Datu aizsardzība Pastāv prasību formālas īstenošanas un nepamatota birokrātiskā sloga risks

2018. g. 25. maijā spēkā stājās Vispārīgā datu aizsardzības regula (VDAR), kas būtiski ietekmē arī autotransporta nozari. No regulas izstrādātāju viedokļa izriet, ka GPS sekošanas iekārtas, kas uzstādītas transporta līdzeklim, var radīt datu subjektam paaugstinātu VDAR aizsargāto fizisku personu pamattiesību un pamatbrīvību risku. «Ir grūti iedomāties komersantu, kurš darbojas kravu pārvadājumu biznesā bez GPS sekošanas iekārtām. Īpaši gadījumos, ja tiek nodrošināti starptautiski kravu pārvadājumi,» sarunā ar Dienas Biznesu norāda juridisko risinājumu eksperts Ēriks Štegmanis. Lielas kompānijas jaunās prasības centušās risināt savlaicīgi, tikmēr kādas nelielas Latvijas transporta kompānijas pārstāvis DB norādīja, ka viņam nav ne jausmas, ko no viņa prasa VDAR. Līdz ar to uzņēmums turpinās darbu pa vecam, līdz kamēr pie durvīm klauvēs Datu valsts inspekcija ( DVI). Nozares asociācija gatavojas saviem biedriem rudenī izsūtīt rekomendācijas, kā rīkoties, savukārt VDI uzsver, ka transporta kompānijām jāievēro šoferu tiesības uz privātumu atpūtas laikā. Uz DB jautājumu, vai, kad un kā tiks sodīti pārvadātāji, ja Datu regulā uzliktos pienākumus neievēros, VDI vien norādīja, ka par uzraudzības iestādes rīkojuma neievērošanu piemēro administratīvus naudas sodus apmērā līdz 20 miljoniem eiro.

Domā ar galvu

Komentējot skolu un bērnudārzu reakciju uz VDAR ieviešanu - aizliegumi filmēt vai fotografēt, bērnu vārdu aizstāšana ar zīmējumiem - Ē. Štegmanis norāda, ka VDAR sabiedrībā ir kļuvis par tādu kā bubuli, par ko publiski izsakās visi, kam nav slinkums, tostarp tie, kas nav kompetenti. Kopējais regulējums ES līmenī gan nevis kaut ko uzspiež, bet uzliek zināmu atbildību, tai pašā laikā fiziskas personas aizsargājot. Vaicāts, kas ir atbildīgs, kam ir kompetence un pienākums iedzīvotājiem sniegt skaidrojumu, lai nerastos šādas absurdas situācijas, viņš atzīmē, ka mūsu sabiedrība parasti prasa atrast atbildīgo, vēlams - vainīgo. Gribam dzīvot kā Eiropā ar tās gadu simtu garo vēsturi tiesiskās paļāvības, tiesisko un ētikas normu attīstības ziņā, bet ne visās jomās Latvijā darbi atbilst vārdiem. Katrai dalībvalstij ir iespēja izdot savus likumus un citus normatīvos aktus, taču tiem visiem ir jāiedzīvina Regulas pamatelementi. Latvijā atbildīgā institūcija ir DVI. Tai pašā laikā jārēķinās, ka regulas ieviešanas process būs garš mēģinājumu un kļūdu ceļš, kurā tikai pēc tiesvedībām varētu tikt ieviesta kopēja prakse.

VDAR gan nav negaidīts jaunievedums, piemēram, Vācijā šis jautājums ticis regulēts jau kopš 1970. gadiem, Latvijā tam pievērsās 1990. gados, tad nāca Fizisko personu aizsardzības likums, bet attiecīgā regula tika pieņemta 2016. gadā. Tās pamats ir aizsargāt daļu no mūsu pamattiesībām un pamatbrīvībām, piemēram, personas datu brīvību un neaizskaramību, kur privātums ir viens no aspektiem, atzīmē Ē. Štegmanis.

