Ineta Garnele, Sertificētā datu aizsardzības speciāliste, Sunstar Group juriste.
Pirms gada, 2018. gada 25. maijā, spēkā stājās Vispārīgā datu aizsardzības regula (GDPR – General Data Protection Regulation). Daudziem regulas ieviešana praksē sagādājusi galvassāpes, jo atsevišķi regulas punkti pieprasījuši noteiktu sagatavošanos un uzņēmuma rīcībā esošo datu apjomu izvērtēšanu. Kāpēc ir svarīgi personas datu aizsardzības jautājumus uztvert nopietni ikvienā uzņēmumā, neatkarīgi no nozares un darbinieku skaita? Kā uzņēmumiem veicies regulas pielāgošanā un kas mainījies pēdējā gada laikā?
Lai arī personas datu aizsardzības jautājums savu aktualitāti ieguva 2018. gadā, Latvijā jau kopš 2000. gada ir bijis normatīvais regulējums saistībā ar personas datu apstrādi, proti, Fizisko personu datu aizsardzības likums. Sākot ar 2018. gada 25. maiju, visā Eiropas Savienībā sāka piemērot Vispārīgās datu aizsardzības regulas noteikumus. Pēc būtības jaunais personas datu apstrādes regulējums būtiski nemainīja personas datu apstrādes principus, tomēr regulas stāšanās spēkā personas datu aizsardzības tēmu ļoti aktualizēja, un viens no tā galvenajiem iemesliem ir regulā noteiktais soda apjoms. Sods ir konkrēti fiksēts un apjomīgs – juridiskām personām par būtiskiem pārkāpumiem saistībā ar personas datiem var tikt piemērots sods līdz 10-20 miljoniem eiro vai 2-4% apmērā no uzņēmuma gada apgrozījuma. Līdz ar to pērnā gada maijā varēja vērot visai lielu ažiotāžu par šo tēmu – sociālajos medijos bija lasāmas spraigas diskusijas.
Gada laikā, kopš stājusies spēkā Datu regula, gan Datu valsts inspekcija, gan nozares eksperti ir informējuši sabiedrību un veikuši skaidrojumus personas datu aizsardzības jautājumos. Tomēr aptaujas liecina, ka liela daļa mazo un vidējo uzņēmumu vadītāji uzskata, ka datu regula uz tiem neattiecas. Protams, ir komersanti, kuri pret personas datu apstrādi attiecas nopietni un Datu regulai atbilstošus noteikumus ievērojuši vienmēr, pienācīgi izvērtējot riskus, kas ar to saistīti, kā arī veikuši procesu uzlabojumus uzņēmumā, lai nodrošinātu atbilstību regulai.
Jāatzīst, ka arī gadu pēc regulas stāšanās spēkā ir komersanti, kuri nav apzinājuši datu apstrādes apjomu, novērtējumu savā saimnieciskajā darbībā un turpina dzīvot kā ierasts, paļaujoties uz pārliecību – pie manis jau pārbaude neatnāks. Tomēr uzņēmējiem vajadzētu saprast, ka ne tikai soda sankcijām vajadzētu būt par iemeslu, lai sakārtotu un ieviestu procesus, kas palīdz ievērot personas datu aizsardzības principus. Uzņēmējiem ir jāņem vērā, ka sabiedrība paliek arvien zinošāka un informētāka par savām tiesībām attiecībā uz savu datu apstrādi. Pārskatot un izvērtējot personas datu apstrādes apjomu, ieviešot datu aizsardzības procesus un sistēmas savos uzņēmumos, uzņēmēji pierāda to, ka viņiem rūp uzticēto datu drošība, tādejādi vairojot klientu uzticamību konkrētajam uzņēmumam.
Nebūs pārspīlēti teikt, ka lielā daļā Latvijas uzņēmumu GDPR ieviešana joprojām ir aktuāls jautājums. Bet kas būtu tie soļi, ar kuriem sākt, arī tagad, gadu pēc regulas stāšanās spēkā?
