Akmens laikmeta beigas datu aizsardzībā 0
“Fizisko datu aizsardzības likumu pieņēma tālajā 2000. gadā, Datu valsts inspekciju (DVI) izveidoja 2001. gadā. Uzskatīsim, ka arī tad tiesību norma pilnā mērā stājās spēkā. Likums ir morāli novecojis, daudz ko neregulē. Vai domājat, ka visi pārziņi ievēro arī šo atpalikušo likumu? Ķeksīša pēc, izpildot Fizisko personu datu likumu, pārziņi, un līdz ar to arī uzņēmumi, institūcijas, organizācijas u. c., nevar būt gatavi un nekad nebūs gatavi jaunajai Vispārīgo datu aizsardzības regulai (VDAR),” norāda Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas valdes līdzpriekšsēdētājs Arnis Puksts. VDAR visā Eiropā stāsies spēkā no 2018. gada 25. maija. Pārziņiem atlicis mazāk nekā gads, lai sevis pārstāvēto darba devēju padarītu regulas noteikumiem atbilstošu. Ja ne – soda nauda! Līdz 20 miljoniem eiro vai 4% no apgrozījuma. Regula būs jāievēro ikvienam, kas nodarbina kaut vienu cilvēku, tādējādi glabājot sensitīvu informāciju par darbinieku.
Pārziņi nepilda savu darbu
“Ja šobrīd par 100% izpilda visus Fizisko datu aizsardzības likuma noteikumus, tad uzņēmums jaunajai regulai automātiski ir gatavs par apmēram 80%. Atlikušais ir nianses, kuras šobrīd nav īsti saprotamas pat labākajiem speciālistiem, līdz ar to nākas pēc labākās sirdsapziņas dažus punktus interpretēt. Līdz nebūs kāds tiesas spriedums, kas pateiktu, kā precīzi jārīkojas, tikmēr riska faktori būs,” sacīja datu aizsardzības speciālists A. Puksts. Lielākā problēma ir tieši pārziņu neprofesionalitāte un pat elementārāko noteikumu nepildīšana, viņš uzskata.
Ko dara DVI? “Latvijā veiktā datu apstrāde jāuzrauga DVI, taču ne viņu vaina, ka viņiem ir niecīgs darbinieku skaits un viens no zemākajiem budžetiem Eiropā, salīdzinot ar citu valstu attiecīgajām iestādēm. Līdz ar to trūkst darbinieku un kompetences, jo iestāde nevar noalgot labākos profesionāļus. Turklāt pati valsts nepilda noteikumus, jo tajos teikts, ka šādai iestādei jābūt pilnīgi neatkarīgai, bet mēs zinām, ka DVI ir pakļauta Tieslietu ministrijai. Taču valsts neizdarības nekādā veidā neattaisno nevienu pārzini, kurš nav ievērojis likumu, tāpēc, ka uzraudzība ir vājāka,” sacīja A. Puksts.
Savukārt Datu valsts inspekcijā man sacīja, ka draudošās problēmas ir nedaudz pārspīlētas, jo visi baidoties no lielajām soda naudām. Tomēr problēmas esot, jo, pēc DVI aplēsēm, katrs trešais pārzinis pārkāpj noteikumus. “Lielie uzņēmumi, kuri jau šobrīd pienācīgi rīkojušies ar personu datiem, ar problēmām nesaskarsies. Lielākās problēmas būs mazajiem uzņēmumiem, kam nav tik daudz līdzekļu,” norādīja inspekcijā. Lielākās problēmas varētu rasties sociālajiem tīkliem, piemēram, “draugiem.lv”, jo bērns drīkstēs reģistrēties sociālajā tīklā, tikai sasniedzot 13 vai 14 gadu vecumu. Agrāk – ar vecāku piekrišanu. Kā to izdarīt? Katras vietnes izvēle.
“Savukārt valsts un pašvaldību iestādēm būs obligāti jānodrošina datu aizsardzības speciālists ar attiecīgu izglītību. Problēmas var rasties, ja daudzi šim darbam deleģēs savus juristus. Regula nosaka, ka speciālistam jābūt neatkarīgam – uzņēmuma darbinieku var viegli pakļaut uzņēmuma vēlmēm,” norāda DVI.
