Eksperts: Datu regulas lielākais risks ir darbinieks

(1)
Ivo Krievs ir Eiropas personas datu aizsardzības speciālists (CIPP/E), Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas dibinātājs un valdes loceklis, biznesa augstskolas “Turība” lektors Ivo Krievs ir Eiropas personas datu aizsardzības speciālists (CIPP/E), Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas dibinātājs un valdes loceklis, biznesa augstskolas “Turība” lektors Foto: publicitātes

Jau pavisam drīz, 2018. gada 25. maijā, visiem komersantiem, organizācijām, valsts un pašvaldību iestādēm būs jāievēro un jāpiemēro Vispārīgā datu aizsardzības regula. Plašsaziņas līdzekļos daudz tiek diskutēts par to, vai mēs esam gatavi regulas ieviešanai.

Taču būtiski ir savlaicīgi noskaidrot, kuri regulas punkti varētu būt lielākie klupšanas akmeņi mazajiem un vidējiem uzņēmējiem (MVU), kam jāpievērš lielākā uzmanība un ar ko vajadzētu sākt, lai ieviestu kārtību savā datu plauktiņā.

4 % no apgrozījuma – sods, lai iebiedētu
Daudzi ir satraukti, jo regula par pārkāpumiem paredz sodu, kas var sasniegt 20 miljoni EUR vai 4% no uzņēmuma apgrozījuma. Tas ir maksimālais sods, galvenokārt, paredzēts, lai regulu tiešām ņemtu vērā. Lai gan soda apmērs ir iespaidīgs mārketinga rīks dažādu konsultantu arsenālā, tomēr nevajadzētu ļauties panikai un cerēt, ka kāds no ārpuses atnāks un radīs perfektu kārtību.

Labākais instruments datu apstrādes atbilstības nodrošināšanai regulas prasībām ir pašiem pēc būtības iedziļināties savos procesos un tos sakārtot, galvenokārt tāpēc, ka neviens no ārpuses nezina attiecīgā uzņēmuma vajadzības un nepieciešamības tik labi kā paši uzņēmuma darbinieki un vadība.

Uz ko var "iekrist" MVU
Raugoties uz regulas saturu, pieļauju, ka klupšanas akmeņi varētu būt, piemēram, spēja pareizi definēt tiesisko pamatu datu apstrādi, datu minimizācijas jeb proporcionalitātes izvērtējums, leģitīmās intereses definēšana u.c. Es pieļauju, ka problēma varētu būt arī atrast visus datus, kas uzņēmumā tiek apstrādāti, piemēram, izpratnes problēmu dēļ par to, kas ir dati, tāpēc aicinu atcerēties, ka dati nav tikai personas kods, adrese, telefona numurs u.c. Ja darbinieks izmanto uzņēmuma auto, un tajā ir GPS sistēma, tad dati, ko sistēma fiksē, jau ir darbinieka personas dati, jo atspoguļo, kur šī persona ikdienā pārvietojas. Dati ir arī interneta vēsture darbinieka datorā, ja ir skaidri zināms, kurš darbinieks strādā ar attiecīgo datoru u.tml.

Īpašu uzmanību iesaku pievērst uzņēmuma komunikācijai ar datu subjektu, proti, kā viņš tiks informēts par savu datu apstrādi un citiem aspektiem, ko nosaka regula. Kā jau tika minēts, vislabāk to atrunāt jau līgumā vai privātuma noteikumos, proti, informēt datu subjektu par jautājumiem, kas saistīti ar viņu datu apstrādi – kurš datus apstrādās, kādi ir tiesiskie pamati, kādi mērķi, cik ilgi glabās, vai dati varētu tikt sūtīti ārpus ES u.tml.

"Datu inventarizāciju" labāk veikt pašiem
Regula attiecas tikai uz fiziskās personas datiem, un tajā pašā laikā – ne tikai. Tāpēc pirmais, kas katram uzņēmumam būtu jādara, – jāveic datu audits jeb uzņēmumā esošo datu inventarizācija. Turklāt iesaku to veikt pašiem, nevis pieaicināt speciālistu. Kāpēc labāk pašiem?