Pats svarīgais un nozīmīgākais ir apzināties, ka jebkurai datu apstrādei ir jābūt likumīgai un godprātīgai. Datu regulas prasības attiecas ne vien uz lieliem uzņēmumiem, kas ikdiena apstrādā un uzglabā lielu apjomu klientu datus, bet arīdzan uz maziem un vidējiem uzņēmumiem. Arī darbinieku, klientu, sadarbības partneru kontaktpersonu datu apstrādei ir jāatbilst Datu regulā norādītajiem principiem. Apstrādājot datus, svarīgi saprast, kāda veida dati uzņēmumā tiek glabāti un vai tiešām visi ievāktie un apstrādātie dati ir nepieciešami konkrētu mērķu sasniegšanai. Ir jāņem vērā, ka personas datu apstrāde būs tiesiska, ja tā atbilst kādam no sešiem regulā noteiktajiem tiesiskajiem pamatiem. Tiesiskai personas datu apstrādei nepieciešama sadarbība vairākos līmeņos – ne tikai uzņēmuma iekšienē, bet arī ar klientiem, kas uzņēmumam uzticējuši vienu no būtiskākajām lietām, kas mums ir – savus personas datus.
Gadu pēc Datu regulas ieviešanas ir skaidrs, ka darāmā vēl ir daudz. Runājot ar uzņēmējiem un konsultējot tos, secinām, ka vēl joprojām ir daudz jautājumu par Datu regulas noteikumu ieviešanu praksē. Gribētos domāt, ka attieksme pret to, kā mēs apstrādājam savus un citu personu datus, ir uzlabojusies, tomēr vēl aizvien ir vairāki klupšanas akmeņi kā privātajā, tā arī publiskajā sektorā. Ir situācijas, kad uzņēmumi 2018. gada maijā steiguši ieviest personas datu aizsardzības noteikumus uzņēmuma iekšējos procesos un noteikumos, tomēr bieži tas ir rezultējies ar kārtējo normatīvo dokumentu mapīti uzņēmuma vadītāja plauktā, kā rezultātā pieeja personas datu aizsardzības jautājumiem ir tikai formāla. Steigā ieviestās izmaiņas ne vienmēr ir kvalitatīvas, un daudzi uzņēmēji saprot, ka apstiprinātie dokumenti realitātē nestrādā. Lai arī viens no risku avotiem personas datu drošībā ir ārējais apdraudējums, tomēr ne mazāk svarīgi ir apzināties, ka arīdzan iekšējais apdraudējums, proti, darbinieka neuzmanīga vai ļaunprātīga rīcība var izraisīt prettiesisku personas datu nodošanu, izpaušanu, dzēšanu vai pārveidošanu. Bieži vien šāda darbinieku prettiesiska rīcība ir skaidrojama ar izpratnes un zināšanu trūkumu par personas datu apstrādi, veicot konkrētus darba pienākumus. Personas datu apstrāde atbilstoši Datu regulas noteikumiem un sistēmas ieviešana uzņēmuma iekšējos procesos ir nepieciešamība, un tai noteikti nedrīkst pieiet tikai formāli. Ne mazāk svarīgi ir izglītot darbiniekus par personas datu apstrādes principiem un procesiem uzņēmumā. Tas ir viens no svarīgākajiem priekšnoteikumiem, jo darbinieki ir tie, kas ikdienā, pildot darba pienākums, veic personas datu apstrādi. Uzņēmumiem ir jāsaprot, ka apstrādājot personas datus profesionāliem vai komerciāliem nolūkiem, tie ir atbildīgi par to, lai datu apstrāde tiktu veikta ne tikai likumīgi, godprātīgi un pārredzami, bet arī jānodrošina, lai personas dati ir drošībā.
Kopš Datu regulas piemērošanas uzsākšanas Valsts Datu inspekcija, kā iepriekš bija norādījusi, strādāja pēc principa “Konsultē vispirms”, mazāk gadījumos piemērojot sodu, bet biežāk sniedzot konsultatīvu atbalstu klientiem personas datu apstrādes jautājumos. Iespējams, tas ir iemesls, kāpēc tik daudzi uzņēmumi šobrīd ir atlikuši personas datu aizsardzības sistēmu ieviešanu. Šobrīd varam runāt par pirmajiem sodiem Eiropā, kuru apmērs ir līdz par 50 miljoniem eiro. Arī Lietuvā ir piemērots sods par datu aizsardzības noteikumu pārkāpumiem. Lai gan personas datu aizsardzības sistēmas ieviešana uzņēmumos prasa zināmas investīcijas – gan finanšu, gan cilvēkresursus, un bieži tās saistītas ar IT resursu sakārtošanu, tomēr šie ieguldījumi un ieguvumi ir ilgtermiņa. Turklāt personas datu apstrādes neatbilstība Datu regulas tiesiskajiem pamatiem, noteikumiem un principiem var izmaksāt vēl dārgāk.
