiem, iepirkumu speciālistiem, tomēr, identificējot nepilnības Latvijas likumdošanā, kas neatļauj darba devējiem veikt tiesības pārbaudīt darba ņēmēja sodāmību investors, neskatoties uz to, ka primāri lēmums jau tika pieņemts par labu Rīgai, diemžēl pieņēma galēju lēmumu par labu Portu, Portugālē, pilnībā atceļot jebkādus biznesa attīstības plānus Latvijā.
Šobrīd, neveicot preventīvus pasākumus, lai investori Latvijā justos droši un riski tiktu mazināti, mēs potenciāli varam zaudēt miljonos mērāmas investīcijas un labi atalgotas darba vietas. Turklāt, ņemot vērā, ka IT nozarē algu līmenis dažādās Eiropas valstīs šobrīd vairs būtiski neatšķiras, ir ļoti augsta varbūtība, ka organizācijas, izvērtējot riskus, lems par labu šīs stratēģiski būtiskās funkcijas veikt no citas valsts, tādejādi Latvijai zaudējot iemaksas valsts budžetā daudzu gadu griezumā.
Atsevišķu nozaru standarti
Atsevišķās nozarēs jau pašlaik pastāv pienākums veikt sodāmības pārbaudi. Piemēram, finanšu nozarē, lai finanšu iestādes varētu veikt operācijas ar populārākajām maksājumu kartēm (piemēram, MasterCard, Visa, AmericanExpress u.c.), tām ir jāievēro Maksājumu karšu nozares drošības standarti – Payment Card Industry Data Security Standard jeb PCI DSS7 (Payment Card Industry Data Security Standard), kas ir drošības kontroles pasākumu kopums, kas uzņēmumiem ir jāievieš, lai aizsargātu kredītkaršu datus. Standarti attiecas uz visām organizācijām, kas uzglabā, apstrādā vai pārsūta karšu īpašnieku datus. Standarti arī nosaka, ka darba devējiem ir jānodrošina to savu esošos un topošo darbinieku (tostarp IT darbinieku) pārbaudes, kuri piekļūst maksājuma karšu datiem, kā arī jāievieš risku pārvaldības sistēmas.
Šajās pārbaudēs ietilpst arī datu par sodāmību pārbaude. Ja Latvijas uzņēmumi vēlas darboties šajā nozarē, tiem ir jāievēro standartos noteiktās prasības. Iespēja likumīgi veikt sodāmības datu pārbaudi gan personāla atlases procesā, gan vēlākā nodarbinātības posmā, veicinātu pilnīgu un efektīvu šo nozares standartos iekļauto noteikumu un stiprinātu Latvijas uzņēmumu reputāciju starptautiskajā uzņēmējdarbības vidē.
Korporatīvā ilgtspēja
Korporatīvās ilgtspējas ziņošanas direktīva, kas pakāpeniski tiks ieviesta no 2024. gada sākuma līdz 2025. gada beigām, uzliks lielajiem uzņēmumiem pienākumu veikt izpēti jeb tā dēvēto “due diligence” visiem piegādātājiem. Kā zināms, ilgtspējas ziņojumos būs jāiekļauj informācija gan par paša uzņēmuma darbaspēku, gan par nodarbinātājiem visā vērtību ķēdē, kā arī par patērētājiem, gala lietotājiem un ietekmētajām sabiedrības grupām un kopienām. Ziņojumam jāietver arī informācija par pārvaldību, riska pārvaldību un iekšējiem kontroles mehānismiem, kā arī darījumiem. Attiecīgi, lai uzņēmums varētu pilnvērtīgi sagatavot šādu ilgtspējas ziņojumu, ir būtiski apskatīt arī riskus, kas saistīti ar darbinieku ļaunprātīgu rīcību, attiecīgi mazināt šos riskus jeb ieviest kontroles mehānismus. Tas šobrīd nav izdarāms, jo Latvijā ir izveidojusies situācija, ka uzņēmumi veic pasākumus, lai rūpīgi pārbaudītu savus darījumu partnerus un to apakšuzņēmējus, bet normatīvie akti neparedz uzņēmumiem iespēju pārbaudīt savus esošos un topošos darbiniekus, kas var radīt tiešu apdraudējumu, veicot savus darba pienākumus.
Ņemot vērā augstāk minēto, ABSL Latvia lūgusi attiecīgajām ministrijām rast risinājumu, lai uzņēmumiem būtu iespējams veikt vismaz IT darbinieku ar paplašinātām piekļuves tiesībām sodāmības pārbaudes, kā arī, sodāmības konstatēšanas gadījumā, paredzēt darba devēju tiesības izbeigt darba attiecības ar šādiem IT darbiniekiem. Asociācijas ieskatos to nevajag uzlikt uzņēmumiem kā pienākumu, bet kā darba devēju tiesības, veicot savu risku pārvaldību.
1 Imigrācijas likuma 4.pants, MK noteikumi Nr. 554 Noteikumi par valstīm, kuru pilsoņiem, izsniedzot vīzu vai uzturēšanās atļauju, veic papildu pārbaudi
2 Kredītiestāžu likums 16 (3)., 19., 25., 34.5 pants.
3 Apdrošināšanas un pārapdrošināšanas izplatīšanas likums 19., 20.pants
4 2022. gada dati no Latvijas Informācijas un komunikācijas tehnoloģijas asociācijas (LIKTA)
5 Vairāk nekā 100 darbinieku infrastruktūras uzņēmumos atzīti par "iespējams neuzticamiem" https://replay.lsm.lv/lv/ieraksts/ltv/308950/vairak-neka-100-darbinieku-infrastrukturas-uznemumos-atziti-par-iespejams-neuzticamiem
6 Kā mainījusies Latvijas kiberdrošības vide kopš Krievijas iebrukuma Ukrainā? https://www.sargs.lv/lv/podkasti/2022-12-21/podkasts-ka-mainijusies-latvijas-kiberdrosibas-vide-kops-krievijas-iebrukuma
7 PCI DSS v.4.0, section 12.7. Personell are screened to reduce risks from insider threats https://www.pcisecuritystandards.org/document_library/