Jaunā Eiropas Savienības regula par fizisku personu datu aizsardzību nesīs uzņēmumiem un organizācijām vairākus nopietnus izaicinājumus, kurus nevar atrisināt pēdējā brīdī

Datu drošība

Nākamais pavasaris daudzu uzņēmumu vadītājiem jūsmošanas par dabas mošanos un siltāku laiku vietā solās atnest negulētas naktis un pārdzīvojumus. Jaunā Eiropas Komisijas regula par fizisko personu datu aizsardzību paredz rūpīgāk uzmanīt uzņēmumu rīcībā esošos datus, un, lai izpildītu tās prasības, jāsāk gatavoties jau tagad.

Jaunā Eiropas Parlamenta un Padomes Regula 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu glabāšanu, apstrādi un šādu datu brīvu apriti stājas spēkā 2018. gada 25. maijā. Tas būs jāievēro kā visiem komersantiem, tā valsts un pašvaldību iestādēm. Jaunais datu regulējums ir loģisks solis vienota Eiropas digitālā tirgus izveidē, kam pamatā ir droša datu apstrāde un vienots regulējums visā ES.

Vienoti noteikumi visiem

Tā kā tiesību normu saskaņošana visās 28 dalībvalstīs būtu sarežģīts un laikietilpīgs process, 2016. gadā tika apstiprināta Vispārējā datu aizsardzības regula, kas 2018. gada maijā aizstās nacionālo normatīvo aktu regulējumu.

«Izpratne par to, kas ir personu dati, un fundamentālie jēdzieni paliek nemainīgi. Galvenā izmaiņu būtība ir mazināt birokrātisko procesu mazajiem uzņēmumiem, kas apstrādā nelielu fizisko personu datu apjomu, vienlaikus paaugstinot prasības un kontroli pār datu pārziņiem – uzņēmumiem un iestādēm, kā arī aizsargājot datu subjekta tiesības saņemt informāciju par datu apstrādi un piešķirt tiesības privātpersonām pieprasīt informāciju par saviem personas datiem,» sarunā ar DB galvenos izmaiņu punktus klāsta Lattelecom drošības risinājumu pakalpojumu vadītāja Sarmīte Mickeviča.

Uzņēmumiem būs jābūt gataviem dažādiem scenārijiem un izaicinājumiem. Piemēram, pēc privātpersonu pieprasījuma uzrādīt uzņēmuma rīcībā esošos datus par attiecīgo cilvēku un izdzēst tos, kuru uzglabāšanu neprasa citi likumi. Lai uzkrātu jaunus datus, būs nepieciešama nepārprotama attiecīgā indivīda piekrišana. Cilvēki varēs iebilst pret viņu datu izmantošanu pētījumos un analīzēs.

Jāsāk gatavoties laikus

Taču, iespējams, visbiedējošākās izmaiņas attiecas uz datu sargāšanu. Turpmāk interneta komersantiem un citiem uzņēmumiem, pie kuriem glabājas dati par privātpersonām, būs jābūt ārkārtīgi acīgiem un uzmanīgiem. Ja noziedzniekiem izdosies nozagt sensitīvu informāciju kā kredītkaršu dati vai ziņas par veselības stāvokli, komersantam varēs piespriest drastisku sodu līdz 20 miljoniem eiro vai 2–4% no uzņēmuma gada apgrozījuma apmērā.

«Uzņēmumiem un organizācijām lielākais izaicinājums būs sabalansēt personas datu aizsardzību ar iespēju attīstīt un izmantot tehnoloģiju izaugsmes iespējas, tās nekavējot un saglabājot spēju konkurēt pasaules līmenī. Lattelecom grupas uzņēmumos ir izveidota īpaša darba komanda, kas jau kopš Vispārīgās datu aizsardzības regulas apstiprināšanas 2016. gada maijā strādā pie tās ieviešanas. Tas ir daudzpusīgs un apjomīgs projekts, un tā īstenošanas gaitā esam ieguvuši vērtīgas zināšanas un pieredzi. Tagad to liekam lietā, konsultējot arī citus Latvijas uzņēmumus par sistēmu sakārtošanu atbilstoši regulas prasībām,» stāsta S. Mickeviča, mudinot uzņēmējus laikus gatavoties izmaiņām.

Vispārīgās fizisko personu datu aizsardzības regulas (GDPR) atbilstības pakalpojums ietver juridisko un tehnisko novērtējumu uzņēmumu procesos, IT sistēmās un iekšējā dokumentu regulējumā. Lattelecom piedāvā veikt esošo dokumentu pārbaudi, izstrādāt uzņēmuma iekšējos juridiskos un IT procesus un saņemt atbilstības novērtējumu, kas palīdzēs minimizēt riskus saistībā ar personas datu glabāšanu, apstrādi un šādu datu brīvu apriti, tādējādi ievērojot regulas prasības. Pārbaudi veic un pārskatus sagatavo sertificēti Lattelecom Fizisko personu datu aizsardzības speciālisti un IT drošības speciālisti. Viņi veic pilnu uzņēmuma iekšējās dokumentācijas pārbaudi un IT infrastruktūras drošības nepilnību pārbaudi.

Vajadzēs kvalificētus speciālistus

Regulas prasības un sodi šķiet drastiski. Diskusiju forumos jau apspēlēti apokaliptiski scenāriji, kā rīkoties, ja nelielam e-komercijas uzņēmumam 25. maijā uzkrāto informāciju par sevi vienlaikus pieprasa vairāki desmiti tūkstoši klientu. Uzņēmēji arī atklāti pauduši bažas par augsto sodu personas datu pazaudēšanas gadījumā, no kā, papētot neseno hakeru uzbrukumu vēsturi, simtprocentīgi nevar nodrošināties neviens uzņēmums. Daudziem sods 4% no apgrozījuma apmērā nozīmētu nāves spriedumu.

Pamatīgs izaicinājums būs nodrošināt augsti kvalificētus fizisko personu datu aizsardzības speciālistus katrā valsts, pašvaldības iestādē un uzņēmumos, kas apstrādā īpašo kategoriju personu datus vai veic datu apstrādi lielā apjomā. Piemēram, īpašs regulējums tiks paredzēts nepilngadīgajiem un datu sūtīšanai ārpus ES.

Regulā ir arī pozitīvas lietas, jo tā mazina birokrātiju. Datu apstrāde vairs nebūs jāreģistrē Datu valsts inspekcijā, taču tai tiks piešķirtas lielākas kontroles iespējas. Tas gan uzliks komersantiem papildu pienākumu novērtēt datu apstrādi un to ietekmi uz datu subjekta privātumu.