Personas datu aizsardzības “bubulis”: Uzņēmēji ir pārāk daudz sabiedēti 7
Rīt visā Eiropas Savienībā (ES) spēkā stāsies Vispārīgā datu aizsardzības regula (GDPR), nosakot vienādus noteikumus personas datu aizsardzībai visās ES dalībvalstīs. Vai Latvijas iedzīvotāji un uzņēmēji tam ir gatavi? Atbildīgās institūcijas – Tieslietu ministrija (TM) un Datu valsts inspekcija uzskata, ka jā, taču sabiedrība domā citādāk.
Rasnačs mierina: Latvija neko nav nokavējusi
“Komunikācijas un skaidras informācijas dēļ radusies liela ažiotāža. Cilvēki nervozē, jo nav pilnīgas skaidrības par to, ko paredz jaunā regula,” norāda Rīgas Stradiņa universitātes docents, tiesību zinātņu doktors Ivans Jānis Mihailovs. “Turklāt nav arī pieņemts jaunais Personas datu apstrādes likums, kurā tiks precizēts Vispārīgās datu aizsardzības regulējuma pielietojums Latvijā.”
Līdz šim personas datu aizsardzības jomu regulēja Fizisko personu datu aizsardzības likums, kas ar jaunās regulas piemērošanu zaudēs savu spēku. Taču TM uzsver, ka līdz ar regulas stāšanos spēkā, pamatprincipi personas datu apstrādē netiks mainīti. Šobrīd Personu datu apstrādes likums Saeimā tiek skatīts otrajā lasījumā, tomēr daudzo neskaidrību dēļ, tā pieņemšana ir aizkavējusies.”Regulējums ir visaptverošs. Uzskatu, ka nav jāsasteidz likuma pieņemšana. Valstis, kurās tas tiks ātri izdarīts, pēcāk likumā būs spiestas veikt dažādus grozījumus,” taujāts par šo jautājumu atbild tieslietu ministrs Dzintars Rasnačs. Ministrs akcentē, ka regulas pieņemšanai nav obligāti nepieciešams atbilstošs tiesību akts nacionālā līmenī. Arī citās valstīs tas notiek pakāpeniski. “Regula ir tieši piemērojams tiesību akts ES, līdz ar to pasākumiem, kas tiek veikti nacionālajā līmenī, grozot vai ieviešot jaunus tiesību aktus, ir tikai precizējoša vai papildinoša nozīme.”
Nepareizu datu apstrādi sodīs bargi
“LA” aprunājās ar dažādu nozaru uzņēmējiem, kuri stāsta, ka bažas rada ne tikai sistēmas maiņa, bet arī neadekvātie sodi, kas tiks piemēroti, ja uzņēmumā konstatēs personas datu apstrādes pārkāpumus. GDPR paredz, ka sods var sasniegt 4% no uzņēmuma globālā apgrozījuma vai 20 miljonus eiro. Tāpat uzņēmēji norāda, ka jaunajā regulā esot norādītas lietas, kuras uzņēmumos jāīsteno, taču trūkst skaidrības, kā to izdarīt. “Katrs, kurš uzņēmumā apstrādā personas datus, jārūpējas, lai tas tiktu darīts droši un atbilstoši visām prasībām,” uzsver zvērinātu advokātu biroja “Sorainen” pārstāve, zvērināta advokāte Ieva Andersone. “Lai arī uzņēmums samaksās sodu par datu apstrādes pārkāpumiem, valdes loceklis var būt atbildīgs par radītajiem zaudējumiem Komerclikumā paredzētajā kārtībā, bet darbiniekam iespējama disciplināratbildība. Ja rūp uzņēmuma drošība un reputācija, svarīgi arī turpmāk regulāri pārskatīt datu apstrādes politiku, IT risinājumus un izglītot darbiniekus par drošu personas datu apstrādi.”
“Swedbank” uzlabo sistēmu
Tomēr ne viss ir tik mels, kā to mālē. Jaunā regula var kalpot arī kā līdzeklis, lai uzņēmums strādātu vēl precīzāk. Uz to arī norāda I. J. Mihailovs: “Pozitīvi, ka sākot ar 25. maiju visā ES darbosies vienoti principi, kas saistīti ar personas datu aizsardzību.” Tas palīdzēšot ES dalībvalstīm sadarbojoties. Arī “Swedbank” personāla pārvaldes vadītāja Agita Jākobsone akcentē, ja uzņēmums pirms tam ir ievērojis Fizisko personu datu aizsardzības likumu, regula kalpos kā pozitīvs dzinulis uzņēmuma vides sakārtošanai. “Šai lietai esam piegājuši ļoti nopietni. Datu aizsardzība vienmēr bijusi mūsu fokusā. Domājam par to, kā personas datus ievadīt, kā glabāt. Darām to saskaņā ar Fizisko personu datu aizsardzības likumu. Vēlos akcentēt, ka jaunā regula ir mūs mobilizējusi pievērsties šai lietai par visiem 100%. Padziļināti izpētījām visas nianses un tagad esam nedaudz vairāk sakārtojuši, uzlabojuši savu sistēmu. Ieviesām arī darbinieku privātuma politiku un ar pilnu atbildību varu teikt, ka esam gatavi rītdienai. Pateicoties izmaiņām, esam kļuvuši vēl precīzāki.”
Liela brēka, maza vilna
Šodien Latvijas Nacionālajā bibliotēkā TM rīkoja konferenci, kurā preses pārstāvji tika informēti par Latvijas gatavību GDPR gan no valsts sektora, gan uzņēmēju puses. Datu valsts inspekcijas pārstāvis Lauris Linabergs akcentēja, ka institūcijas galvenais mērķis nav piemērot bargus sodus, bet prioritāra ir uzņēmēju konsultācija gan pirms, gan pēc regulas ieviešanas. “Uzņēmēji ir pārāk daudz sabiedēti. Regula nav aizliegums, bet gan dokuments, kas stāsta par jēgpilnu rīcību attiecībā pret personas datu aizsardzību,” norādīja Sertificēto datu aizsardzības speciālistu asociācijas valdes līdzpriekšsēdētāja Agnese Boboviča. “Šī regula nav nekas jauns, ja ar datu drošību uzņēmumam arī iepriekš viss bija kārtībā, tad, sākot ar rītdienu, lielas problēmas neradīsies.”
Savukārt Eiropas Komisija informē, ka jaunie datu aizsardzības noteikumi, kas stāsies spēkā rītdien, sabiedrības locekļiem sniegs lielāku kontroli pār saviem personas datiem un palielinās drošību gan tiešsaistē, gan bezsaistē. Ikviens varēs saņemt skaidru un saprotamu informāciju par to, kas apstrādā viņa datus, kādi dati un kādēļ tiek apstrādāti. Tāpat varēs pieprasīt piekļuvi saviem personas datiem, kuri ir kādas organizācijas rīcībā vai pieprasīt tos dzēst.