Biežākie «grēki» datu aizsardzības regulas ievērošanā Latvijā

Eiropā jau ir piemēroti pirmie sodi par Vispārīgās datu aizsardzības regulas (GDPR) pārkāpumiem

Austrijā uzņēmums sodīts ar 4800 eiro sodu par nepamatotu videonovērošanu, bet Portugālē ar 400 tūkst. eiro sodu tika sodīta vietējā slimnīca par pacientu datu nedrošu glabāšanu. Savukārt Latvijā, kopš GDPR stāšanās spēkā, Latvijas Datu valsts inspekcija (DVI) trīs mēnešos saņēmusi 880 sūdzības par pretlikumīgām darbībām ar fizisko personu datiem. Lattelecom GDPR eksperti, kas ikdienā palīdz arī citiem uzņēmumiem apzināt savu atbilstību regulai, apkopojuši biežāk sastopamos pārkāpumus.

Viena no acīmredzamajām lietām, ko var pamanīt jebkurš interneta lietotājs, ir datu subjekta neinformēšana par datu apstrādes nolūku mājaslapās – trūkst apstrādes juridiskā pamata un bieži vien netiek norādīts, kurš par to ir atbildīgs. Piemēram, ja mājaslapā nav pieejama sīkdatņu politika, tad tas jau ir pārkāpums.

"Šobrīd biežāk sastopamos pārkāpumus var iedalīt četrās grupās: uzņēmumā nav atbildīgās personas par datu apstrādes kontroli; nav izstrādāti datu aizsardzības noteikumi un procedūras darbiniekiem; personas dati tiek apstrādāti ilgāk un lielākā apjomā nekā nepieciešams; līgumos nav iekļautas personas datu aizsardzības prasības," stāsta Lattelecom datu aizsardzības projektu vadītājs, sertificēts fizisko personu datu aizsardzības speciālists Dainis Lukaševičs.

Starp citiem biežāk izplatītajiem "grēkiem" var minēt to, ka netiek nodrošināta datu apstrādes infrastruktūras atbilstība minimālajām drošības prasībām, darbinieku personu apliecinošu dokumentu kopiju glabāšana, konfidenciālo izdruku brīva pieejamība darba galdos, brīdinājumu neesamība par foto un video filmēšanu vai novērošanu, žurnālfailu neesamība vai to nedroša glabāšana, personas datu glabāšana bez mērķa un termiņa, uzskaita eksperts. Piemēram, maldīgs ir uzskats, ka datu glabāšana nav apstrāde.

Pēc Lattelecom speciālistu novērojumiem, galvenais izaicinājums uzņēmējiem joprojām ir situācijas apzināšana, kam seko datu apjoma samazinājums, datu aizsardzības dokumentu sinhronizācija ar citiem dokumentiem un līgumu papildināšana ar datu aizsardzības noteikumiem. 

"Viena no atziņām par GDPR, ko uzsver paši uzņēmēji, – trūkst vienotas izpratnes par regulu, kas izpaužas pārspīlējumos vai pārliekā labticībā, apstrādājot un izpaužot personu datus. Vienlaikus uzņēmēji saprot – droša datu apstrāde nav tikai mērķis, bet gan nepārtraukts process. To redzam, ne tikai komunicējot ar klientiem, – šī tēma joprojām ir aktuāla un savu aktualitāti nezaudēs tik drīz," norāda D. Lukaševics.