Kā pasakā

Īpaši trekna izsaukuma zīme Regulā ir pielikta jaunajām tehnoloģijām. Tās 35. pants paredz: «Ja apstrādes veids, jo īpaši, izmantojot jaunās tehnoloģijas un ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūkus, varētu radīt augstu risku fizisku personu tiesībām un brīvībām, pārzinis pirms apstrādes veic novērtējumu par to, kā plānotās apstrādes darbības ietekmēs personas datu aizsardzību.» Problēma gan ir tā, ka nav līdz galam saprotams, vai man šāds novērtējums jāveic, uzsver Ē. Štegmanis. Tas situāciju var padarīt absurdu, kad vispirms jāizvērtē, vai nepieciešams izvērtējums. Regulas mērķis gan nav radīt papildu slogu, bet sabalansēt dažādu pušu tiesības. Viņš nepiekrīt kolēģu publiskā telpā paustajam viedoklim par nepieciešamību veikt novērtējuma par ietekmi uz datu aizsardzību visos GPS izmantošanas gadījumos, arī ja šī pasākuma realizēšanu veic mikro, mazie un vidējie komersanti. Drīzāk būtu lietderīgi saprast, ar ko atšķiras GPS iekārtas darbības nodrošināšana 30 darbinieku autotransportā un potenciālās ietekmes uz datu subjektiem no tādas pat darbības 251 darbinieka transportā: «Kā secināms no Regulas, likumdevējs ir izvēlējies šo jautājumu regulēt pēc analoģijas, kā citos gadījumos tiek tulkots jēdziens plašs apmērs, mērogs. Normā iekļautais darbinieku skaits virs 250 Regulas izpratnē tiek interpretēts kā plašs apmērs, tātad plašāks apdraudēto datu subjektu loks datu pārkāpuma gadījumā.»

Ne Regula, ne nacionālā likumdošana gan nepateiks, kā tāda vai citāda konkrēta darbība aizskars tās vai citas tiesības. Regula uzlikusi maz tiešo norādījumu, ko darīt. Viens no pienākumiem ir pārskata atbildība – komersanta vai pārziņa pienākums jau iepriekš nodrošināties ar pierādījumiem, kā viņš nodrošina Regulas prasības. Uz norādi, ka tas izklausās pēc pasakas Aizej tur - nezin kur, atnes to ‒ nezin ko, viņš tam piekrīt ar atrunu, ka Regula piemērojama visām ES valstīm, bet mēs uz to skatāmies tikai Latvijas kontekstā. Proti, sabiedrības kopējais izpratnes un sagatavotības līmenis ir pamatā tam, kādēļ to neredzam kā iespēju demokrātiskā sabiedrībā veikt pašsaprotamas darbības, bet esam neizpratnē, ko no mums prasa.

Tev nebūs pārkāpt!

Runājot par GPS iekārtu izmantošanu, pastāv iespēja, ka to dati tiek izmantoti, nepamatoti iejaucoties personu privātumā un pārkāpjot viņu pamattiesības. Piemēram, uzņēmuma īpašnieks var redzēt, kur kartē atrodas viņa auto un krava, ar kādu ātrumu tā pārvietojas, tai pašā laikā iegūstot datus par to, kur šoferis atrodas konkrētajā brīdī, tostarp brīvajā atpūtas laikā. «Var gadīties, ka sekošanas iekārtas datu apstrādes rezultātā tiek konstatēts, ka kādā valstī šoferis apmeklē darba devēja neatbalstītas reliģiskas kopienas lūgšanu namu, jo GPS koordinātas norāda, ka viņš regulāri apstājas kādā konkrētā vietā, kur, pēc Google datiem, atrodas šis nams. Papildus meklētājā iespējams atrast interneta vietni konkrētajai reliģiskajai iestādei, kur fotogalerijā tiek identificēts šoferis. Darba devējs kategoriski atsakās šādu darbinieku paturēt, jo ir fanātisks citas reliģijas pārstāvis,» hipotētisku problēmu apraksta Ē. Štegmanis.