Pirmkārt, jau iepriekš minētie iemesli attiecībā uz savu procesu un vajadzību pārzināšanu, kā arī tas, ka uzņēmuma darbiniekiem ir jāizprot savas datu plūsmas – tas palīdzēs drošāk darboties ar datiem nākotnē, jo būs izpratne par to, kas un kāpēc tiek apstrādāts. Ja tiks piesaistīts eksperts no ārpuses, var gadīties, ka pašiem darbiniekiem un vadībai nebūs vēlēšanās iedziļināties procesos, bet, kad konsultants aizies, pastāv risks, ka uzņēmums var neapzināti izdarīt datu aizsardzības pārkāpumu, jo pietrūks izpratnes.

Otrkārt, tas ir arī interesants process – pašiem izprast, kāpēc un kādi dati uzņēmuma rīcībā atrodas.

Tiesības tikt aizmirstam ir pārprastas
Viens no lielākajiem mītiem, kas pavada šo regulu, ir tāds, ka visi datu subjekti tagad varēs pieprasīt pārziņiem bez ierunām izdzēst to datus. Šīs tiesības ir pārprastas. Pieprasīt izdzēst datus varēs tikai tad, ja datu uzglabāšanai nav tiesisks pamats vai datu apstrāde ir pārmērīga. Tātad, ja datu subjekts pieprasa dzēst viņa datus, uzņēmējam ir jāspēj paskaidrot, kāpēc viņš glabā šos datus. Pamatojums var būt dažāds: līgumsaistību izpilde, likuma prasību izpilde, dažādas pārziņa leģitīmas intereses u.tml. Piemēram, likums par grāmatvedību uzņēmumam liek noteiktu laiku glabāt dažādus attaisnojuma dokumentus u.tml.

Pamatoti būtu uzglabāt datus arī pēc tiesisko attiecību izbeigšanas, lai strīdus gadījumā uzņēmumam būtu iespēja pierādīt, ka tas ir, piemēram, izpildījis līguma saistības. Šajā gadījumā vajadzētu padomāt par noilguma termiņiem.

Regulā ir noteikts, ka pārzinim ne vēlāk kā viena mēneša laikā ir jāsniedz atbilde datu subjektam, tāpēc, lai pieprasījumu saņemšanas gadījumā nebūtu panikā jādomā tiesiskie pamati un cita pamatojošā informācija, jau laicīgi piefiksējiet uzņēmumā apstrādātos datus un izvērtējiet atbilstošāko tiesisko pamatojumu to apstrādei, proti, kāpēc tie tiek uzglabāti. Ja nespējat atrast pamatojumu datu apstrādei, labāk no tiem atbrīvoties, tādējādi nepakļaujot sevi nelikumīgas datu apstrādes riskam un sodam. Šādi datu subjektu pieprasījumi noteikti būs, un ar to ir jārēķinās.

Regula liek būt atbildīgākiem
Datu regula ir salīdzinoši elastīga, kas, manuprāt, ir ļoti labi. Tas uzņēmējiem liek būt atbildīgākiem. Regula liek domāt pašiem līdzi, nevis akli izpildīt normatīvo aktu prasības. Regulā iekļautie principi ir ļoti cieši saistīti ar ikdienas biznesu un tā vajadzībām, piemēram, lai īstenotu dzīvē datu minimizācijas jeb proporcionalitātes principu, uzņēmumā ir jāsaprot, kāds ir minimālais apstrādājamo datu apjoms biznesa mērķu sasniegšanai un to, ka regula neatbalsta principu "vispirms savācam visu, ko varam savākt, bet pēc tam domāsim, ko ar datiem darīsim".

Slēdzot līgumus ar klientu, ievāciet tikai tos datus, kuri patiešām ir nepieciešami līguma izpildei vai pakalpojumu sniegšanai. Tāpat svarīgi ir savlaicīgi informēt klientus, sadarbības partnerus un darbiniekus par to, kādam nolūkam pieprasāt viņu datus, ko ar tiem darīsiet, cik ilgi uzglabāsiet un kāpēc.

