Jau pavisam drīz, no 25.05.2018., visiem komersantiem, organizācijām, valsts un pašvaldību iestādēm būs jāievēro un jāpiemēro Eiropas Parlamenta un Padomes Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK jeb Vispārīgā datu aizsardzības regula (Regula). Plašsaziņas līdzekļos daudz diskutēts, vai esam gatavi Regulas ieviešanai. Ir būtiski savlaikus noskaidrot, kuri Regulas punkti varētu būt lielākie "klupšanas akmeņi" mazajiem un vidējiem uzņēmējiem (MVU), kam jāpievērš lielākā uzmanība un ar ko vajadzētu sākt, lai ieviestu kārtību savā "datu plauktiņā".
4% no apgrozījuma – sods, lai iebiedētu
Daudzi ir satraukti, jo Regulā par pārkāpumiem paredzēts sods, kas var sasniegt 20 milj. eiro vai 4% no uzņēmuma apgrozījuma. Tas ir maksimālais sods, kas galvenokārt paredzēts, lai Regulu tiešām ņemtu vērā. Lai gan soda apmērs ir iespaidīgs mārketinga rīks dažādu konsultantu arsenālā, tomēr nevajadzētu ļauties panikai un cerēt, ka kāds no ārpuses atnāks un radīs perfektu kārtību.
Labākais instruments datu apstrādes atbilstības nodrošināšanai Regulas prasībām ir pašiem pēc būtības iedziļināties savos procesos un tos sakārtot, galvenokārt tāpēc, ka neviens no ārpuses nezina attiecīgā uzņēmuma vajadzības un nepieciešamības tik labi, kā paši uzņēmuma darbinieki un vadība.
Šajā gadījumā efektīvs risinājums ir pastāvīga datu speciālista piesaiste vai savu darbinieku apmācība, izpētot uzņēmuma procesus un rodot atbilstošākos risinājumus. Ja uzņēmums spēs parādīt, ka tas pastāvīgi rūpējas par datu aizsardzību, un vēlēsies aizsargāt tā pārziņā esošos datus, visticamāk, pat incidenta gadījumā uzņēmumam netiks piemērots maksimālais sods.
"Datu inventarizāciju" labāk veikt pašiem
Regula attiecināma tikai uz fiziskās personas datiem, tomēr vienlaikus – ne tikai. Tāpēc vispirms katram uzņēmumam būtu jāveic datu audits jeb uzņēmumā esošo datu inventarizācija. To, ņemot vērā jau minētos iemeslus attiecībā uz savu procesu un vajadzību pārzināšanu, ieteicams veikt pašiem, nevis pieaicināt speciālistu. Tāpat arī uzņēmuma darbiniekiem ir jāizprot savas datu plūsmas — tas palīdzēs drošāk darboties ar datiem nākotnē, jo būs izpratne par to, kas un kāpēc tiek apstrādāts.
Ja tiks piesaistīts eksperts no ārpuses, pašiem darbiniekiem un vadībai var nebūt vēlēšanās iedziļināties procesos, bet, kad konsultants aizies, uzņēmums var neapzināti izdarīt datu aizsardzības pārkāpumu, jo trūks izpratnes. Datu aizsardzība ir nepārtraukts process, jo par datu apstrādes atbilstību Regulai ir un būs jārūpējas pastāvīgi. Tāpat tas ir arī interesants process — pašiem izprast, kāpēc un kādi dati atrodas uzņēmuma rīcībā un, iespējams, sakārtojot apstrādātos datus, arī uzlabot savus procesus, tādējādi paaugstinot sniegto pakalpojumu kvalitāti un uzlabojot uzņēmuma tēlu klientu vidū.
Ar ko sākt datu sakārtošanu?
Sākotnēji jākonstatē, kādi dati ir uzņēmuma rīcībā.
Atsevišķi ieteicams izvērtēt personāla datus, kas atrodas visās informācijas sistēmās, papīra formātā, grāmatvedībā u.c. Arī klientu dati, ja tie ir fiziskās personas, var būt pietiekami apjomīgi.