Cits piemērs saistīts ar sensitīvu datu apstrādi, kad no pieejamiem datiem darba devējs secina, ka šoferis apmeklē specifisku ārstniecības iestādi. Rezultātā darba devējam rodas šaubas, vai šis darbinieks ir piemērots, turklāt ir saņemts pieteikums no jauna kandidāta. Vēl kāds ekstrēms piemērs. Šoferis zina, ka automašīna ir aprīkota ar GPS, video un audio, kam pats devis piekrišanu. Taču papildus nepieciešamajiem mērķiem, kam dati tiek apstrādāti, šoferim nezinot, tiešsaistē tiek straumēts realitātes šovs, līdzīgi kā melno stārķu ligzda. Šādā gadījumā ar atrunu, ka šoferis ir devis savu piekrišanu, nepietiks. «Šis ir agresīvs piemērs, bet labi parāda, kā atšķirt leģitīmu datu apstrādes pamatu no neatbilstoša,» uzsver Ē. Štegmanis.

Negatīvās sekas

Viņš gan arī atzīmē, ka ir vēl vairākas problēmas, kas varētu rasties transporta sfērā saistībā ar VDAR. Piemēram, pārvadājumu cenu neizbēgams kāpums; potenciāls administratīvais slogs darba attiecību kontekstā; sodi un sankcijas nenozīmīgu, formālu un nejēdzīgu pārkāpumu gadījumā, kam faktiski ir ļoti maza vērtība konkrētā nozarē; nekvalitatīvu pasākumu un procedūru realizēšana formālas pieejas gadījumā, kas ir pilnīgi pretēji regulas būtībai; bezjēdzīgu tiesvedību vilnis; saasinās un apdraudēs nodarbinātību, kur jau tā ir liels kadru trūkums un rotācija; tiks apdraudēti mikro, mazie un vidējie uzņēmumi, kuri var neizturēt administratīvo un juridisko slogu. Tāpat arī Regula kalpos kā papildu lobijs bezpilota transporta attīstībai.

Uz jautājumu, ko tad transporta kompānijas vadītājam darīt ‒ sēdēt un gaidīt, kamēr pieķer par viņam nesaprotamu pārkāpumu, vai nolīgt juristu, lai tiek ar problēmu galā, viņš norāda, ka uzraudzības iestādei - DVI - ir jāizstrādā un jāpublisko saraksts ar tiem apstrādes darbību veidiem, attiecībā uz kuriem ir jāveic novērtējums par ietekmi uz datu aizsardzību.

Regula uzliek ierobežotu daudzumu obligātu prasību, bet viena ir būtiska – pārskatatbildība vai pierādīšanas pienākums. Kādā veidā datu pārzinis (uzņēmums) to pierādīs, ir individuāls lēmums. Taču regulā uzskaitītie pasākumi būtu drošākais un pilnīgākais risinājums. Tai pašā laikā jāatceras, ka šī joma vēl ir ceļa sākuma stadijā un daudz kas mainīsies, līdz regulējums būs vajadzīgajā kvalitātē.

Savukārt uzņēmumiem vajadzētu apsvērt, vai ir nepieciešams datu aizsardzības speciālists, apstrādes reģistrs un novērtējums, jo Regula nepasaka visu priekšā. Diemžēl aizvien ir uzņēmumi, kas kaut ko darīs tikai tad, kad sekos represijas, vai arī tādi, kas izdarīs minimumu, lai varētu parādīt, ka kaut kas ir paveikts. Ar šādu pieeju gan «radām sev problēmas, nevis izmantojam iespējas», jo tiek uztaisīti papīri, kas praksē nestrādā. Turpretī, ja tiek izveidota sistēma, kas, protams, prasa laika un naudas līdzekļus, tad būs atdeve līdzīgi kā, piemēram, grāmatvedības, ugunsdrošības vai darba drošības sakārtošanas gadījumā.

Ē. Štegmanis arī mudina nozares organizācijas uz koordinētu rīcību, piemēram, kopīgi izprast nozares specifiskos jautājumus un savlaicīgi pārstāvēt savas intereses DAI, kā arī aktīvi iesaistīties nozarei svarīgu normatīvu sagatavošanas procesos. Tāpat tām apsverams kopējs personu datu apstrādes kodekss, tādā veidā mazinot katras kompānijas slogu. Varētu arī izstrādāt kopīgus novērtējumus par ietekmi uz datu aizsardzību sfērās, kas varētu saturēt augstus riskus datu subjektu pamattiesībām un pamatbrīvībām.

