Vispārīgās datu aizsardzības regulas ieviešanā vēl daudz darāmā

Daļai uzņēmumu, gatavojoties Vispārīgās datu aizsardzības regulas ieviešanai, nāksies gan koncentrēt darbinieku resursus, gan investēt jaunās tehnoloģijās, laikraksta Dienas Bizness, Digital Mind, IBM un ALSO Latvija rīkotajā konferencē Organizācijas un dati atzina eksperti.

Arvien aktīvāk

2018. gada maijā spēkā stāsies jaunā ES Vispārīgā datu aizsardzības regula (GDPR), kura definē personas datu apstrādes mērķus, procesus un tehnoloģiju pielietojumu un būs saistoša visām organizācijām, kuras apstrādā ES pilsoņu datus. Praksē tā nosaka striktākus pienākumus visām klientu un darbinieku datu ieguvē, apstrādē un glabāšanā iesaistītajām pusēm un paredz būtiski augstākus sodus par šo pienākumu nepildīšanu. Kā liecina ES informācija, regulā ietilpst arī tādi nosacījumi kā skaidri apstiprinoša klienta piekrišana privāto datu apstrādei, kas sniegs patērētājiem vairāk kontroles par to, kā tiek izmantoti viņu sniegtie privātie dati. Tas var nozīmēt ķeksīša ievilkšanu, apmeklējot tīmekļa vietni, vai cita veida paziņojumu vai darbību, kas nepārprotami liecina par piekrišanu personas datu apstrādei. Par piekrišanu nevarēs uzskatīt neiebilšanu, lauciņus, kas atķeksēti jau iepriekš. Tāpat regula ietver tiesības tikt aizmirstam, nodrošinot patērētājam iespēju vienkārši atsaukt sniegto piekrišanu. Personām būs tiesības zināt, ja dati ir uzlauzti, bet uzņēmumiem būs, cik drīz vien iespējams, jāziņo dalībvalsts uzraudzības iestādei par nopietniem pārkāpumiem saistībā ar datiem, lai lietotājam būtu iespēja veikt atbilstošus pasākumus. Tāpat regula paredz, ka nosacījumiem būs jābūt uzrakstītiem vienkāršā valodā, tādējādi uzņēmumiem ir jāpārtrauc prakse privātuma atrunas publicēt sīkiem burtiņiem, kā arī informācija ir jāsniedz vienkāršā valodā un viegli izlasāmā drukā.

Tuvojoties regulas ieviešanas datumam, uzņēmumu aktivitāte datu revidēšanā palielināsies, taču nevajadzētu šos procesus atlikt uz pēdējo brīdi, jo steigā to izdarīt nevarēs – tam vajadzīgs gan laiks, gan resursi, uzsvēra eksperti.

«Mani novērojumi liecina, ka pēdējo nedēļu laikā šis jautājums ir katru sarunu sastāvdaļa un savā ziņā ir sācies sniega bumbas efekts, kad organizācijas aizvien vairāk interesējas un apzinās, ko šī regula nozīmē to darbībā jau šodien,» uzsver Digital Mind valdes priekšsēdētājs Rinalds Sluckis. Viņš pamanījis, ka uzņēmumu vidū pastāv divi pilnīgi pretēji viedokļi: pirmais no tiem – ka regula nav nekas jauns, jo jau šodien personu datu aizsardzības jautājumi tiek diezgan plaši regulēti normatīvajos aktos; otrs viedoklis – ka regulas ieviešana prasīs nopietnu procesu pārskatīšanu, būtiskas izmaiņas IT sistēmās un tas diezgan radikāli varētu mainīt veidu, kā kompānijas strādā ar klientiem. Atkarībā no tā, kādu vērību uzņēmumi ir pievērsuši personu datu aizsardzībai un informācijas pārvaldībai kopumā, abiem šiem viedokļiem ir absolūts pamats pastāvēt, uzskata R. Sluckis.

Viņam piekrīt arī Tieslietu ministrijas Nozaru politikas departamenta direktore Jekaterina Macuka, uzsverot, ka jau šobrīd pastāv daudzi likumi, kas regulē personas datu aizsardzības jomu, līdz ar to nenotiks revolūcija, bet evolūcija šajā sfērā. Regulas mērķis bija noteikt vienotu datu regulējumu ES mērogā, ņemot vērā, ka daudzas kompānijas, kuras darbojas ES, strādā vairākās valstīs, un vienā valstī kaut kas ir atļauts, bet citā – nav. Tādēļ dalībvalstu vidū ilgu laiku notika sarunas regulas izveidei, lai tiktu ieviesti vienoti principi.

Mūsdienās uzņēmumu rīcībā ir ļoti daudz datu, un katru gadu to apjoms pieaug, atzina arī ALSO Latvia risinājumu nodaļas projektu vadītājs Artjoms Krūmiņš. «Latvijā laikam patlaban vairs nevaram atrast nevienu uzņēmumu, kurš zinātu, kas notiek ar tā datiem. Ir lietas, ko glabājam datubāzē, un tajās orientējamies, taču ir vēl e-pasti, kuros iekļautas pases kopijas, pieteikuma anketas, CV un citi dokumenti, kuros iekļauti dažādi personas dati. Uzņēmumam ir jāizvērtē, vai šie dati ir vajadzīgi, un jāarhivē tie,» skaidro A. Krūmiņš.

