Šā gada 25. maijā visā Eiropas Savienībā (ES), arī Latvijā, stāsies spēkā Vispārīgā datu aizsardzības regula. Turpmāk – par Latvijas gatavību regulas ieviešanai, tās ietekmi uz uzņēmējdarbību un to, kā uzņēmumiem sagatavoties 25. maijam.
Cik gatava Latvija ir regulas ieviešanai no likumdošanas viedokļa?
Aigars Klaucāns, Datu valsts inspekcijas (DVI) Eiropas Savienības un starptautiskās sadarbības nodaļas juriskonsults: Šobrīd aktīvi izstrādājam nacionālo normatīvo aktu, to dara Tieslietu ministrija, kas nodarbojas ar politikas veidošanu datu aizsardzības jomā. Saeimā jau ir nonācis likumprojekts – Personas datu apstrādes likums, kas aizstās šobrīd spēkā esošo Fizisko personu datu aizsardzības likumu. Arī DVI, manuprāt, ir pietiekami gatava jaunajai situācijai, arī tādēļ, ka attiecībā uz tiesiskajiem pamatprincipiem nav nekādu būtisku izmaiņu, tie paliek būtībā nemainīgi. Protams, ir arī izaicinājumi, ietekmes novērtējums, rīcības kodekss, sertifikācija, ar to visu vēl notiek darbs, tomēr mēs nešaubāmies, ka 25. maijā DVI būs gatava. Ievērojot Personas datu apstrādes likumprojekta anotācijā norādīto informāciju, iespējams, 2019. gadā par 15 amata vietām tiks palielināts DVI darbinieku skaits.
Līdz šim visiem uzņēmumiem (pārziņiem), kas veic fizisko personu datu apstrādi, pirms personas datu apstrādes uzsākšanas bija nepieciešamas reģistrēt personas datu apstrādi DVI vai norīkot fizisko personu – datu aizsardzības speciālistu – visos gadījumos, kas ir noteikti Fizisko personu datu aizsardzības likuma 21. pantā; tieši piemērojot Vispārīgo datu aizsardzības regulu, reģistrācija DVI nebūs nepieciešama. Viens no risinājumiem, kas aizstās reģistrāciju, būs ietekmes novērtējums: tas ir veicams gadījumos, kad pārzinis veic sensitīvo datu apstrādi, publisko vietu uzraudzību (videonovērošana), sistēmisku datu apstrādi lielā apjomā, profilēšanu un uzraudzības iestādes noteiktajās jomās.
Valsts un pašvaldību iestādēs vai struktūrās, kā arī uzņēmumos, kuri strādā ar sensitīviem datiem, datiem par sodāmību un noziedzīgiem nodarījumiem vai kuros datu pārziņa vai apstrādātāja pamatdarbība sastāv no apstrādes darbībām, kurām to būtības, apmēra un (vai) nolūku dēļ ir nepieciešama regulāra un sistemātiska datu subjektu novērošana, būs nepieciešams datu aizsardzības speciālists. Jāpiebilst, ka jautājums par to, kas ir uzskatāms par lielu datu apjomu, ir atstāts katras valsts pašas ziņā, un Latvijā tas drīzumā tiks precizēts.
Kādas vēl būtiskas izmaiņas gaidāmas pēc regulas stāšanās spēkā?
Aleksandrs Koroļkovs, sertificēts personas datu aizsardzības speciālists, SIA CSC Telecom tehniskais direktors: Regula ievērojami palielinās datu subjekta tiesības un iespējas kontrolēt savus datus. ES pilsoņiem ir iespējams no datu pārziņiem pieprasīt visu informāciju par to, kā notiek datu apstrāde, kādiem mērķiem tie tiek izmantoti un kādām trešajām personām šie dati ir pieejami.
