Datu regula Var celt paniku par Vispārīgo datu aizsardzības regulu, bet var ar vēsu prātu novērtēt situāciju un dažu dienu laikā veikt pirmos sagatavošanās darbus

Valsts nav izpildījusi savu «mājasuzdevumu» Vispārīgo datu aizsardzības regulas jautājumā, tādēļ uzņēmējiem ir pašiem jāsaprot un jānovērtē, vai ir viss izdarīts, lai klientu dati būtu drošībā, norāda Sertificēto personas datu aizsardzības speciālistu asociācijas dibinātājs un valdes loceklis Ivo Krievs.

25. maijā Eiropas Savienībā stājas spēkā Vispārīgā datu aizsardzības regula, un Latvijā tā atceļ Fizisko personu datu aizsardzības likumu. Latvijā nav ieviesti nacionāli skaidrojumi vai precizējumi Vispārīgajā datu aizsardzības regulā. Tos meklē Saeimas juridiskā komisija, kas sagatavo priekšlikumus Saeimai.

Aprēķina izmaksas Eiropā

Par situāciju var celt paniku, bet «nomierinošā» vēsts – uzņēmumiem nav jāpārtrauc savu darbība, pat ja risks par datu aizsardzību nav novērtēts, skaidro I. Krievs. Pārsvarā panika rodas, domājot par sodiem, ko varēs noteikt Datu valsts inspekcija. Ja klientu dati būs drošībā, tie nenoplūdīs, un nav pamata uztraukumam, mierina I. Krievs.

Vēl pie neizpildītiem mājasdarbiem pieskaitāms datu aizsardzības speciālistu apmācības un sertifikācijas trūkums. Latvijā ir ap 400 datu aizsardzības spaciālistu, un jauni nerodas, jo valsts nav pateikusi, kā to izdarīt. Regula nosaka uzņēmumus, kuros obligāti ir jābūt datu aizsardzības speciālistam, vairumā gadījumu tās ir iestādes, kurās ievāc no klienta sensitīvus datus, piemēram, slimnīcas.

Aprēķinātas arī izmaksas, kas nepieciešamas, lai ieviestu Datu regulas prasības Eiropā. Maziem un vidējiem uzņēmumiem tie ir 8 tūkstoši eiro, bet lielajām korporācijām jārēķinās ar līdz pat 65 tūkstošu eiro lielām investīcijām, ziņo SIA Intrum. 26 miljoniem Eiropas Savienības uzņēmumu tas varētu izmaksāt 198 miljardus eiro.

Nav viena rīcības modeļa

Līdzīga neziņa kā Latvijā par t ko drīkst un ko nedrīkst darīt pēc 25. maija, ir arī citās Eiropas valstīs. Pētījumā European Payment Report 2018 noskaidrots, ka daļa uzņēmēju nav informēti par Regulu, tātad nav tai sagatavojušies. «Regula liek būt atbildīgiem. Var darīt jebko, ja ir pamatojums. Nav viena rīcības modeļa,» norāda I. Krievs. Vienīgais modelis – atbildīgi izturēties pret klientu datiem un nepieļaut, ka notiek tādas situācijas kā ar sociālo tīklu Facebok, kad tika konstatēta vairāk nekā 80 miljonu klientu datu noplūde.

Ir uzņēmumi, kuri arī līdz šim ir atbildīgi izturējušies pret personas datu aizsardzību un parūpējušies, lai tos nevarētu nopludināt vai izmantot ļaunprātīgi. Viņiem 25. maijs paniku neizraisa. To varētu teikt par bankām. Viņu rīcībā ir personas dati, bet bez tiem viņu darbs nav iespējams, jo bez personas indentifikācijas kontu atvērt nav iespējams. «Ļeģitīma interese,» jēdzienu, kāpēc firmas drīkstēs arī turpmāk izmantot personas datus, nosauc I. Krievs.

