Var celt paniku, var nākt ar nomierinošu vēsti - Vispārīgā datu aizsardzības regula

df
Var celt paniku par Vispārīgo datu aizsardzības regulu, bet var ar vēsu prātu novērtēt situāciju un dažu dienu laikā veikt pirmos sagatavošanās darbus
Foto: AdobeStock

Informācijai

Eiropas uzņēmēji nezina, kas ir Datu regula

  • 27% Eiropas uzņēmumu nav informēti par Vispārīgo datu aizsardzības regulu  
  • Katra astotā jeb 12% no lielajām korporācijām, kas nodarbina 250 vai vairāk darbinieku, apgalvo, ka nekad neesot pat dzirdējuši par Regulu
  • 23% Latvijas uzņēmumu apgalvo, ka vispār nezina, kas ir Vispārīgā datu aizsardzības regula 
  • 49% Lietuvas uzņēmumu nezina, kas ir Vispārīgā datu aizsardzības regula
  • 21% Igaunijas uzņēmumu nav dzirdējuši par Regulu
  • 69% Grieķijas uzņēmēju nav zināšanu par Regulu
  • Par Regulu neko nezina 2% Dānijas, 6% Čehijas, 9% Zviedrijas, 11% Portugāles un 12% Austrijas uzņēmumu

European Payment Report 2018 pētījums, SIA Intrum

Valsts nav izpildījusi savu «mājasuzdevumu» Vispārīgo datu aizsardzības regulas jautājumā, tādēļ uzņēmējiem ir pašiem jāsaprot un jānovērtē, vai ir viss izdarīts, lai klientu dati būtu drošībā, norāda Sertificēto personas datu aizsardzības speciālistu asociācijas dibinātājs un valdes loceklis Ivo Krievs.

25. maijā Eiropas Savienībā stājas spēkā Vispārīgā datu aizsardzības regula, un Latvijā tā atceļ Fizisko personu datu aizsardzības likumu. Latvijā nav ieviesti nacionāli skaidrojumi vai precizējumi Vispārīgajā datu aizsardzības regulā. Tos meklē Saeimas juridiskā komisija, kas sagatavo priekšlikumus Saeimai.

Aprēķina izmaksas Eiropā

Par situāciju var celt paniku, bet «nomierinošā» vēsts – uzņēmumiem nav jāpārtrauc savu darbība, pat ja risks par datu aizsardzību nav novērtēts, skaidro I. Krievs. Pārsvarā panika rodas, domājot par sodiem, ko varēs noteikt Datu valsts inspekcija. Ja klientu dati būs drošībā, tie nenoplūdīs, un nav pamata uztraukumam, mierina I. Krievs.

Vēl pie neizpildītiem mājasdarbiem pieskaitāms datu aizsardzības speciālistu apmācības un sertifikācijas trūkums. Latvijā ir ap 400 datu aizsardzības spaciālistu, un jauni nerodas, jo valsts nav pateikusi, kā to izdarīt. Regula nosaka uzņēmumus, kuros obligāti ir jābūt datu aizsardzības speciālistam, vairumā gadījumu tās ir iestādes, kurās ievāc no klienta sensitīvus datus, piemēram, slimnīcas.

Aprēķinātas arī izmaksas, kas nepieciešamas, lai ieviestu Datu regulas prasības Eiropā. Maziem un vidējiem uzņēmumiem tie ir 8 tūkstoši eiro, bet lielajām korporācijām jārēķinās ar līdz pat 65 tūkstošu eiro lielām investīcijām, ziņo SIA Intrum. 26 miljoniem Eiropas Savienības uzņēmumu tas varētu izmaksāt 198 miljardus eiro.

Nav viena rīcības modeļa

Līdzīga neziņa kā Latvijā par t ko drīkst un ko nedrīkst darīt pēc 25. maija, ir arī citās Eiropas valstīs. Pētījumā European Payment Report 2018 noskaidrots, ka daļa uzņēmēju nav informēti par Regulu, tātad nav tai sagatavojušies. «Regula liek būt atbildīgiem. Var darīt jebko, ja ir pamatojums. Nav viena rīcības modeļa,» norāda I. Krievs. Vienīgais modelis – atbildīgi izturēties pret klientu datiem un nepieļaut, ka notiek tādas situācijas kā ar sociālo tīklu Facebok, kad tika konstatēta vairāk nekā 80 miljonu klientu datu noplūde.