Cāļus skaita rudenī

Pārvadātājiem rekomendēts iedziļināties VDAR jautājumā un veikt datu analīzi, norāda starptautisko pārvadātāju asociācijas Latvijas auto prezidents Valdis Trēziņš. Pēc viņa teiktā, ir transporta kompānijas, kas to paveikušas un šo pakalpojumu jau piedāvā citiem. Viņš lēš, ka pārvadātāju izdevumi saistībā ar jaunajām prasībām pieaugs. Pirms septembrī sniegt konkrētus priekšlikumus biedriem, kā rīkoties, asociācija vispirms grib tikt skaidrībā par to, ko īsti Regula prasa. Savukārt asociācijas izpilddirektors Aivars Buls atzīmē, ka 60% biedru ir līdz 10 mašīnām, mazs darbinieku skaits, turklāt šo firmu īpašnieki strādā paši. Lai sniegtu šādiem uzņēmumiem rekomendācijas, LA izskata konsultantu, kas ar šādiem jautājumiem nodarbojas, piedāvājumus. Viņaprāt, ir sakulta vētra ūdens glāzē, jo arī agrāk drīkstēja apstrādāt datus, bet ne tirgoties ar tiem. A. Buls arī cer, ka DVI vispirms konsultēs, nevis sodīs un līdz gada beigām transporta kompānijas būs gatavas Regulas prasību izpildei.

Visiem nevajag

Ē. Štegmanis iesaka DVI regulas 35. pantā paredzētajā sarakstā iekļaut vienīgi  atsevišķu kategoriju datus, kuru apstrādei vajadzīgs novērtējums, nevis visus gadījumus. Šis pats pants paredz arī otra saraksta izveidošanu, kur uzskaita gadījumus, kad novērtējums nav nepieciešams. «Novērtējums ir vajadzīgs un noderīgs instruments, kā atklāt reālus, nevis iedomātus un bezvērtīgus riskus. Tehnoloģiju būtība ir tāda, ka mēs daudzus riskus pat neapzināmies vai pietiekami nenovērtējam. Taču novērtējumam ir nozīme vienīgi tad, ja tas ir integrējams konkrētā gadījumā, nevis formāli iztaisīts papīrs, kurš sagatavots uz ātro un pa lēto.» Viņš brīdina, ka pašreizējā jautājuma virzība var novest pie otra scenārija, kad inspektoriem būs plašs un ilglaicīgs lauks, kur realizēt valsts pārvaldes pienākumus par nodokļu maksātāju naudu.

Šobrīd gan sāk iezīmēties pozīcija, kad DVI nolēmusi iet ceļu, kur GPS ierīču lietošanas gadījumā novērtējums ir neizbēgams. Šādu viedokli DVI paudis vairākās konferencēs, atzīmē Ē. Štegmanis. Viņaprāt, šis risinājums nevis sasniegs vēlamo rezultātu, bet novedīs pie pretējā efekta. «Iedziļinoties Regulas būtībā, var secināt, ka likumdevējs ir piedāvājis divus risinājumus, kas arī šeit būtu jāpiemēro. Tātad mikro, mazajiem un vidējiem uzņēmumiem ir jārada vieglāka uzņēmējdarbības vide, uzliekot mazāku slogu. Lietderīgi būtu meklēt risinājumus, un šis ir viens no veidiem un piemēriem, kā tas faktiski darāms ‒ izvērtēt, kad novērtējums patiešām ir nepieciešams potenciālā apdraudējuma dēļ, nevis vieglāko ceļu ejot, uzlikt par pienākumu to veikt ķeksīša pēc un visiem.» Tas neizbēgami novedīs pie sekām, kad apkārt cirkulēs vienveidīgi kopēti papīri, nevis reāli izvērtējumi.