"Kašķīgs klients"
Uzņēmējiem, kas strādā ar klientiem un veido datu bāzes u.tml., iesaku uzglabāt tikai pašu nepieciešamāko informāciju. Nereti klientu datu bāzēs tiek ievietoti arī papildus komentāri, piemēram, "pa dienu neatbild, zvanīt tikai vakaros", "ļoti prasīgs un kašķīgs" u.c., kas arī ir uzskatāmi par personas datiem. Ieteiktu pārvērtēt, vai šāda veida subjektīvo informāciju uzņēmumam tiešām ir nepieciešams apstrādāt, jo gadījumā, ja klients pieprasīs informāciju par to, kādus datus par viņu uzglabā, tas viss būs jādara klientam zināms.

Pieļauju, ka informācijas sniegšana par to, ka klients ir novērtēts kā kašķīgs, uzņēmumam varētu radīt reputācijas riskus.

Par pārkāpumu labāk ziņot pašiem
Būtiskākais datu apstrādes pārkāpums noteikti ir datu noplūde. Lielāko risku rada cilvēciskais faktors – darbinieks. Turklāt bieži darbinieki izdara pārkāpumus datu aizsardzības jomā, neapzinoties, ka tas ir nepareizi. Tāpēc ļoti svarīgi ir darbiniekus apmācīt par to, kas ir dati un ko ar tiem drīkst vai nedrīkst darīt.

Tāpat vajadzētu izvērtēt, kuri darbinieki piekļūst datiem, pēc iespējas samazinot darbinieku skaitu, kuriem ir piešķirta piekļuve datiem. Sadaliet darbiniekiem lomas, lai nebūtu tā, ka klientu konsultants redz arī informāciju par savu kolēģu darba algām, ko vajadzētu redzēt tikai personāla struktūrvienībai un grāmatvežiem.

Par incidentiem runājot, svarīgi būtu pieminēt, ka regula pieprasīs par incidentiem (datu noplūde, datu nejauša nosūtīšana nepareiziem adresātiem u.c.) informēt Datu valsts inspekciju un atsevišķos gadījumos arī pašu datu subjektu, līdz ar to ir jāizstrādā iekšēja kārtība, kā incidenti tiks fiksēti un kā notiks ziņošana, lai nenokavētu ziņošanas termiņu – 72 stundas no incidenta konstatēšanas brīža.

Nevajadzētu pieļaut praksi neziņot par pārkāpumiem Datu valsts inspekcijai, jo ir jārēķinās, ka gadījumos, kad Datu valsts inspekcija par to uzzinās, pie soda apmēra noteikti tiks ņemts vērā arī neziņošanas fakts.

Manuprāt, nevajadzētu uzskatīt Datu valsts inspekciju par represīvu iestādi, kuras pašmērķis būtu sodīt uzņēmumus. Līdzšinējā Datu valsts inspekcijas prakse ir pierādījusi, ka tā cenšas iedziļināties situācijā un izprast uzņēmuma lomu pārkāpumā.

Novērtēt šo ziņu
(0 balsojumi)

Meklēšana

Twitter @Aprinkislv

aprinkislv
Brīvdienās Pierīgā būs interesanti gan laukā, gan telpās aprinkis.lv/component/k2/i… pic.twitter.com/LwCGiwYStx
aprinkislv
@Maris_Zanders Komentāri par Latvijas finanšu sektorā notiekošo mazliet atgādina situāciju, kad saviesīgā pasākumā… twitter.com/i/web/status/9…
aprinkislv
Aptauja Ropažos @Ropazi_Latvia : Vai esat pamanījuši izmaiņas elektrības rēķinos? aprinkis.lv/component/k2/i… pic.twitter.com/y7LgdbZoql

Twitter Citi raksta

JurmalaLV
Ziemas saulriets virs Lielupes ❄️ pic.twitter.com/eFRSc8x0R4
Sigulda_Thrills
No šodienas Siguldas novada Tūrisma informācijas centrā Ausekļa ielā 6 (stacijas ēkā) būs iespēja iegādāties… twitter.com/i/web/status/9…
NBD_LV
A pie mums !!! NBD Oranžērijā briedusi, briedusi un briedusi un beidzot sākusi ziedēt zarainā agave Agave... fb.me/PIAqmZoQ

Saistītie raksti


Novadi un pilsētas
Visas tiesības aizsargātas © apriņķis.lv 2018