Ir uzņēmumi, kuri arī līdz šim ir atbildīgi izturējušies pret personas datu aizsardzību un parūpējušies, lai tos nevarētu nopludināt vai izmantot ļaunprātīgi. Viņiem 25. maijs paniku neizraisa. To varētu teikt par bankām. Viņu rīcībā ir personas dati, bet bez tiem viņu darbs nav iespējams, jo bez personas indentifikācijas kontu atvērt nav iespējams. «Ļeģitīma interese,» jēdzienu, kāpēc firmas drīkstēs arī turpmāk izmantot personas datus, nosauc I. Krievs.

Vēl ir daļa uzņēmumu, kuriem nepieciešama tikai neliela pārkārtošanās vai «tīrā galda» ieviešanas politika. Piemēram, grāmatvedības firmai vajadzētu parūpēties, lai klientu dati nestāv visiem pieejamā vietā plauktos pie administratores, skaidro I. Krievs. Ārstiem kabinetos jāparūpējas, lai citu klientu veselības kartes nav redzamas pārējiem pacientiem.Trešā uzņēmumu grupa ir firmas, kuras izmanto personas datus, bet darbības veida īstenošanai tie nav nepieciešami. Piemēram, cilvēks apmeklē baseinu, kur viņam tiek lūgts norādīt gan vārdu un uzvārdu, gan dzīvesvietas adresi, e-pasta adresi un telefonu. Pakalpojuma sniedzējiem šādā gadījumā vajadzētu izanalizēt, vai tas ir nepieciešams. Ja ir nepieciešams, tad jāparūpējas, lai šī informācija būtu pieejama šauram darbinieku lokam. Svarīgi gādāt ne tikai par klientu, bet arī darbinieku datu drošību, norāda I. Krievs un ieskicē situāciju ar uzņēmuma ID kartēm, kuras izgatavotas, lai darbinieki iekļūtu uzņēmuma telpās. Jo vairāk personas datu čipā būs norādīti, jo lielāka uzmanība uzņēmumam jāpievērš, lai dati būtu drošībā. Varbūt pietiek, ja čipā ir ievadīts tikai darbinieka tālruņa numurs, lai anonimizētu katres saimnieku. Vēl viens datu regulas aspekts attiecībā pret darbiniekiem ir darba grafiku sastādīšana, tajos nedrīkst atzīmēt darbinieku prombūtnes iemeslus, piemēram, tas būs datu regulas pārkāpums, ja būs norādīts, ka cilvēks slimo vai atrodas atvaļinājumā. «Norādīt, ka darbinieks atrodas citā prombūtnē,» iesaka I. Krievs.

Aizsargā iedzīvotājus

Personas datu aizsardzības mērķis ir nodrošināt līdzsvaru starp indivīda tiesībām un sabiedrības interesēm. Panika rodas, ja Regula tiek interpretēta tā, ka pēc 25. maija uzņēmumu sāks apciemot Datu valsts inspekcija, lai iekasētu lielo sodu. Otrs panikas iemesls – Regula tiek tulkota kā iespēja nepiekrist nekādu savu personas datu apstrādei, proti, iespējai visiem pateikt, ka nevēlas nosaukt savu vārdu. Ir daļa uzņēmumu, kur šāda regulas izpratne darbojas, piemēram, uz visiem komerciāliem tirdzniecības piedāvājumiem. Tādēļ pēdējās dienās pirms 25. maija iedzīvotāji saņēma zvanus, sms ziņas un e-pastus no firmām ar lūgumu piekrist arī turpmākai saziņai. Tie, kuri pateica, ka nepiekrīt, tiem nevajadzētu vairs saņemt uzņēmuma piedāvājumus. Tie, kuri piekrita, var jebkurā mirklī pārdomāt, un uzņēmumam tas ir jārespektē, norāda I. Krievs. Taču jāatceras, ka lūgums izdzēst informāciju par klienta datiem nevar būt ar atpakaļejošu datumu.

