Gadu pēc Vispārīgās datu aizsardzības regulas stāšanās spēkā daļa uzņēmumu joprojām pilnībā neizprot tās prasības

Datu drošība

Tūkstošiem uzņēmēju prātus 2018. gada pavasarī nodarbinājušās Eiropas Vispārīgās datu aizsardzības regulas (VDAR) prasības vairumā uzņēmumu ir iedzīvinātas, taču tas nenozīmē, ka to joprojām visi līdz galam izprot. Uzņēmēju aptaujas un tiesībsargājošo institūciju pirmā gada statistika liecina, ka nozīmīgai daļai komersantu joprojām nav īsti skaidrs, kā tieši VDAR ietekmē viņu ikdienas darbu.

Regulas prasību ieviešana sagādājusi grūtības ne vien Latvijas, bet visas Eiropas Savienības (ES) uzņēmējiem. Saskaņā ar Latvijas Informācijas un komunikācijas tehnoloģijas asociācijas (LIKTA) datiem, uzraudzības iestādes ES nepilna gada laikā saņēmušas gandrīz 144,4 tūkst. sūdzību, kurās dominēja iedzīvotāju neapmierinātība ar telemārketinga kompāniju zvaniem, uzņēmumu nosūtītiem piedāvājumiem e-pastā cilvēkiem, kuri nebija vēlējušies saņemt reklāmu, kā arī neatbilstošas videonovērošanas veikšanu. Lielākie grēkotāji bijuši Nīderlandes, Vācijas un Lielbritānijas uzņēmumi. Pavisam pirmajos deviņos VDAR pastāvēšanas mēnešos piemērots naudas sods par 91 regulas pārkāpumu.

Lai arī Latvija pārkāpumu sarakstā atrodas salīdzinoši zemu, situācija ne tuvu nav ideāla. Gada sākumā tirgus un sabiedriskās domas pētījumu centra SKDS aptauja rādīja, ka 25,6% organizāciju vadītāji uzskata – VDAR uz tiem neattiecas, kamēr 8,8% aptaujāto neizprata regulas prasības. Savukārt Datu valsts inspekcijas (DVI) statistika pirmajā regulas pastāvēšanas gadā rāda, ka iestāde saņēmusi 1660 sūdzības, veikusi 333 pārbaudes un 31 gadījumā piemērojusi sodu – 16 komersantiem uzlikts naudas sods apmērā līdz 2000 eiro un 15 izteikts brīdinājums. Nopietnākie pārkāpumi bija neatbilstoša videonovērošana un informācijas nesniegšana personām par tās datu izmantošanu.

Lielāka teikšana klientiem

Eiropas Savienības regulas 2016/679 mērķis ir aizsargāt dalībvalstu iedzīvotāju personas datus, kas, lielākai personīgās un profesionālās dzīves daļai aizritot digitālajā telpā, kļūst aizvien vērtīgāki. Būtībā regula paredz iespēju privātpersonām iegūt lielāku kontroli pār personas datiem un uzliek uzņēmumiem stingrākus pienākumus tos sargāt. Regulai jāizslēdz iespēja, ka viens komersants nodod citam savu klientu datus, un jāsamazina risks, ka tie tiek nozagti kiberuzbrukumā. Par šādiem pārkāpumiem uzņēmumam var piemērot naudas sodu līdz 20 miljonu eiro apmērā vai līdz 4% no gada apgrozījuma.

«Regulas pastāvēšanas pirmajā gadā jau sodīti vairāki uzņēmumi. Visskaļākais gadījums neapšaubāmi bija Francijā, kur Google saņēma 50 miljonu eiro sodu par to, ka nepietiekami informēja lietotājus, kā tiks izmantoti viņu dati. Pirmie sodi tiek piemēroti arī par nepietiekamu drošību datu glabāšanā un apstrādē. Piemēram, Lietuvā kādai kompānijai tika uzlikts 60 tūkstošu eiro sods par personas datu izpaušanu un nepaziņošanu par notikušo. Polijas uzņēmumam bija jāsamaksā vairāk nekā 200 tūkstoši eiro, jo tas neievēroja pienākumu informēt par datu apstrādi un to izmantošanu kopā ar visiem pieejamu informāciju,» ar VDAR neilgās vēstures līkločiem DB iepazīstina uzņēmuma Tet datu aizsardzības projektu vadītājs Dainis Lukaševičs.

