Šī gada 25. maijā stājās spēkā Jaunā Eiropas Savienības regula par fizisku personu datu aizsardzību (EIROPAS PARLAMENTA UN PADOMES REGULA (ES) 2016/679 (2016. gada 27. aprīlis). Tās ir salīdzinoši lielas pārmaiņas tajā kārtībā jeb nekārtībā vairums uzņēmumu gan privātā, gan valsts līmenī, kas ir šobrīd.
Līdz regulas ieviešanai vairs nav palicis daudz laika, daba mostas un arī uzņēmēji, taču diemžēl vairums gan tikai pēdējā brīdī. Jaunie noteikumi ir komplicēti un to ieviešana uzņēmumā prasīs ne tikai laiku, pārklasificēšanos, bet arī līdzekļus un nervus.
Galvenais šīs jaunās regulas mērķis ir paaugstināt drošību personas datiem, kas atrodas uzņēmuma pārvaldībā. Tā attieksies uz visiem komersantiem ES teritorijā, ne tikai Latvijā. Pašvaldību un valsts iestādes, privātie uzņēmēji, – visi saskarsies ar šīm izmaiņām, jo šīs regulas īstenošanu un ievērošanu arī kāds regulēs un arī kāds sodīs, ja tā netiks īstenota atbilstoši prasībām. Regula pieprasa vienotas prasības visām 28 ES dalībvalstīm attiecībā uz fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti ES.
Liels solis, protams, šai regulai ir veicināt kopēju ekonomisku sadarbību dažādās nozarēs un līmeņos. Digitālais tirgus balstās tieši uz dažādu personu datu apstrādi, kas ir ļoti sensitīva līmeņa informācijas apstrāde. Nepareiza, nekorekta pieeja var novest pie lieliem sarežģījumiem galvenokārt finansiālā ziņā. Gandrīz ceturtā daļa uzņēmumu neveic vispār nekādu personas datu aizsardzību un tas ir salīdzinoši ļoti neapmierinošs rādītājs.
Šobrīd ES par datu drošību atbild direktīva 95/46/EK (Vispārīgā datu aizsardzības regula). 99 pantos ir sīki un detalizēti analizēti dažādi noteikumi un nosacījumi, kas būtībā ir vēl lielāks pienākumu un atbildības slogs jebkurai institūcijai, kura izmanto un glabā savu klientu informāciju. Regulā tiek norādīti noteiktumi par to, ko pieprasa īpaša datu uzglabāšana, kādas ir ierobežotās tiesības šāda veida informācijas apstrādē, kādas ir datu pārvaldītāja tiesības un daudzas citas nianses attiecībā uz datu drošību, uzglabāšanu, vākšanu.
Jāsaprot, ka šī regula nav bezmaksas pakalpojums. Pirmais solis būs piesaistīt datu drošības speciālistu vai arī ieviest jaunu pozīciju uzņēmuma vakanču sarakstā. Par datu drošības speciālistu var kļūt persona, kurai ir juridiskā, IT vai kāda tuvu stāvoša izglītība attiecībā uz informācijas uzkrāšanu, apstrādi un drošību. Vispirms darbiniekam ir jāiziet specializēti datu drošības speciālista kursi un tad jāsertificējas Datu valsts inspekcijā. Pirms šīs regulas ieviešanas jeb šobrīd atbildīgais par personu datu apstrādi bija uzņēmuma vadītājs. Šobrīd gan ir reģistrēti mazāk kā 200 datu drošības speciālisti. Uzņēmumam ir izvēles iespējas, protams, vai nu šāds speciālists ir štata darbinieks vai arī tiek algots un sniedz ārpakalpojumu. Otrais galvenais rīcības plāna punkts ir izstrādāt stratēģiju – ar ko sākt, kā tieši regula attiecas uz konkrēto uzņēmumu, darbības nozari, kā arī, kādā veidā tiek uzkrāta, glabāta informācija par personu un vai visi šie procesi tiek veikti atbilstoši jaunajai kārtībai. Lai saprastu uzņēmuma vājās puses, var pieaicināt speciālistus, kas veiks auditu un norādīs uz tām lietām, kas jānovērš vai jāievieš.
Kas tad īsti ir personas dati? Tā ir jebkura veida informācija, kura ļauj personu atpazīt jeb identificēt. Personas kods, vārds, adrese, informācija par algu, autotransporta līdzekļa numura zīme u.c. Ir arī norādīta tāda identificējoša informācija, kā, piemēram, personas seksuālā informācija, taču realitātē tas nebūt nav veids, kā identificēt kādu cilvēku.
Sodi par šo noteikumu pārkāpšanu ir salīdzinoši drastiski. Katra institūcija tiks vērtēta individuāli tāpat kā tās ieņēmumi, taču sodi var būt īpaši lieli gadījumos, ja tiks nopludināti (nozagti) sensitīvi dati (banku kontu dati, ziņas par veselības stāvokli u.tml.). Tādos gadījumos tiks noteikti naudas sodi, kas var būt 2%-4% no uzņēmuma gada apgrozījuma, īpaši smagos pārkāpumos – līdz pat 20 miljoniem eiro, kas var nozīmēt arī uzņēmuma bankrotu. Kibernoziedzības gadījumi diemžēl ir arvien vairāk un aizsardzība pret šāda veida zādzībām ir grūti nodrošināma.
Neskaidra bilde gan ir ar valsts un pašvaldību iestāžu sodīšanu, jo samaksātais sods kā bumerangs atgriežas atpakaļ no turienes no kurienes nācis – no valsts kases. Kāds tomēr būs jāsoda un tā būs atbildīgā amatpersona. Soda funkcijas nepildīs kāds ierēdnis no Briseles, bet gan valstī ar regulu vienlaicīgi palaistais Personas datu apstrādes likums. Sodi jau ir iekļauti nākamā gada budžetā un to apmērs ir gandrīz ir 500 000 eiro, taču arī pašiem likumdevējiem vēl daudz negulētu nakšu būs priekšā un kurās būs jāizstrādā atbilstošā dokumentācija un noteikumi.
Monētai ir divas puses. No vienas – persona (darbinieks) būs vairāk aizsargāti. Ja netiks ievērota viņu datu drošība, personai būs visas tiesības vērsties pie tiesībsargājošām institūcijām, iegūt informāciju par to kur un kādā veidā tiek izmantota indivīda informācija. No otras puses galveno slogu uz saviem pleciem nesīs tie, kas būs atbildīgi par regulas ievērošanu institūcijā gan administratīvi, gan finansiāli.
Rakstu sagatavoja: Anna Ezera
Izmantotie informācijas avoti:
Deloitte. The time is now. The Deloitte General Data Protection Regulation Benchmarking Survey https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/risk/deloitte-nwe-gdpr-benchmarking-survey-november-2017.pdf
Vēvers, Jānis. Datu aizsardzības izmaiņām jāgatavojas jau tagad. http://www.db.lv/zinas/datu-aizsardzibas-izmainam-jagatavojas-jau-tagad-469194
Vīksne, Imants. Personu datu aizsardzības noteikumi liks atvērt makus uzņēmumiem http://nra.lv/latvija/234699-personu-datu-aizsardzibas-noteikumi-liks-atvert-makus-uznemumiem.htm