Sagatavošanās darbi

Ja uzņēmums izmanto personas datus, svarīgi ir identificēt mērķus, kāpēc tas tiek darīts. Ar piesardzību jāizturas pret īpašās kategorijas datiem, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību. Arī ģenētikas un veselības dati, kā arī ziņas par cilvēka dzimumdzīvi vai seksuālo orientāciju ietilpst īpašās kategorijas datos. Visos gadījumos, kad personas dati tiek jautāti, uzņēmumam ir jāsaprot mērķis, kāpēc to veic, un jādara tas zināms savam klientam. «Veidi, kā dati atnāk, ir dažādi, bet tiem ir jābūt tiesiskam pamatam. Jāspēj pamatot, kāpēc tie pie jums atrodas. Mājasdarbs  – atrast pamatojumu. Uz papīra noformulēts process parādīs vājās vietas,» uz darbu uzņēmējiem, kuri nav sagatavojušies Regulai, norāda I. Krievs. Nākamais mājasdarbs – saprast, kādi ir uzņēmuma sadarbības partneri, un pamatot, kādēļ dati ir nodoti viņiem. Turklāt šo sadarbības partneru nepieciešamību un atbildību nepieciešams dokumentēt, lai sliktākajā gadījumā – ja dati nonākuši ļaundaru rīcībā  – varētu dokumentāli pamatot visu iesaistīto pušu atbildību. «Jābūt gogprātīgai attieksmei,» uz jēdzienu, kas var būt uzņēmēja darbības vadmotīvs, norāda I. Krievs. Pārskatot savu darbību, viņš iesaka uzņēmumiem mazāk orientēties uz piekrišanas principu, vairāk pamatot vajadzību pēc personas datiem ar līgumā norādīto pamatmērķi.

 

VIEDOKĻI


Nav revolūcijas

Raivis Terinks, SIA Koblenz valdes priekšsēdētājs:
Jautājums par jauno datu Regulu un gatavību tai ir kaut kas līdzīgs jautājumam: vai Rīga ir gatava. Mēs kā visi citi gatavojamies, jo apsardzes uzņēmumi uzglabā klientu datus. Tie ir ne tikai personu dati, bet arī dati par personu paradumiem un cita informācija. Regula uzliek nedaudz lielākus pienākumus sakārtot saikni ar klientu un nianses attiecībā uz datu glabāšanu. Es neteiktu, ka šī Regula ievieš kādu milzīgu revolūciju, jo dati jau līdz šim tika uzglabāti un pietiekami sargāti. Tomēr varu teikt, ka vēl joprojām ir neliels haoss sabiedrībā, jo ir redzama neziņa, ko un kā darīt. Viens no lielākajiem izaicinājumiem drošības nozarei ir videonovērošana.


Jau ievēro

Māris Andersons, SIA ARS valdes priekšsēdētājs:
Medicīnas iestādēm vienmēr ir bijusi darīšana ar personu datiem. Līdz ar to bija jāveic nelieli uzlabojumi, lai ieviestu jaunās datu Regulas prasības. Informējām personālu, ka ir uzmanīgāk jāizturas pret dokumentiem, kā arī ārstus apmācīja mūsu IT speciālisti. Vienkārši turpmāk būs nedaudz vairāk jāpiedomā pie visa, bet nekas jauns tas mums nav, jo ikdienā strādājam visu laiku ar personu datiem. Tāpat ir norādīts, ka par netīšiem pārkāpumiem pirmo gadu sodus nepiemēros. Vienīgais, kas biedē, ka Regula nosaka - datu īpašnieks ir pacients. Tiek paredzēta arī iespēja personai datus izdzēst, tas var radīt bīstamas situācijas nākotnē, ja ar personu notiek kāds nelaimes gadījums, ārstiem nebūs nekādas informācijas.


Gatavojas laicīgi

Viktors Zaķis, SIA Rīgas satiksme komunikācijas daļas vadītājs:

Regulas ieviešanai uzņēmums gatavojās jau divus gadus, un ceram, ka esam mājasdarbu izpildījuši, jo piegājām tam ļoti skrupulozi. Esam piedalījušies dažādos semināros un apmācībās, lai saprastu, kādi dati mums ir jāsaglabā un no kādiem labāk atteikties. Tomēr jāsaka, ka, piedaloties apmācībās, var just diezgan lielu interpretāciju. Kad Regula sāks darboties, tad arī varēs saprast, kas un kā. Runājot par Rīdzinieku kartēm, jau tās izsniedzot, cilvēks ir informēts un piekrīt, ka viņa dati tiks uzglabāti. Citādi mēs nevaram piešķirt un reģistrēt viņam atlaidi sabiedriskajā transportā. Šie dati ir nepieciešami, lai varētu veikt normatīvajos aktos noteiktās funkcijas.


Uzvārdu klientiem vairs neprasa

Dace Preisa, SIA Rimi Latvia sabiedrisko attiecību vadītāja: 

Pēdējās dienās pirms Regulas stāšanās spēkā klientu interese ir milzīga, vairāki tūkstoši atjauno savu piekrišanu ik dienas. Klienti vairumā gadījumu apstiprina iepriekšējos lietošanas noteikumus un nemaina savas izvēles attiecībā par datu izmantošanas nosacījumiem, proti, labprāt saglabā iespēju saņemt personalizētos piedāvājumus un ziņojumus e-pastā.