Jāizvērtē dati

Regula nosaka, ka patērētājiem ir tiesības saņemt skaidru un saprotamu informāciju par to, kā tiks apstrādāti viņu dati, un lietotājiem arī dota iespēja pieprasīt uzņēmumam izdzēst visus viņa personas datus vai uz laiku izņemt tos no apstrādājamās informācijas kopuma. Tā uzliek uzņēmumam par pienākumu ziņot par kiberuzbrukumu gadījumiem un gādāt, lai personu dati nenonāktu nepiederošo rīcībā.

«Ikvienam uzņēmumam vispirms jāizvērtē, kādiem mērķiem tas apkopo ES iedzīvotāju personas datus. Nepieciešams sistematizēt informāciju un saprast, kas atrodas uzņēmuma rīcībā. Bieži vien uzņēmumi ieraduma dēļ uzkrāj datus un tos nekādi neizmanto. Tiem šī informācija faktiski nav vajadzīga. Izvērtējot datu pielietojumu, var atbrīvoties no liela daudzuma nevajadzīgas, taču stingri sargājamas informācijas,» D. Lukaševičs aicina vispirms veikt uzņēmuma darbības auditu.

«Pietiks ar nelielu revīziju, lai uzzinātu, kādi dati ir jūsu rīcībā, kādam nolūkam tie tiek vākti un cik ilgi tos glabāt. Atbildot uz šiem jautājumiem, sapratīsiet, vai uzņēmums šobrīd spēj izpildīt VDAR prasības, un varēsiet arī paskaidrot klientiem, kādēļ nepieciešami viņu dati. Vai tieši pretēji – noskaidrosiet, ka klientu informācija nemaz nav nepieciešama un to var mierīgu sirdi izdzēst,» iesaka speciālists.

Attiecas uz visiem

Tikpat svarīgi izvērtēt, kam uzticēt personas datu glabāšanu. Prasības ir gana drastiskas, tādēļ to iedzīvināšanai nepieciešama kvalitatīva infrastruktūra. Ja uzņēmuma rīcībā tādas nav, jāizvēlas profesionāls ārpakalpojumu sniedzējs. Turklāt klienti jāinformē, ka viņu dati tiks nodoti trešās puses pakalpojumu sniedzējam.

VDAR prasības būtībā attiecas uz visiem uzņēmumiem, kuri apstrādā ES iedzīvotāju datus, neatkarīgi no to izmēra un ģeogrāfiskās atrašanās vietas. Protams, regula visvairāk skar nozares, kurās dati tiek ievākti lielā apjomā. To vidū ir interneta veikali, kuri pārdod un piegādā preces, kā arī veic to apkopšanu, pasažieru un sūtījumu pārvadātāji, kuriem darījuma noformēšanai nepieciešami personas dati, kā arī lojalitātes kartes uzturoši mazumtirdzniecības uzņēmumi. Faktiski ikviens uzņēmums, kas veic personalizētu darījumu un zina, kurš ir tā klients, var nešaubīties, ka uz to attiecas VDAR. Par regulas prasībām var nesatraukties saldējuma tirgotājs ielas malā, kurš pārdod našķi par skaidru naudu.

«ES uzraugošās institūcijas šobrīd ļoti stingri vēršas pret kompānijām, kas apstrādā datus, lai izmantotu ar sākotnējo ievākšanu nesaistītiem mērķiem. Piemēram, uzņēmums ir uzkrājis prāvu klientu datubāzi un sāk to izmantot tiešā pasta mārketingam, nesaņēmis katras privātpersonas piekrišanu, ka tā vēlas saņemt piedāvājumus. Arī datu bāzes nodošana citam uzņēmumam bez lietotāju piekrišanas ir bargi sodāma rīcība,» piebilst D. Lukaševičs, vēršot uzmanību, ka lielai daļai uzņēmumu vēl ir daudz darāmā, lai pilnībā atbilstu VDAR prasībām.