Pagājis pusotrs gads kopš spēkā stājās Vispārējā datu aizsardzības regula. Ja salīdzina ar pagājušā gada pavasari, kad valdīja pamatīgs apjukums un satraukums par visaptverošajām regulas prasībām, šodien publiskajā telpā ir iestājies miers. 

Tomēr šis miera periods nebūt nenozīmē, ka par datu aizsardzību ir pietiekama izpratne un regulas prasību ievērošana rit gludi. Drīzāk gribētos teikt, ka iestājies nepamatots atslābums. Šajā rakstā īsumā par to, kas ir uzņēmumu biežākie klupšanas akmeņi datu aizsardzības laukā un kā tos pārvarēt. 

Pirmais un lielākais klupšanas akmens ir nezināšana par to, kas ir aizsargājami dati, kur tie atrodas un kas ar tiem jādara, lai tie būtu apstrādāti un aizsargāti tā, kā to prasa Vispārējā datu aizsardzības regula. Faktiski ikviens zina, ka personas kods, tālruņa numurs un e-pasta adrese ir aizsargājami dati. Tomēr tas ir ļoti nepilnīgs datu saraksts. Aizsargājami dati ir arī, piemēram, uzņēmumā publiski pieejama informācija par darbinieku dzimšanas dienām. Arī personas atrašanās vietas dati, piemēram, autotransporta kustības GPS izsekošanas dati un datora IP adrese ir aizsargājami dati un prasa regulai atbilstošu apstrādi. Pēc definīcijas, personas dati ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu dzīvu fizisku personu, arī dažāda informācija, kuru apkopojot, var identificēt noteiktu personu. 

Cita problēma  ir strausa politikas piekopšana, uzskatot, ka datu aizsardzības regulas prasības mani neskars. Jāteic, ka parasti gan no šīs ērtās “uz mani tas neattiecas” pozas iztraucē soda piemērošana pašam vai līdzīgam uzņēmumam. Faktiski datu regula neattiecas tikai uz datiem, kas tiek izmantoti mājsaimniecības ietvaros, pārējās situācijas, ar pavisam retiem izņēmumiem, ir pakļautas datu aizsardzības principiem. 

Maldīgi uzskatīt, ka datu aizsardzības regula attiecas tikai uz lieliem uzņēmumiem ar lielu klientu skaitu. Arī pavisam neliels uzņēmums, kas savu produktu pārdot ar kādas interneta platformas starpniecību, ievāc klientu datus un attiecīgi viņam ir pienākums tos atbilstoši apstrādāt, tai skaitā arī iznīcināt. Pat daudz apspriestie bērnu zīmējumi skolā var būt aizsargājami dati, ja tos, piemēram, izmanto nevis kā mākslas darbus, bet raugās uz tiem psihologa acīm, kurš no zīmējuma spēj nolasīt kādu privātu informāciju.  

Jau 2018. gadā valsts budžetā sodu veidā par regulas neievērošanu bija paredzēts iekasēt noteiktas naudas summas. Lai arī mērķis netiks sasniegts, tas ir pietiekami skaidrs signāls, ka jāmostas no atslābuma, kāds iestājies pēc pirmā regulas darbības gada, kas aizvadīts “konsultē vispirms” zīmē. 

Pagaidām Latvijā nav skaļu sodīšanas gadījumu. Tikmēr kaimiņos Lietuvā kādam tiešsaistes maksājumu nodrošinātājam uzlikts vairāk nekā 60 tūkstošu eiro sods, Bulgārijā par datu noplūdi ar 2,6 miljoniem eiro sodīta kāda valsts institūcija, savukārt Lielbritānijā lielai viesnīcu ķēdei par regulas pārkāpumiem var nākties maksāt pat vairāk nekā 100 miljonu eiro sodu. Latvijā kāds tiešsaistes pakalpojumu sniedzējs saņēmis 7 tūkstošu eiro sodu. Visticamāk, lielāks sodīto skaits ir tikai laika jautājums. 