Vēl ir daļa uzņēmumu, kuriem nepieciešama tikai neliela pārkārtošanās vai «tīrā galda» ieviešanas politika. Piemēram, grāmatvedības firmai vajadzētu parūpēties, lai klientu dati nestāv visiem pieejamā vietā plauktos pie administratores, skaidro I. Krievs. Ārstiem kabinetos jāparūpējas, lai citu klientu veselības kartes nav redzamas pārējiem pacientiem.Trešā uzņēmumu grupa ir firmas, kuras izmanto personas datus, bet darbības veida īstenošanai tie nav nepieciešami. Piemēram, cilvēks apmeklē baseinu, kur viņam tiek lūgts norādīt gan vārdu un uzvārdu, gan dzīvesvietas adresi, e-pasta adresi un telefonu. Pakalpojuma sniedzējiem šādā gadījumā vajadzētu izanalizēt, vai tas ir nepieciešams. Ja ir nepieciešams, tad jāparūpējas, lai šī informācija būtu pieejama šauram darbinieku lokam. Svarīgi gādāt ne tikai par klientu, bet arī darbinieku datu drošību, norāda I. Krievs un ieskicē situāciju ar uzņēmuma ID kartēm, kuras izgatavotas, lai darbinieki iekļūtu uzņēmuma telpās. Jo vairāk personas datu čipā būs norādīti, jo lielāka uzmanība uzņēmumam jāpievērš, lai dati būtu drošībā. Varbūt pietiek, ja čipā ir ievadīts tikai darbinieka tālruņa numurs, lai anonimizētu katres saimnieku. Vēl viens datu regulas aspekts attiecībā pret darbiniekiem ir darba grafiku sastādīšana, tajos nedrīkst atzīmēt darbinieku prombūtnes iemeslus, piemēram, tas būs datu regulas pārkāpums, ja būs norādīts, ka cilvēks slimo vai atrodas atvaļinājumā. «Norādīt, ka darbinieks atrodas citā prombūtnē,» iesaka I. Krievs.

Aizsargā iedzīvotājus

Personas datu aizsardzības mērķis ir nodrošināt līdzsvaru starp indivīda tiesībām un sabiedrības interesēm. Panika rodas, ja Regula tiek interpretēta tā, ka pēc 25. maija uzņēmumu sāks apciemot Datu valsts inspekcija, lai iekasētu lielo sodu. Otrs panikas iemesls – Regula tiek tulkota kā iespēja nepiekrist nekādu savu personas datu apstrādei, proti, iespējai visiem pateikt, ka nevēlas nosaukt savu vārdu. Ir daļa uzņēmumu, kur šāda regulas izpratne darbojas, piemēram, uz visiem komerciāliem tirdzniecības piedāvājumiem. Tādēļ pēdējās dienās pirms 25. maija iedzīvotāji saņēma zvanus, sms ziņas un e-pastus no firmām ar lūgumu piekrist arī turpmākai saziņai. Tie, kuri pateica, ka nepiekrīt, tiem nevajadzētu vairs saņemt uzņēmuma piedāvājumus. Tie, kuri piekrita, var jebkurā mirklī pārdomāt, un uzņēmumam tas ir jārespektē, norāda I. Krievs. Taču jāatceras, ka lūgums izdzēst informāciju par klienta datiem nevar būt ar atpakaļejošu datumu.

Sagatavošanās darbi

Ja uzņēmums izmanto personas datus, svarīgi ir identificēt mērķus, kāpēc tas tiek darīts. Ar piesardzību jāizturas pret īpašās kategorijas datiem, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību. Arī ģenētikas un veselības dati, kā arī ziņas par cilvēka dzimumdzīvi vai seksuālo orientāciju ietilpst īpašās kategorijas datos. Visos gadījumos, kad personas dati tiek jautāti, uzņēmumam ir jāsaprot mērķis, kāpēc to veic, un jādara tas zināms savam klientam. «Veidi, kā dati atnāk, ir dažādi, bet tiem ir jābūt tiesiskam pamatam. Jāspēj pamatot, kāpēc tie pie jums atrodas. Mājasdarbs – atrast pamatojumu. Uz papīra noformulēts process parādīs vājās vietas,» uz darbu uzņēmējiem, kuri nav sagatavojušies Regulai, norāda I. Krievs. Nākamais mājasdarbs – saprast, kādi ir uzņēmuma sadarbības partneri, un pamatot, kādēļ dati ir nodoti viņiem. Turklāt šo sadarbības partneru nepieciešamību un atbildību nepieciešams dokumentēt, lai sliktākajā gadījumā – ja dati nonākuši ļaundaru rīcībā – varētu dokumentāli pamatot visu iesaistīto pušu atbildību. «Jābūt gogprātīgai attieksmei,» uz jēdzienu, kas var būt uzņēmēja darbības vadmotīvs, norāda I. Krievs. Pārskatot savu darbību, viņš iesaka uzņēmumiem mazāk orientēties uz piekrišanas principu, vairāk pamatot vajadzību pēc personas datiem ar līgumā norādīto pamatmērķi.