Pieci uzņēmēju mīti par datu aizsardzības regulu 1
Gatavošanās 25.maijam, kad stājas spēkā Vispārīgā datu aizsardzības regula, atklāj ne vienu vien robu uzņēmēju zināšanās par personas datu apstrādi. Uzņēmēju aptauja veikta pēc zvērinātu advokātu biroja “Sorainen” un IT uzņēmuma “Squalio” pasūtījuma.
Mūsu uzņēmumā personas datus neviens neapstrādā
Lai uzņēmums veiksmīgi darbotos, nepieciešami darbinieki, tādēļ personas dati personālvadības vajadzībām tiek apstrādāti teju ikvienā uzņēmumā, tostarp arī atlasot jaunus darbiniekus. Taču aptaujā, ko pēc “Sorainen” un “Squalio” pasūtījuma veica pētījumu kompānija “Norstat Latvija”, 41% aptaujāto uzņēmumu norādīja, ka personas datus neapstrādā, kad tiem tika taujāts par darbībām, kas veiktas, lai sagatavotos datu regulai. Vienlaikus tikai katrs otrais uzņēmējs (52%) norādīja, ka personas datus apstrādā personālvadības vajadzībām, bet tikai katrs divpadsmitais (8%) minēja rekrutēšanas un atlases procesus.
“Darbinieku pieņemšana, atlaišana, darba laika uzskaite šķiet tik pašsaprotamas norises, ka, iespējams, nemaz neiedomājamies par to detaļām, proti, par uzkrāto informāciju par cilvēkiem, kuri strādā vai vēlas strādāt mūsu uzņēmumā. Tādēļ ikvienam uzņēmējam līdz 25.maijam ir vērts pārdomāt to, kādus personas datus un kur glabājam, kam tie pieejami, kādiem nolūkiem tos izmantojam.,” uzsver “Sorainen” pārstāve, zvērināta advokāte Ieva Andersone.
Par datu regulas pārkāpumiem īpaši lielu sodu nav
Vispārīgā datu aizsardzības regula paredz ļoti bargus sodus par personas datu apstrādes pārkāpumiem, proti, tie var sasniegt 4% no uzņēmuma globālā apgrozījuma vai 20 miljonus eiro. Pēc “Sorainen” un “Squalio” pasūtījuma veiktajā aptaujā tikai katrs ceturtais uzņēmējs (25%) pareizi norādīja maksimālo soda apmēru.
“Manuprāt, ir visai satraucoši, ka 60% no mūsu aptaujātajiem uzņēmējiem bija grūti sniegt atbildi par GDPR noteiktajiem maksimālajiem sodiem. Jo tas nozīmē, ka netiek novērtēta personas datu izmantošanas nopietnība un problēmu gadījumā finansiālās sekas var būt ļoti nepatīkamas,” uzsver “Squalio” pārstāvis Mareks Gruškevics.
Par datu apstrādes pārkāpumiem atbildēs valde, uzņēmuma vadītājs un īpašnieks
Likuma priekšā pilna atbildība ir datu pārzinim, proti, uzņēmumam, no kura līdzekļiem būs sedzami arī visai ievērojamie sodi par pārkāpumiem. No aptaujātajiem Latvijas uzņēmumiem tikai 16% pilnīgi pareizi norādīja, ka vispirms par pārkāpumu atbildīgs ir uzņēmums, bet katram piektajam (18%) nebija zināms, kurš atbildēs par regulas pārkāpumiem.
“Katram, kurš uzņēmumā apstrādā personas datus, jārūpējas, lai tas tiktu darīts droši un atbilstoši prasībām. Lai arī uzņēmums samaksās sodu par datu apstrādes pārkāpumiem, valdes loceklis var būt atbildīgs par radītajiem zaudējumiem Komerclikumā paredzētajā kārtībā, bet darbiniekiem iespējama disciplināratbildība. Ja rūp uzņēmuma drošība un reputācija, svarīgi arī turpmāk regulāri pārskatīt datu apstrādes politiku, IT risinājumus un izglītot darbiniekus par drošu personas datu apstrādi,” atgādina Andersone.
Piederība arodbiedrībām nav sensitīvi personas dati, bet maksājumu kartes numurs – ir
Atbilstoši regulai, sensitīvi dati ir informācija par cilvēka rasi, etnisko izcelsmi, reliģisko, filozofisko vai politisko pārliecību, dalību arodbiedrībās, kā arī ar veselību vai seksuālo dzīvi saistītas ziņas. Nenoliedzami, maksājumu kartes numurs tāds nav. Tā ir vienkārši rūpīgi glabājama personīgā informācija, kuras nozaudēšana var radīt nopietnas finanšu sekas.
Savukārt ziņas par piederību arodbiedrībai tieši tāpat kā politiskie uzskati, ticība, seksuālā orientācija noteiktās situācijās var pakļaut cilvēku diskriminācijai vai atšķirīgai attieksmei darba tirgū, tādēļ šie ir īpašas kategorijas dati, kuru apstrāde tiek ierobežota. Pārkāpumu gadījumā var tikt piemērots arī bargāks sods.
“Uzņēmējiem ir ļoti svarīgi pārzināt konkrētas īpašo datu kategorijas, lai pat nejauši neizdarītu kādu pārkāpumu, piemēram, attiecībā pret darbiniekiem. Ieteiktu arī par sensitīviem dēvēt vien tādus datus, kas tādi ir arī normatīvo aktu izpratnē, nevis jebkuru privātu, svarīgu un sargājamu personisko informāciju. Tad nebūs pārpratumu ne par maksājumu kartēm, ne arī par personas kodiem,” skaidro zvērināta advokāte.
Digitālajā vidē personas dati “neceļo”
Lielākā daļa cilvēku digitālajā apritē esošo informāciju, pēc kuras var identificēt konkrētu personu, neuztver līdzīgi kā telefona numuru, adresi vai personas kodu. Tā šķiet bezpersoniska, kaut arī patiesībā ir pat ļoti personiska, skaidro “Squalio” pārstāvis. Proti, arī interneta protokola (IP) adrese, sīkfailu (cookies) identifikācijas numurs datorā, atrašanās vietas dati mobilajā tālrunī, e-pasts ir personas dati, kuru apstrādi regulē datu regula.
“Interesanta situācija veidojas ar e-pastiem. Adreses [email protected], [email protected] nav personas dati, jo pēc tām nevar identificēt nevienu konkrēti cilvēku. Savukārt adrese [email protected] ir informācija, kas identificē konkrētu cilvēku, tādēļ uz šo datu izplatīšanu var attiekties Vispārīgās datu aizsardzības regulas normas,” min Gruškevics.
“Norstat Latvija” aptauja tika veikta laikā no 2018.gada 19.marta līdz 9.aprīlim. Aptaujā piedalījās 820 Latvijas uzņēmumu.