Tā kā līdzšinējā klientu piekrišana dalībai lojalitātes programmā iegūta atbilstoši likuma prasībām, tad pēc būtības esošo klientu datus iespējams saglabāt un apstrādāt arī pēc 25.maija. Mēs jau esam dzēsuši no sistēmām tos datus, no kuriem esam atteikušies, ieviešot jauno Mans Rimi reģistrācijas formu, piemēram, klienta uzvārdu. Tā kā mēs vēlamies veicināt klientiem izpratni par to, kam mēs izmantojam viņu datus, tad gribam saņemt apliecinājumu, ka klients ir iepazinies ar privātuma politiku un izvērtējis esošos uzstādījumus – atteikšanos un pieteikšanos noteiktām priekšrocībām, tādēļ arī aktīvi aicinām klientus to darīt.

Ja salīdzinām ar iepriekšējo reģistrācijas formu, Rimi vairs neprasa obligāti norādīt klienta uzvārdu un dod iespēju klientam izvēlēties, kādas vēl papildu priekšrocības klients vēlas saņemt, un līdz ar to norādīt tikai nepieciešamos papildu datus. Piemēram, pilna dzīvesvietas adrese jānorāda tikai tad, ja klients vēlas saņemt Rimi aktuālos piedāvājumus pa pastu u.c..

Rimi ieviesis kā obligāti norādāmu informāciju par pilsētu un pasta indeksu, jo šie dati ir neatņemama Rimi lojalitātes programmas sastāvdaļa, jo tie tiek izmantoti personalizēto piedāvājumu izveidošanai, kā arī anonīmā veidā tiek izmantoti statistikas un tirgus pētījumiem.

Dzimšanas datu norādīšana ir nepieciešama vairāku iemeslu dēļ. Pirmkārt, lai sasaistītu personu ar Mans Rimi karti, ja persona sazinās ar Rimi un lūdz veikt kādas darbības, piemēram, bloķēt karti. Otrkārt, šie dati nepieciešami personalizēto piedāvājumu izveidošanai, piemēram, lai piešķirtu jubilejas atlaidi, lai piedāvātu vecuma grupai atbilstošas preces.


Divdesmit miljonu vērtā Regula

Ivo Krievs, Sertificēto personas datu aizsardzības speciālistu asociācijas dibinātājs un valdes loceklis, personas datu aizsardzības speciālists, CIPP/EBA «Turība» docētājs:

«25.maija rīts. Birojā viss kluss, un vakar vakarā atstātie līgumi stāv uz galda, bet pie printera stāv vakar izdrukāts kandidāta CV, kuru personāla speciālists, skrienot mājās, aizmirsis paņemt, bet gan jau to izdarīs šodien. It kā viss tāpat kā vakar, bet tomēr citādi. Šodien tas līgums un izdrukātais CV izskatās dārgāks un vairāk piesaista uzmanību nekā vakar. Nu ja, seminārā minēja, ka tagad var uzņēmumam uzlikt 20 miljonu sodu, ja ar datiem ko izdarīs ne tā. Bet manam uzņēmumam apgrozījums gadā ir ne vairāk kā 100 000 eiro. Nu neko. Ielikšu līgumu atvilktnē, CV paņemšu un aiznesīšu Regīnai uz personāla daļu, un jādomā, kur nopelnīt trūkstošos 19,9 miljonus potenciālajam sodam,» šāds varētu būt sākums pārdomām. Lai arī Vispārīgā datu aizsardzības regula tika pieņemta un stājās spēkā jau pirms diviem gadiem, ir šajā dzīvē lietas, kas nemainās, – mēs varam gatavoties, cik vien gribam, pienākot stundai «X», mēs tāpat nebūsim pilnīgi gatavi, jo nezinām, kā tiešām būs pēc stundas «X». 

Ko mums ir atnesusi Vispārīgā datu aizsardzības regula? Viedokļi dalās! Speciālisti berzē rokas, jo ir radīta paaugstināta nepieciešamība pēc jauniem pakalpojumiem, savukārt uzņēmumi un privātpersonas norāda, ka tas ir pārspīlēti, jo Vispārīgā datu aizsardzības regula izjauc ierasto vidi un kārtību. Tomēr atbilde ir viena - ir nepieciešams saprāts un balanss, un mēs nenonāksim haosā!