Letarģiskā miegā
A. Puksts uzsver, ka jāsāk ar vienkāršām lietām – datu apstrādes mērķu formulēšanu, datu subjektu informēšanas pienākumu, iekšējās kārtības noteikumu izstrādi, kādos apstrādā datus, u. c. “Nav nemaz jārunā par kiberuzbrukumiem. Regula paredz, ka pārzinim jāizvēlas adekvāti un droši datu apstrādes līdzekļi. Ja izmantojat “Windows XP” operētājsistēmu, kuru ražotājs jau trīs gadus neatbalsta, un noticis uzbrukums, tad esat par to atbildīgs, jo lietojāt neatbalstītu produktu. Savukārt pārzinis nav atbildīgs par hakeru uzbrukumiem, ja sistēma ir darba kārtībā. Taču, izvērtējot notikumu, ņems vērā, vai pārzinis bija izanalizējis riskus un datus uzglabāja vairākās vietās.
Ir daļa, kura aktīvi cenšas novērst trūkumus. Īpaši tie uzņēmumi, kam ir ārvalstu kapitāls. Bet ir daļa, kas guļ letarģiskā miegā. Tostarp publiskajā sektorā, ko es nespēju saprast,” stāsta A. Puksts. Viņš cer, ka DVI pārkāpējus vispirms brīdinās un tikai tad sodīs, taču viss atkarīgs no Eiropas prakses. Ja Eiropā sāksies sodīšanas bums, tas notiks arī Latvijā. “Svarīgi, ka sodi visur būs vieni. Nav nozīmes, ka Latvija ir nabadzīgāka par Vāciju, jo tad Latvija būs ķēdes vājais posms.”
VIEDOKĻI
“Baltcom” valdes locekle Tīna Lūse: “”Baltcom” jau šobrīd lielā mērā darbojas atbilstoši regulai. Vēl turpinām veikt dažus nepieciešamos procesus un tehnoloģiju auditus, lai līdz nākamā gada maijam uzņēmums pilnībā atbilstu visām prasībām. Jāsaprot, ka internets nav anonīms, katra mūsu darbība tiek fiksēta un saglabāta. Mūsdienu tehnoloģijas ļauj principā nezināmam cilvēku lokam ienākt mūsu mājās un sekot katrai mūsu darbībai, mums pašiem to nezinot. Tādēļ ir vitāli svarīgi, ka uzņēmumi, kuru rīcībā nonāk personas dati, ar tiem rīkojas noteikta regulējuma ietvaros. Daudziem uzņēmumiem gan nelielas bažas rada apstāklis, ka regula satur virkni vispārīgu un interpretējamu jēdzienu, un komersantiem lielā daļā gadījumu nav skaidrs, kā tos piemēros uzraudzības iestādes. Tas arī būs lielākais izaicinājums uzraugošajām iestādēm un ceru, ka tās vispirms izglītos un tikai tad sodīs.”
“Draugiem Group” pārstāvis Jānis Palkavnieks: “Jau šobrīd datu apstrāde notiek saskaņā ar likumu un prasības ir skaidri definētas. Nekādus liekus datus neapstrādājam, tāpēc šajā jomā jaunu izmaiņu nebūs. Būtiskākās izmaiņas ir saistītas ar sodu palielināšanu par pārkāpumiem un paredzēts ieviest vecuma slieksni, līdz kuram portāls nebūs pieejams jauniešiem. Tieslietu ministrija ir prasījusi mūsu viedokli, kas ir pozitīvi, bet vēl notiek likuma izstrāde. Noteikti esam par datu jomas sakārtošanu, bet šobrīd neskaidrības rada tieši daži ieviešanas jautājumi, uz ko atbildes īsti nevaram saņemt, jo likums nav pieņemts un arī atbildīgo institūciju skaidrojumus nevar saņemt.”
“Lattelecom” regulēšanas un uzņēmuma darbības atbalsta nodaļas vadītāja Ieva Smirnova: “Izaicinājums ir sabalansēt personas datu un privātuma aizsardzību ar iespēju attīstīt un izmantot tehnoloģiju izaugsmes iespējas, tās nekavējot un saglabājot spēju konkurēt pasaules līmenī. Regula būs daudz striktāka nekā ASV un Āzijā, un tas nelabvēlīgi ietekmēs Eiropas uzņēmumu konkurētspēju globālu datu analīzē balstītu biznesa modeļu izveidē. Par to pastāv būtiskākās bažas. “Lattelecom” grupā ir izveidota īpaša darba komanda, kas jau kopš regulas pieņemšanas 2016. gada maijā strādā pie tās ieviešanas. Izaicinājumus radīs tas, ka regulas teksts ir samērā plaši interpretējams. Otrkārt, Eiropā plānota e-privātuma regulas pieņemšana, kuras saturs šobrīd vēl nav zināms, bet kuras darbības sfēra daļēji pārklāsies ar personas datu regulu. Treškārt, vēl deviņus mēnešus pirms regulas piemērošanas uzsākšanas termiņa nav pieņemti un pat izsludināti nacionālie tiesību akti jautājumos, kur regula paredz to izdošanu.”