Vēl vienas izmaiņas – ir termiņš – trīs dienas vai 72 stundas, kura laikā uzņēmumam ir jāinformē uzraudzības iestāde par jebkādiem personas datu apstrādes pārkāpumiem, kas ir notikuši uzņēmumā. Praksē tas nozīmē, ka uzņēmumam ir nepieciešams meklēšanas rīks, monitoringa mehānisms, ar kura palīdzību savlaicīgi uzzināt par iespējamajiem pārkāpumiem. Trešais, ko es vēlētos uzsvērt, – reizē ar regulas stāšanos spēkā ievērojami pieaugs naudas sodi par dažādiem pārkāpumiem. Tā kā regula attiecas uz visām ES dalībvalstīm, arī sodi būs vienādi visās valstīs, un atsevišķos gadījumos var sasniegt pat 20 miljonus eiro. Tiesa, par to nevajadzētu uztraukties, ja uzņēmums ir savlaicīgi parūpējies par organizatoriskajiem un tehniskajiem risinājumiem, ja ir veikts savlaicīgs uzņēmuma rīcībā esošo personas datu – kā darbinieku, tā klientu – audits un, protams, ieviesti risinājumi nepilnību novēršanai. Galvenā šajā gadījumā ir personas datu apstrādes uzraudzības organizēšana.
Kāda, jūsuprāt, ir tieši uzņēmumu gatavības izmaiņām pakāpe – cik lielā mērā uzņēmumi ir gatavi 25. maijam?
Rolands Žīgurs, ZAB BDO Law jurists: Regula attiecas uz pilnīgi visiem uzņēmumiem, kuri apstrādā ES esošu fizisko personu personas datus, neatkarīgi no to izmēra un uzņēmējdarbības sektora. Vēl jo vairāk – regula atsevišķos gadījumos attiecas arī uz tādiem uzņēmumiem, kas nemaz neveic uzņēmējdarbību ES, bet apstrādā ES esošu datu subjektu personas datus. Savukārt gatavības regulas ieviešanai pakāpe šajos uzņēmumos ir visdažādākā: daļa arī līdz šim nav ievērojusi Fiziskās personas datu aizsardzības likumu un tieši tāpat attiecas arī pret regulu, savukārt par uzņēmumiem, kas jau līdz šim ir simtprocentīgi ievērojuši pastāvošo likumdošanu, var teikt, ka viņi jaunajai situācijai ir gatavi par 80–90 %. Pie mums vēršas kā uzņēmumi, kas tikai tagad ir sākuši domāt par regulas ieviešanu, tā arī uzņēmumi, kuriem būtībā ir nepieciešamas vairs tikai kādas pēdējās vadlīnijas vai konsultācijas, tāpēc precīzu kaut kādu vidējo gatavības pakāpi nosaukt nav iespējams.Balstoties uz līdzšinējo pieredzi, es teiktu, ka ļoti daudz trūkumu ir novērojami informācijas sistēmu drošībā – uzņēmumi aizmirst padomāt par mobilo iekārtu drošību, par personālo datoru drošību. Bieži ir arī gadījumi, kad uzņēmumam nav sakārtota iekšējā dokumentācija – kā organizatoriskā, tā tehniskā.
Cik lielā mērā izmaiņas ietekmēs ar ES pilsoņu datiem strādājošo uzņēmumu darbu?
Vita Gontare-Jerofejeva, sertificēta personas datu aizsardzības speciāliste, SIA CSC Telecom juriste: Ir jāatceras, ka fizisko personu datu aizsardzība nav nekas jauns, datu aizsardzība notiek arī jau esošās likumdošanas ietvaros. Tiem uzņēmumiem, kas jau ilgstoši ievēro personu datu aizsardzību, nevajadzētu rasties grūtībām pielāgoties regulai. Taču tiem uzņēmumiem, kuros nebija ievestas datu aizsardzības normas, būtu jāsāk tās ieviest. Pirmais, ar ko vajadzētu sākt, – audits. Ir jāsaprot, kādus datus uzņēmums apstrādā. Arī mēs uzņēmumā veicām auditu, pārskatījām, kuri dati vēl ir aktuāli, kuri vairs nav. Apmācām darbiniekus pareizi rīkoties ar fizisko personu datiem, to vidū ne tikai ar saviem, bet arī ar svešiem datiem, arī tādiem, kas attiecas, piemēram, uz sadarbības partneru darbiniekiem.
