Datu regula – sen nepieciešamā motivācija apzināt un sakārtot datu saimniecību 0
Autors – Edijs Tanons, SIA “Datakom” risinājumu direktors
2018. gada 25. maiju kā zīmīgu datumu noteikti atceras teju ikviens, jo tajā spēkā stājās Vispārīgā datu aizsardzības regula (VDAR). Šo dienu gaidījām ar bažām par nezināmo un virkni neskaidru jautājumu.
Spriedzi par gaidāmo palielināja runas par sodiem, ja tiks konstatēti regulas pārkāpumi, – līdz pat 4 % no uzņēmuma gada apgrozījuma nudien nav maz.
Šis gatavošanās posms pārvērtās par bažu un neizpratnes pārpildītu laiku, kurā uzņēmēji steidza veikt preventīvus sagatavošanās darbus – gan vajadzīgus, gan arī nevajadzīgus, lai 26. maijs nepienāktu ar nepatīkamiem pārsteigumiem.
Tomēr 26. maija rītā varējām uzelpot un turpināt šķetināt VDAR jautājumus, ko darām arī trīs mēnešus pēc regulas spēkā stāšanās.
Šajā procesā mans ieteikums būtu saskatīt lielo VDAR ieguvumu – beidzot ir vērā ņemams iemesls aktualizēt uzņēmuma datubāzes, atbrīvojoties no datiem zem “gan jau noderēs” klasifikācijas un atstājot datus ar racionālu un tiesisku to nepieciešamības pamatojumu.
Mīti par VDAR un pārsteidzīgi lēmumi
Nedēļa līdz liktenīgajam 25. maija datumam vairumam, visticamāk, atmiņā palikusi kā laiks, kurā e-pastā ik dienas ienāca pa kādai ziņai no komersantiem ar lūgumu apstiprināt, vai ir vēlēšanās arī turpmāk saņemt klientam saistošu informāciju no konkrētā uzņēmuma.
Iedziļinoties VDAR prasībās, gan kļuva skaidrs, ka šī aktivitāte lielā daļā gadījumu bija lieka un dažos gadījumos to pat varētu klasificēt kā regulas pārkāpumu.
Vienkāršs piemērs – ja konkrētais klients iepriekš nebija devis savu piekrišanu jaunumu saņemšanai, tad komersantam nebija arī tiesiska pamata viņu uzrunāt ar jautājumu par piekrišanu vai atteikšanos jaunumu saņemšanai.
Vēl viens plaši izplatīts mīts, kas ne vienam vien uzņēmējam rezultējies ar pārsteidzīgiem lēmumiem, – uzskats, ka ir nelikumīgi uzglabāt nestrukturētus datus.
Daudziem uzņēmumiem tas rezultējās ar drudžainiem mēģinājumiem šos datus steigā sakārtot, kaut kā sastrukturēt, kāds arī pieņēma lēmumu visus šos datus labāk neatgriezeniski izdzēst. Protams, atklāsme, ka to varēja nedarīt, daļā gadījumu bijusi nepatīkama, jo izdzēsta un nav atjaunojama vērtīga informācija.
Pēc paša pieredzes jāteic, ka joprojām ļoti daudziem uzņēmējiem nav izpratnes, ar ko sākt, kad pieņemts lēmums sagatavoties VDAR. Tas pirmais solis patiesībā ir ļoti loģisks – apzināt savu datu “saimniecību”.
Labs lēmums ir datu audits, kas palīdzēs saprast, kādi personas dati uzņēmumā tiek uzglabāti, kā uz tiem attiecas VDAR, kā arī – kuri dati ir nepieciešami un kuri laika gaitā nevajadzīgi uzkrājušies.
Tas ir ļoti raksturīgi uzņēmumiem Latvijā – uzglabāt visu uzkrāto informāciju, to neaktualizēt, izdzēšot lieko – pēc “gan jau kādreiz noderēs” principa un bez izpratnes par nepieciešamību.
Bet regulas prasība balstās tajā, ka uzņēmuma rīcībā jābūt tikai tiem datiem, kuru uzglabāšanai ir racionāls un tiesisks pamatojums.
Ir jāapzina datu apstrādes riski
Ir svarīgi saprast, ka VDAR netiek ieviesta ar mērķi apgrūtināt komersantus. Tas ir visā Eiropā vienots mehānisms personas datu aizsardzībai. Galu galā katrs taču esam fiziska persona, un strikts regulējums personas datu aizsardzībai ir mūsu visu interesēs.