Ja klienti ir tikai juridiskās personas, ieteicams pievērst uzmanību tam, ka arī juridisko personu dati var saturēt fiziskās personas datus, piemēram, ja līgumā starp 2 uzņēmumiem ietverti paraksttiesīgo personu vai pilnvaroto personu dati, kontaktpersonu dati u.tml.
Lielu apjomu var veidot arī sadarbības partneri – kādi viņu dati tiek glabāti un kādas ir datu drošības mērķiem nepieciešamās datu apstrādes, piemēram, video novērošana, piekļuves sistēmu telpām organizācija utt.
Tiesības tikt aizmirstam ir pārprastas
Regulu pavada mīts, ka visi datu subjekti tagad varēs pieprasīt pārziņiem bez ierunām izdzēst to datus. Šīs tiesības ir pārprastas. Pieprasīt izdzēst datus varēs tikai tad, ja datu uzglabāšanai nav tiesiska pamata vai datu apstrāde ir pārmērīga.
Tātad, ja datu subjekts pieprasa dzēst viņa datus, uzņēmējam jāspēj paskaidrot, kāpēc viņš glabā šos datus. Pamatojums var būt dažāds: līgumsaistību izpilde, likuma prasību izpilde, dažādas pārziņa leģitīmas intereses u.tml. Piemēram, likumā "Par grāmatvedību" uzņēmumam paredzēts noteiktu laiku glabāt dažādus attaisnojuma dokumentus. Pamatoti būtu uzglabāt datus arī pēc tiesisko attiecību izbeigšanas, lai strīdus gadījumā uzņēmumam būtu iespēja pierādīt, ka tas ir, piemēram, izpildījis līguma saistības.
Šajā gadījumā vajadzētu padomāt par noilguma termiņiem. Regulā noteikts, ka pārzinim ne vēlāk kā 1 mēneša laikā ir jāsniedz atbilde datu subjektam, tāpēc, lai pieprasījumu saņemšanas gadījumā nebūtu panikā jādomā tiesiskie pamati un cita pamatojošā informācija, jau laikus ieteicams piefiksēt uzņēmumā apstrādātos datus un izvērtēt atbilstošāko tiesisko pamatojumu to apstrādei, proti, kāpēc tie tiek uzglabāti.
Ja nav iespējams atrast pamatojumu datu apstrādei, labāk no tiem atbrīvoties, tādējādi nepakļaujot sevi nelikumīgas datu apstrādes riskam un sodam. Šādi datu subjektu pieprasījumi noteikti būs, un ar to ir jārēķinās.
Regula liek būt atbildīgākiem
Regula ir salīdzinoši elastīga, kas, manuprāt, ir ļoti labi. Tas uzņēmējiem liek būt atbildīgākiem. Regula liek pašiem domāt līdzi, nevis akli izpildīt normatīvo aktu prasības. Tajā iekļautie principi ir ļoti cieši saistīti ar ikdienas biznesu un tā vajadzībām, piemēram, lai īstenotu datu minimizācijas jeb proporcionalitātes principu, uzņēmumā ir jāsaprot, kāds ir minimālais apstrādājamo datu apjoms biznesa mērķu sasniegšanai, un jāņem vērā, ka Regulā nav atbalstīts princips "vispirms savācam visu, ko varam savākt, bet pēc tam domāsim, ko ar datiem darīsim". Slēdzot līgumus ar klientu, ieteicams ievākt tikai datus, kas patiešām nepieciešami līguma izpildei vai pakalpojumu sniegšanai. Tas jāņem vērā, arī pieprasot informāciju no pretendentiem darba attiecībās. Tāpat svarīgi savlaikus informēt klientus, sadarbības partnerus un darbiniekus, kādam nolūkam viņu dati pieprasīti, ko ar tiem darīs, cik ilgi uzglabās un kāpēc.
Būtiskākais MVU
Aplūkojot Regulas saturu, šķiet, ka MVU "klupšanas akmeņi" varētu būt, piemēram, spēja pareizi definēt tiesisko pamatu datu apstrādei, datu minimizācijas jeb proporcionalitātes izvērtējums, leģitīmās intereses definēšana u.c.
