Datu aizsardzībai vajadzīga sistēmiska pieeja
Datu aizsardzības process ir jāintegrē uzņēmuma ikdienas darbībā, un tam jākļūst par tādu pašu rutīnas jautājumu kā grāmatvedības, budžeta un fiziskās drošības jautājumi kompānijas dienaskārtībā.
Tā uzskata datu aizsardzības biroja Protectum partneris un datu aizsardzības speciālists Ivo Krievs. Viņš iesaka sistēmiski pieiet datu aizsardzības jautājumu risināšanai ikdienā. Pirmais solis ir gūt ieskatu, kas ir datu aizsardzība un, ko tā paredz, kam varētu noderēt kādi kursi. Nākamais etaps ir iekšēja datu procesu inventarizācija, respektīvi, jāapzina visas uzņēmumā veiktās datu apstrādes un apstrādājamā informācija, ko jau tālāk vajag pārbaudīt, vai tai ir atbilstoši tiesiskie pamati, noteikti dzēšanas termiņi, vai šādas ziņas tiešām ir vajadzīgas. Kad datu apstrāde ir apzināta, ir jāizveido t.s. privātuma politikas, lai informētu datu subjektus par to datu apstrādi, un jāpārliecinās, ka uzņēmums būs spējīgs reaģēt uz viņu pieprasījumiem un skaidrot šādas informācijas apstrādi. Trešais lielais bloks ir dažādi pasākumi, lai nodrošinātu datu drošu apstrādi, – izveidot uzņēmuma procesiem atbilstošas procedūras, pārvaldīt sadarbības partnerus, kuri strādā ar uzņēmuma datiem, un pārliecināties par IT sistēmu drošību, tostarp apmācīt darbiniekus, lai izvairītos arī no viņu pieļautām kļūdām.
Nopietnāka pieeja
Vaicāts par secinājumiem pēc regulas ieviešanas, SIA Datakom biznesa attīstības direktors Edijs Tanons spriež, ka iepriekš datu aizsardzībai uzmanību bija veltījuši aptuveni 5% uzņēmumu. Tas ir saprotami – kāpēc gan rūpēties par kaut ko, kas nav redzams, par ko nebūs soda un kas nekādā veidā nenes peļņu. No savas personīgās pieredzes viņš spriež, ka, iepērkoties kādā internetveikalā vai pierakstoties pie ārstiem, arvien gadās situācijas, kad pieprasa pārāk daudz datu bez nopietnas izpratnes, kur tos likt un kā glabāt. I. Krievs piebilst, ka šādi gadījumi gan ir sastopami krietni retāk nekā pirms gada.
"Pārspīlējumi, ieviešot kaut ko jaunu, ir neizbēgami, jo šīm jaunajām vērtībām ir jānostiprinās gan iedzīvotājos, gan uzņēmējos un jāintegrē tās domāšanā un procesos. Iedzīvotāji ir kļuvuši izglītotāki un arī prasīgāki par savām kā datu subjektu tiesībām, kas, protams, liek arī uzņēmumiem spēt skaidrot klientiem to datu apstrādes aspektus un nepieciešamības gadījumā arī kliedēt bažas, piemēram, par datu drošību un pārmērīgu datu apstrādi," viņš norāda.
Edijs Tanons,
SIA Datakom biznesa attīstības direktors.
Šobrīd uzņēmumiem ir nogaidoša fāze – ir tādi, kuri pamazām sakārto redzamo un neredzamo drošības daļu, sakārto piekļuves tiesības datoriem un datiem, apmāca darbiniekus, bet kopumā visi gaida, kāda būs Datu valsts inspekcijas reakcija.
No viena grāvja otrā
"Diemžēl aktivitāte un ažiotāža, kas ap datu aizsardzības jautājumiem sacelta pirms Vispārīgās datu aizsardzības regulas piemērošanas uzsākšanas, pēc tam iekrita otrā grāvī. Respektīvi, pēc Datu valsts inspekcijas paziņojuma, ka tā piemēros "konsultē vispirms principu", uzņēmumi un organizācijas nomierinājās, ka tas jau, visticamāk, tos neskars un, ja skars, tad Datu valsts inspekcija pamācīs, kas jādara," saka I. Krievs.
To pierādot arī šī gada sākumā Protectum un SKDS kopīgi veiktais pētījums, kas parādīja, ka gada sākumā aptuveni 35% uzņēmumu uzskatīja, ka regula uz tiem neattiecas. Savukārt no tiem 65% uzņēmumu, kuri apzinājās regulas esamību, tikai ap 40% norādījuši, ka ir veikuši visus regulas ieviešanas pasākumus. Rezultātā viņš secina, ka tuvu puse Latvijā strādājošo uzņēmumu nebija pilnībā gatavi regulā norādītām prasībām vai arī bija daļēji izpildījuši visas prasības.
I. Krievs uzskata, ka, no uzņēmumu gatavības viedokļa, šobrīd situācija nav kardināli mainījusies un Eiropā uzraugošās iestādes ir beigušas konsultēt un jau ir sākušas uzņēmumu gatavības pārbaudes, un piemēro arī sodus.