Šī iemesla dēļ ir svarīgi apzināt komersanta rīcībā esošo datu apstrādes riskus.
Lai šo procesu veicinātu, SIA “Datakom” ir izstrādājis klasifikatoru, pēc kura var rast izpratni par to, vai uzņēmumam ir augsts datu apstrādes risku potenciāls – esam apkopojuši deviņas darbības, kuru veikšana liecina par augstiem datu apstrādes riskiem.
Viens no tiem – ja uzņēmumā notiek automatizēta lēmumu pieņemšana, jo šādi automātiskas datu apstrādes rezultātā kāda persona var tikt nepamatoti diskriminēta. Otrs – ja uzņēmums veic plaša mēroga datu apstrādi.
Plašs mērogs Latvijā būtu ap 10% no valsts populācijas. Kā arī ir vērts apzināt riskus, ja uzņēmumā ilgstoši uzkrāti vēsturiski dati par kādu sociālo grupu vai, piemēram, tiek uzglabāti dati par konkrētu novadu vai pilsētu iedzīvotājiem.
Augsti datu apstrādes riski ir uzņēmumiem, kuri pieprasa nepilngadīgu personu vai sava uzņēmuma darbinieku datus. Šādi faktiski tiek pieprasīta informācija par neaizsargātiem datu subjektiem, kuri apzināti nevar iebilst pret šo datu apstrādi vai ir ierobežoti savā lemšanas spējā.
Riska grupā ir arī tie uzņēmumi, kuri izmanto inovatīvas tehnoloģijas personas datu apstrādei, piemēram, izmanto “lietu interneta” ierīces, lai uzkrātu un identificētu personas (viedpulksteņi, viedierīces, digitālie asistenti u.c.).
Vadoties pēc šī klasifikatora, nozares, kuru darboņiem ļoti ieteicams neatlikt domu par datu saimniecības sakārtošanu, ir telekomunikācijas, finanses un arī medicīna. Kā arī Mārketinga nodaļas esamība uzņēmumā liecina par augstiem datu apstrādes riskiem, jo mārketings ir saistīts ar pārdošanu un tātad – klientu datu apstrādi.
Dati – tehnoloģiju laikmeta lielā vērtība, un tiem jābūt drošībā
Sagatavošanās VDAR lielai daļai uzņēmumu noteikti neaprobežosies ar piekrišanas prasījumu no klientiem un izvietotām uzlīmēm par to, ka notiek videonovērošana vai kā citādi var tikt ietekmēts personas privātums.
Šīs ir divas lietas, kas saistībā ar VDAR sasniegušas teju visas dzirdīgās ausis – ka jāparūpējas par personu piekrišanu datu apstrādei, prasot parakstu vai citādu apliecinājumu, un jāizvieto paziņojumi par potenciālu personas datu apstrādi.
Tomēr ar to visos gadījumos nebūs gana, tāpēc datu apstrādes jautājumam noteikti ieteicams pieiet padziļinātāk, nevis tikai teorētiski.
Joprojām, arī pēc 25. maija, Datu valsts inspekcija turpina atbildēt uz lielo skaitu pieprasījumu par regulas prasību skaidrošanu, nav arī noticis tas, no kā visi baidījāmies – ka 26. maijs pienāks ar sūdzību par regulas pārkāpumiem gūzmu no klientiem un ka nāksies sodos atvadīties no paprāvām naudas summām.
Tomēr tas nenozīmē, ka varam atslābt – datu saimniecība ir jāsakārto atbilstoši VDAR, jo neizbēgami pienāks laiks, kad par pārkāpumiem tiks prasīta atbildība. Ja sagatavošanās soļi vēl nav sperti – nav par vēlu, un te palīgā var nākt zinoši speciālisti.
Joprojām arī notiek dažādi pasākumi, kuros tiek sniegtas atbildes uz neskaidrajiem jautājumiem saistībā ar regulu. Viens no tādiem būs konference “Riga Comm”, kurā eksperti no visas pasaules apspriedīs tehnoloģiju laikmetā būtiskus jautājumus, tostarp arī par datu apstrādi un uzglabāšanu.
Mūsdienu tehnoloģiju laikmetā datiem ir izteikti liela nozīme un vērtība, tādēļ par tiem attiecīgi jārūpējas.