Ja nu noder

Eksperti uzsvēra, ka nereti uzņēmumi personas datus ievāc nekonkrētiem mērķiem, ar domu, ka kādreiz tie, iespējams, noderēs. Līdz ar to kompānijām ir ieteicams sakārtot savas darbības, ņemot vērā, ko uzņēmums dara, kādus datus vāc un ar kādu mērķi tie tiek apkopoti. Tajā brīdī, kad uzņēmums sašķels savas darbības un procesus pa daļām, tas sapratīs, kas vēl ir jāveic, lai sagatavotos datu regulas ieviešanai. «Tādējādi varbūt uzņēmums secinās, ka nepieciešami tikai nelieli uzlabojumi sistēmās, vai arī konstatēs, ka no tiem datiem, kas vākti piecus gadus, tikai puse ir vajadzīgi,» atzīmē J. Macuka, piebilstot, ka par personas datiem nevar domāt «ja nu noderēs», jo to vākšanai nepieciešams konkrēts mērķis. Tādējādi regula paredz noteikt datu apstrādes pamatu – kam šie dati ir nepieciešami.

J. Macuka arī minēja vairākus raksturīgus piemērus, kas patlaban rada problēmas datu aizsardzībā. Tā, piemēram, iegādājoties kādu preci internetā vai saņemot pakalpojumu, patērētājam tiek piedāvāti noteikumi par datiem, kam jāpiekrīt, taču, pēc viņas teiktā, piekrišana ir formāla, un nav iespējams atteikties. Tā, piemēram, pircējs savā viedtālrunī var izlasīt 100 lappušu garu privātuma politiku, kur 60% vārdu ir nepazīstami, un galu galā ir tikai viena opcija – piekrist. Regula paredz, ka pircējam ir jābūt tiesībām arī atteikties no datu apstrādes, taču tajā pašā laikā viņš aizvien var saņemt noteikto pakalpojumu, un viens no regulas nozīmīgiem mērķiem ir pievērsties šim piekrišanas jautājumam, lai cilvēkiem vairāk būtu iespējas kontrolēt savus datus un to izmantošanu. Ministrijas pārstāve uzsvēra, ka nereti gadās situācijas, kad patērētājs savus datus nodod kādam interneta veikalam vai uzņēmuma klientu apkalpošanas centram, kas sniedz pakalpojumu, taču nezina, ka šie dati nonāk pie vēl daudziem citiem uzņēmumiem. Nākotnē, pateicoties regulas ieviešanai, varēs panākt, ka šie dati tiks laboti vai dzēsti no arhīviem.

Strukturizēta darbība

R.Sluckis dalījās pieredzē, kā viņa pārstāvētais uzņēmums virzās uz datu regulas ievērošanu. «Strukturizēti pievēršoties datu aizsardzības jautājumiem, uzņēmums var arī par sevi atklāt daudzas jaunas lietas,» viņš uzsvēra. Kompānija veic auditu, kurā iekļauti šādi jautājumi: kādi personas dati ir organizācijas rīcībā, kādos biznesa procesos tie tiek izmantoti, kādos nesējos un formātos tie glabājas, kā tie tiek iegūti, kam ir pieeja datiem, kādi ir noplūdes riski, kādi ir aizsardzības procedūru formulējumi un citi. Rezultātā uzņēmums saprot, kādi dati ir tā rīcībā un kāda ir to sasaiste ar biznesa procesiem, kādas ir neatbilstības, pie kurām būs jāstrādā un kurās būs jāinvestē. Auditu uzņēmums plāno noslēgt maija beigās, lai tam būtu pusgads laika iekšējo procesu pārveidei un jaunu risinājumu ieviešanai.

«Tiesa gan, mēs esam apzinājušies, ka investīcijas, ja vērtējam iekšējos resursus, sasniedz jau vairākus tūkstošus eiro, un ir skaidrs, ka kopējās izmaksas nebūs ne 500, ne 2000 eiro, taču tas, protams, atkarīgs no tā, kāda ir organizācijas iekšējā situācija patlaban,» viņš prognozē. R. Sluckis kā veicamos darbus vēl minēja darbinieku apmācību un kopējo domāšanas maiņu. Arī A. Krūmiņš atzina, ka, virzoties uz regulas ieviešanu, var gaidīt, kad uzņēmumam būs liels resursu trūkums – trūks personāla, lai uzlabotu šo jomu. Tomēr darbinieki, kas strādās ar šīs jomas sakārtošanu, ir jāizvēlas rūpīgi, jo no šiem cilvēkiem būs atkarīgs, vai uzņēmums saņems sodu saistībā ar datu aizsardzības pārkāpumiem vai nē. Tas prasīs arī papildus investīcijas IT sistēmās, piebilst eksperts.

Konferences dalībnieki neiesaka arī neatstāt šo jautājumu pāris darbinieku kompetencē, jo daļa uzņēmumu uzskata, ka ar to tiks galā viens jurists. «Valdes līmenī ir jābūt sponsoram, kas pārvalda šo jomu, jo tā saistās ar lieliem riskiem, ieskaitot soda naudas. Ir jānoformē pamats atkarībā no tā, kādas ir uzņēmuma darbinieku lomas, taču komandā jābūt juristiem, IT speciālistiem un biznesa procesu īpašniekiem, jo tikai viņi tā pa īstam apzinās, kāpēc šie dati tiek izmantoti, un var atbildēt, vai bez šiem datiem ir iespējams iztikt. Pēc tam ieteicams veikt auditu,» iesaka R. Sluckis.