Problēmātiski varētu būt arī atrast visus datus, kas uzņēmumā tiek apstrādāti, jo nereti nav izpratnes, kas ir dati. Tāpēc jāņem vērā, ka dati nav tikai personas kods, adrese, telefona numurs u.c. Ja darbinieks izmanto uzņēmuma auto un tajā ir globālās pozicionēšanas sistēma, tad dati, ko sistēma fiksē, jau ir darbinieka personas dati, jo atspoguļo, kur šī persona ikdienā pārvietojas. Dati ir arī interneta vēsture darbinieka datorā, ja ir skaidri zināms, kurš darbinieks strādā ar attiecīgo datoru, u.tml.
Īpašu uzmanību ieteicams pievērst uzņēmuma komunikācijai ar datu subjektu, proti, kā viņš tiks informēts par savu datu apstrādi un citiem aspektiem, kas noteikti Regulā. Kā jau minēts, vislabāk to noteikt jau līgumā vai privātuma noteikumos, proti, informēt datu subjektu par jautājumiem, kas saistīti ar viņu datu apstrādi, – kurš datus apstrādās, kādi ir tiesiskie pamati, kādi mērķi, cik ilgi glabās, vai dati varētu tikt sūtīti ārpus Eiropas Savienības u.tml.
"Kašķīgs klients"
Uzņēmējiem, kas strādā ar klientiem, veido datu bāzes u.tml., ieteicams uzglabāt tikai nepieciešamāko informāciju. Nereti klientu datu bāzēs tiek ievietoti arī papildu komentāri, piemēram, "pa dienu neatbild, zvanīt tikai vakaros", "ļoti prasīgs un kašķīgs" u.c., kas arī uzskatāmi par personas datiem. Ieteiktu pārvērtēt, vai šāda veida subjektīvo informāciju uzņēmumam tiešām nepieciešams apstrādāt, jo tad, ja klients pieprasīs informāciju par to, kādus datus par viņu uzglabā, tas viss klientam būs jādara zināms. Pieļauju, ka informācijas, ka klients ir novērtēts kā kašķīgs, sniegšana uzņēmumam varētu radīt reputācijas riskus.
Par pārkāpumu labāk ziņot pašiem
Būtiskākais datu apstrādes pārkāpums noteikti ir datu noplūde. Medijos nereti parādās ziņas, ka kāda datu bāze ir "uzlauzta", tomēr šajā aspektā lielāko risku rada nevis IT resursu apdraudējums, jo IT speciālisti galvenos riskus ir minimizējuši vai novērsuši, bet gan cilvēciskais faktors — darbinieks. Turklāt bieži darbinieki izdara pārkāpumus datu aizsardzības jomā, neapzinoties, ka tas ir nepareizi. Tāpēc ir ļoti svarīgi darbiniekus apmācīt, kas ir dati un ko ar tiem drīkst vai nedrīkst darīt. Tāpat vajadzētu izvērtēt, kuri darbinieki piekļūst datiem, iespējami samazinot darbinieku skaitu, kuriem ir piešķirta piekļuve datiem, piemēram, sadalot darbiniekiem lomas, lai nebūtu tā, ka klientu konsultants redz arī informāciju par savu kolēģu darba algām, ko vajadzētu redzēt tikai personāla struktūrvienībai un grāmatvežiem.
Jānorāda, ka Regulā pieprasīts par incidentiem (datu noplūde, datu nejauša nosūtīšana nepareiziem adresātiem u.c.) informēt Datu valsts inspekciju (DVI) un atsevišķos gadījumos arī pašu datu subjektu, līdz ar to jāizstrādā arī iekšēja kārtība, kā incidenti tiks fiksēti un kā notiks ziņošana, lai nenokavētu ziņošanas termiņu — 72 stundas no incidenta konstatēšanas brīža.
Nevajadzētu pieļaut praksi neziņot par pārkāpumiem DVI, jo tad, ja DVI par to uzzinās, soda apmērā noteikti tiks ņemts vērā arī neziņošanas fakts. Manuprāt, nevajadzētu uzskatīt DVI par represīvu iestādi, kuras pašmērķis ir sodīt uzņēmumus. Līdzšinējā DVI prakse pierādījusi, ka tā cenšas iedziļināties situācijā un izprast uzņēmuma lomu pārkāpumā.