Pārzini, atceries!*
12 soļi veiksmīgai Vispārīgās datu aizsardzības regulas ievērošanai
1. Situācijas novērtējums
Pārliecinies, ka organizācija ir informēta par izmaiņām, kas stāsies spēkā ar 2018. gada 25. maiju.
2. Kāda informācija ir uzņēmuma rīcībā?
Apzini, kādi fizisko personu dati ir organizācijas rīcībā, kā tie tiek iegūti un kam nodoti. Ja nepieciešams, veic personu datu apstrādes sistēmu auditu.
3. Kā organizācija šobrīd sniedz privātuma informāciju datu subjektam?
Līdz 2018. gada 25. maijam nodrošini nepieciešamās izmaiņas informācijas paziņošanai – informāciju par organizāciju, kādā veidā tiks apstrādāti personas dati, datu apstrādes tiesisko pamatu, datu uzglabāšanas termiņu un datu subjekta tiesības.
4. Vai uzņēmums var nodrošināt informācijas sniegšanu datu subjektam atbilstoši VDAR prasībām
Organizācijai jānodrošina datu subjekta tiesību un brīvības ievērošana, apstrādājot personas datus – datu subjekta piekļuve saviem datiem, personīgo datu labošana, personīgo datu dzēšana, komerciālo sūtījumu aizliegšana, automatizētu lēmumu un profilēšanas aizliegšana un personīgo datu pārnešana.
5. Vai organizācija ir gatava nodrošināt VDAR noteikto datu subjektu tiesību ievērošanu?
Sākot ar 2018. gada 28. maiju, būs īsāks informācijas sniegšanas termiņš, jānodrošina papildu informācijas sniegšana par personas datu apstrādi un glabāšanas periodu, kā arī jāveic korekcijas kļūdaini ievadītajos personas datos.
6. Vai organizācija spēs sniegt atbildi uz datu subjekta informācijas pieprasījumu? Kādus personas datus organizācija apstrādā?
Izvērtē personas datu apstrādes mērķus un uzkrātos personas datus. Kāds ir tiesiskais pamats personas datu apstrādei? Balstoties uz tiesisko pamatu personas datu apstrādei, tiks noteiktas datu subjekta tiesības attiecībā uz saviem personiskajiem datiem.
7. Vai visi organizācijas apstrādātie personas dati tiek apstrādāti ar atbilstošu tiesisko pamatu?
Izvērtē, kā tiek pieprasīta, iegūta un dokumentēta datu subjekta piekrišana datu apstrādei. Atceries, ka datu subjekta piekrišanai ir jābūt brīvai, nevis piespiestai. Jānodrošina nepilngadīgo bērnu identifikācijas sistēma, vecāku vai aizbildņu piekrišana personas datu apstrādei. Personas datu apstrādes konfidencialitātes paziņojumiem jābūt bērniem saprotamā valodā.
8. Jānodrošina nepilngadīgo bērnu identifikācijas sistēma un to likumīgo aizbildņu piekrišanu identifikācija
9. Pārliecinies, ka spēsiet konstatēt datu aizsardzības pārkāpumus un iekšēji ir skaidra pārkāpumu paziņošanas kārtība
Atsevišķos gadījumos būs jāziņo par personas datu aizsardzības pārkāpumiem, piemēram, identitātes zādzību.
10. Risku novērtējums par ietekmi uz datu aizsardzību
Iepazīsties ar “Information Commissioner`s Office” izstrādātajām vadlīnijām risku novērtējumam par ietekmi uz datu aizsardzību un piemēro tās sev.
11. Personas datu aizsardzības speciālista piesaiste
Speciālists nodrošinās personas datu aizsardzības prasību ievērošanu un atbilstību regulas prasībām. Speciālists uzņemas atbildību par datu apstrādes uzraudzību atbilstoši regulas prasībām.
12. Ja organizācija ir starptautiska – jāidentificē, kura datu aizsardzības iestāde uzraudzīs
Identificē, kuras datu aizsardzības uzraudzības iestādes pārraudzībā organizācija atrodas.
* Pārzinis atbilstoši Fizisko personu datu aizsardzības likuma 2. panta devītajai daļai ir fiziskā vai juridiskā persona, valsts vai pašvaldības institūcija, kura pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un apstrādes līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu.
Informācija: Datu valsts inspekcija