Ivo Krievs,
datu aizsardzības biroja Protectum partneris un datu aizsardzības speciālists.
Pēdējos mēnešos gandrīz ik pa pāris nedēļām parādās informācija par kādu skaļāku sodu Eiropā, un augusta beigās šādu paziņojumu sagaidījām arī no mūsu uzraudzības iestādes, kura ir piemērojusi līdz šim lielāko sodu 7000 eiro apmērā.
Apzinās riskus
Samsung Electronics Baltics novērojumi liecina, ka joprojām nav vienotas izpratnes par dažādiem personas datu aizsardzības jautājumiem. Piemēram, nav vienotas izpratnes par pārziņa lomu, piemēram, situācijā, kad ir divi vai vairāki pārziņi – vai katrs darbojas neatkarīgi vai veidojas koppārziņu situācija. Situācijās, kad datu vākšanas un apstrādes procesā iesaistīti vairāki partneri, ir novērotas domstarpības, kurai no pusēm jādarbojas pārziņa un kurai – apstrādātāja statusā.
"Cilvēki kļūst izglītotāki personas datu aizsardzības jomā un iesūta pieprasījumus, lai īstenotu savas tiesības. Svarīgi katram uzņēmumam izveidot sistēmu, kur pieprasījums tiek saņemts un izskatīts viena mēneša laikā, lai tiktu ievērots Vispārīgās datu aizsardzības regulas noteiktais termiņš atbildes sniegšanai. Viens no vienkāršākajiem variantiem ir izveidot speciālu e-pasta adresi pieprasījumu saņemšanai. Lielie uzņēmumi bieži izveido īpašas sistēmas pieprasījumu saņemšanai, piemēram, Samsung mājaslapā ir izveidota atsevišķa sadaļa, kur ikkatram ir iespēja nosūtīt pieprasījumus. Esam novērojuši, ka lielie uzņēmumi kopumā ir rūpīgāk strādājuši pie regulas prasību ievērošanas, jo labi apzinās riskus neizpildes gadījumā," saka Juris Gorjunovs, Samsung Electronics Baltics juridiskās un atbilstības nodaļas vadītājs Baltijas valstīs. Viņa skatījumā, grūtāk ar šo prasību ievērošanu veicas mazajiem uzņēmējiem. Lai arī informācija par dažādu regulas prasību piemērošanu praksē ir pieejama, uzņēmumam, kuram nav sava jurista, datu aizsardzības vai IT speciālista, varētu būt diezgan grūti izprast regulas prasības. Daudzos jautājumos prakse vēl tikai veidojas, tāpēc regulas prasības nav pilnībā skaidras, daudzi punkti ir interpretējami.
"Galvenie regulas izaicinājumi ir datu minimizēšanas principa ievērošana, kad informācija par fiziskām personām tiek apkopota tikai tādā daudzumā, kāds nepieciešams konkrētā mērķa sasniegšanai, kā arī datu drošības jautājums – vai dati tiek pienācīgi aizsargāti pret neautorizētu piekļuvi un izpaušanu," saka J. Gorjunovs.
Ignorēšana ir risks
"No savas pieredzes varu teikt, ka lielākais klupšanas akmens ir situācijas ignorēšana. Tad uzņēmumi pat teorētiski neapzinās riskus, kādus tie rada primāri saviem klientiem, kā arī sev, riskējot pakļūt zem uzraudzības iestādes kontroles un ciest finansiālus zaudējumus soda dēļ," klāsta I. Krievs. Otra lielākā kļūda ir pieņemt datu aizsardzības sistēmas ieviešanu kā statisku procesu, respektīvi, nopērkot standarta dokumentu paku un šo jautājumu slēdzot, lai gan būtu jāapzinās, ka izpildīt regulu var, tikai iedziļinoties savos procesos, tos atbilstoši atspoguļojot dokumentos un pārvaldot. Viņam ļoti patīk pieeja, kāda ir izmantota datu aizsardzības regulējumā un kādu ietekmi tā rada uz sabiedrisko domu kopumā, jo tas liek uzņēmējam pašam domāt un vērtēt situāciju.
"Esam pieradināti ar likumdevēja vēlmi noregulēt katru sīkāko situāciju, rezultātā mēs pat vairs paši nedomājam, vai tas ir taisnīgi un sasniegs mērķi. Savukārt regula liek uzņēmumam pašam izvērtēt savu individuālo situāciju un pieņemt lēmumu, vai tas būs taisnīgi vai ne. Piemēram, man bieži prasa, vai likumīgi būs uzstādīt video novērošanas kameras. Uz ko atbildu, ka nezinu, jo tas ir atkarīgs no tā, kādiem mērķiem un kur tās tiks uzstādītas. Piemēram, kamera pie veikala ārdurvīm, lai identificētu zādzības, būtu samērīga, savukārt šādam pašam mērķim uzstādīta kamera pārģērbšanās kabīnēs nebūs leģitīma, jo aizskārums privātumam ir nesamērīgi liels," norāda I. Krievs.