Nevar noliegt, ka datu aizsardzības nozare pieprasa jebkurai personai būtiski atšķirīgi uzvesties no ikdienā ierastās kārtības, kur parasti mums kāds, piemēram, likumdevējs, pasaka priekšā, kā rīkoties. Datu aizsardzības regulējuma saturs ir fascinējoši attīstošs – tas liek domāt un uzņemties atbildību par savu rīcību. Mēs esam pieraduši, ka valsts ar tiesību aktu starpniecību līdz sīkumiem noregulē katru mūsu biznesa ikdienišķo situāciju – uz kuru pusi jāveras ārdurvīm, kas obligāti jāieraksta darba līgumos, kādas smalkmaizītes drīkst vai nedrīkst pārdot skolās utt. Savukārt datu aizsardzības regulējuma pamatprincips ir ļaut pašiem uzņēmumiem, organizācijām un citiem pārziņiem vērtēt situācijas un pašiem atbildīgi izlemt, kuros brīžos datu apstrāde ir pamatota un sabalansēta ar datu subjekta tiesībām un kuros brīžos nē. Ar kādiem līdzekļiem aizsargāt datus, ņemot vērā uzņēmuma vai organizācijas specifisko situāciju, piemēram, apstrādāto datu veidus – «parastie» dati, veselības dati, tādi, kas ietver reliģisko pārliecību. Diemžēl esošajā situācijā noteikumus diktē divi būtiski aspekti – nekonkrētība un milzīgi sodi, jo no vienas puses pārzinim diskomfortu rada nepārliecinātība, ka uzraugošās institūcijas varētu attiecīgo situāciju vērtēt līdzīgi, savukārt soda bargums liek pastāvīgi raudzīties riska minimizēšanas virzienā. Un šie divi elementi var palīdzēt pazaudēt veselo saprātu, rezultējoties šādos jautājumos: Vai varam citiem darbiniekiem rādīt citu darbinieku vārdus, uzvārdus, amatus un darba e-pastus? Vai pilnvarā varam rakstīt pilnvarnieka personas kodu? Vai mēs varam vispār ņemt vizītkartes? Bet kas būs, ja persona, kas iedeva vizītkarti, izrādīsies cita persona, nevis vizītkartē norādītā? Varbūt jāprasa vienmēr pase, ja kāds sniedz vizītkarti? Vai es nevaru vairs ar klientu komunicēt, izmantojot tālruni, ja nevaru 100% būt pārliecināts, ka sarunājos ar konkrētu personu? Vai es drīkstu bērnudārzā nofotografēt savu bērnu, lai ieliktu albumā bildi, un ko darīt, ja viņš dzied korī kopā ar vēl divdesmit citiem bērniem? Saprāts ir tas, kas ir nepieciešams, lai izpildītu Regulu. Citādi tās izpilde pārvērtīsies kaudzē nederīgu dokumentu un imitējošu procedūru, kam rezultātā būs mazs sakars ar patiesām rūpēm par datu drošību. 

Es uzņemšos risku apgalvot, ka Regulas pieņemšanas mērķis nebija ne iznīcināt ikdienas komunikāciju starp personām, ne iznīcināt biznesu, bet gan atbildīgi pieiet datu apstrādei un nedarīt to pavirši un negodīgi. Jāapzinās, ka atsevišķas datu apstrādes var radīt tiešām būtisku apdraudējumu personu privātumam un pat drošībai – piemēram, ja tiks nopludināta pacienta medicīniskā vēsture, ja kāds pieslēgsies mūsu gudrajām ierīcēm, sākot kontrolēt mūsu mājas siltuma sistēmu, vērot mūs caur TV un citās ierīcēs iebūvētām web kamerām, iegūt informāciju par mūsu pārvietošanās paradumiem GPS datu izskatā no mobilajiem tālruņiem, masīvu un nevajadzīgu datu bāžu veidošanu neidentificētiem mērķiem u.c. Šie ir pamata riski, kurus ar Regulas palīdzību bija nepieciešams kontrolēt un nodrošināt godprātīgu mūsu datu apstrādi. 

Manuprāt, Regula pirms tās piemērošanas uzsākšanas jau savu pamatdarbu ir izdarījusi! Esmu pārliecināts, ka jebkura persona, kas ir domājusi par Regulas «absurdajām» prasībām, tomēr ir padomājusi, vai ikdienā apkārt nav kādu acīmredzamu neatbilstību un risku saistībā ar datiem. Ņemot vērā to, ka šāds ar saturu piepildāms regulējums ar tik būtiskiem sodiem prasa arī būtiski atšķirīgu pieeju attiecībā uz datu apstrādi, kas var novest arī pie kļūdām un pārpratumiem, aicinu visiem datu apstrādes ciklā iesaistītajiem būt saprotošiem un novērtēt pārziņu centienus izbrist šos iepriekš nepazīstamos «ģenerālklauzulu džungļus».