Kā rāda statistikas dati, Eiropas iedzīvotāji visbiežāk sūdzējušies par datu apstrādi saistībā ar e-pastā saņemtiem komerciāliem piedāvājumiem, videonovērošanu un telemārketingu. 

Ar uzskatu “tas uz mani neattiecas” cieši saistīta vēl viena izplatīta situācija, proti, nevēlēšanās investēt datu aizsardzības regulas ieviešanā un faktiski arī nezināšana, ar ko tad īsti sākt. 

Pats pirmais solis būtu apsvērt, vai regulas prasību ieviešanu var veikt ar iekšējiem resursiem, tai skaitā algojot datu aizsardzības speciālistu, vai izmantot ārpakalpojumu. Jāpiebilst, ka noteiktām organizācijām, piemēram, pašvaldībām, bankām un citiem uzņēmumiem, kuriem datu apstrāde ir nodarbošanās pamatā, datu aizsardzības speciālists ir obligāta prasība. Algots darbinieks vai ārpakalpojums, izmaksas būs abos variantos. Ārpakalpojuma gadījumā uzņēmums lielu daļu datu regulas ieviešanai nepieciešamās kompetences var ērti saņemt no profesionāļiem, kas spēj izstrādāt efektīvu sistēmu datu apstrādes prasību ievērošanai, kā arī konsultēt ikdienas lēmumos.

Kā tas notiek?  Pirmais solis būs datu audits, kura ietvaros tiks apzināts, kur uzņēmumā “dzīvo” aizsargājamie dati,  izveidots datu reģistrs, sagatavotas rekomendācijas vājo vietu novēršanai. Atkarībā no tā, cik visaptverošu pakalpojumu uzņēmums izvēlas, tālāk var sekot nepieciešamo dokumentu izstrādāšana, lai nodrošinātu likumīgu datu apstrādi, darbinieku apmācība,  iespējami arī testi, u.c. Mērķis ir panākt, lai katrs darbinieks uzņēmumā vai institūcijā zina, kas ir dati, ar kuriem viņš savos ikdienas pienākumos saskaras, prot tos likumīgi apstrādāt un zina savu atbildību par regulas prasību ievērošanu.

Runājot par datu regulu, stāvoklis “viss ir kārtībā” teju nav iespējams. Organizācijai  attīstoties, ieviešot jaunus produktus, pārdošanas kanālus, mainoties IT sistēmām, tiek skarts arī datu aizsardzības lauks. Piemēram, ieviešot video novērošanu vai atverot iespēju pakalpojumam pieteikties tiešsaistē, būs nepieciešamas arī izmaiņas datu apstrādes sistēmā. 

Vēl viens būtisks pienākums ir pārskatatbildība. Tā nozīmē, ka uzņēmumam un jebkurai citai organizācijai gan jāievēro visi datu aizsardzības principi, gan jāspēj uzskatāmi parādīt, ka ir darīts viss iespējamais, lai incidenta, notikuša vai potenciāla, risks būtu mazināts.  Piemēram, darbinieka tīšas vai netīšas rīcības rezultātā noplūst klientu dati. Pilnībā no tā pasargāts nav neviens, vienlaikus, ja uzņēmums spēs pierādīt atbilstoši ieviestu datu aizsardzības politiku (arī to, ka darbinieks bija apmācīts, ar savu parakstu to bija apliecinājis), soda lemšanas brīdī tas var būt vainu mīkstinošs apstāklis. 

Šis ir Eiropai vienots un jauns regulējums. Arī sodu politika veidojas pakāpeniski, bieži caur tiesu praksi.  Oficiālā Eiropas datu aizsardzības regulas vietne gdpr.eu, balstoties uz regulas darbības pirmā gada sodu praksi, skaidri vēsta – 2019. gadā sodu skaits un soda naudu apjoms pieaugs.  Eiropas valstīs pirmajā gadā vien fiksēti vairāk nekā 206 tūkstoši datu regulas pārkāpumi, uzlikto sodu apmērs sniedzas pāri 55 miljoniem eiro. 

Piesakies konsultācijai!

Piekrītu personas datu apstrādes noteikumiem. Sīkāk sadaļā - Privātuma politika.
Pieteikties konsultācijai