Kopumā uzņēmumiem ir jābūt gataviem atbildēt uz fizisko personu pieprasījumiem, kā arī jāievēro personu datu aizsardzības drošība IT jomā (kiberuzbrukumi), fiziskā drošība (nedrīkst atstāt dokumentus ar personisko informāciju visiem pieejamā vietā, piemēram, uz sekretāres galda), loģiskā drošība (aizvērtie skapji, paroles utt.). Zināmā mērā regula ietekmēs uzņēmumu darbību, bet atkarībā no personu datu aizsardzības pakāpes uzņēmums fizisko personu acīs var kļūt uzticamāks. Manuprāt, pēc jaunās regulas spēkā stāšanās visi uzņēmumi vairāk iegūs, nekā zaudēs, jo izvērtēs, vai tiešām, apstrādājot informāciju par fizisko personu, šī informācija būs nepieciešama tādā apjomā. Tie uzņēmumi, kuri neievēros regulas prasības, zaudēs reputāciju cilvēku acīs.
Kā izmaiņas ietekmēs tieši jūsu uzņēmuma darbību?
Juris Mendziņš, nacionālās informācijas aģentūras LETA valdes loceklis: Pirmkārt un galvenokārt – es ceru, ka nekādi neietekmēs, jo tieši mūsu darbības jomu, žurnālistiku, šī regula, mums par laimi, ietekmē ļoti maz. Jau šobrīd likumā Par presi un citiem masu informācijas līdzekļiem ir noteikts, ka žurnālista tiesības un pienākums ir vākt informāciju, cik tālu tas nepārkāpj likumu, un regula, manuprāt, nenonāk nekādās pretrunās ar pašreizējām likumu normām.
Mēs arī principā nestrādājam ar tādiem datiem, kurus tīrā formā var uzskatīt par personu datiem, par sensitīviem datiem. Mēs pamatā darbojamies ar publiski pieejamu informāciju, ar publiskām personām un ar notikumiem, kas ir publiski un savā ziņā arī domāti tam, lai par tiem runātu un rakstītu. Ir, protams, dažas īpašas situācijas, par kurām mums nāksies piedomāt, piemēram, filmēšana un fotografēšana publiskos pasākumos, bet ar to mēs rēķināmies, un arī tur ir atsevišķs regulējums, kā tieši tas notiek. Tādēļ mēs arī runājam par publiskiem pasākumiem, nevis, piemēram, par privātu ballīti, kur ir pavisam cits regulējums un kur filmēšana vai fotografēšana var notikt tikai ar attiecīgās personas piekrišanu.
Kopumā mēs strādājam tikai ar tiem datiem, kas ir iegūti likumīgā ceļā, publicēti izdevumā Latvijas Vēstnesis, iekļauti dažādos oficiālos, publiski pieejamos dokumentos, tādēļ arī neredzam nekādus ierobežojumus vai būtiskas problēmas, kas varētu rasties reizē ar regulas stāšanos spēkā. Pat ja mēs nonākam līdz tik jutīgai parādībai kā personas kodi, attiecīgi virknei amatpersonu, tad tā nav informācija, kuru mēs esam ieguvuši ar kaut kādām šaubīgām metodēm, tā ir informācija, kuru likumā noteiktajā kārtībā par attiecīgajiem uzņēmumiem un amatpersonām ir publiskojusi valsts, mēs šo informāciju tikai apstrādājam.
Mūsu datubāze arī faktiski sastāv tikai no juridisko personu datiem, un šī varētu būt mūsu būtiskākā atšķirībā no, piemēram, zobārstniecības vai friziera pakalpojumu sniedzējiem, kuru datubāzes sastāv no informācijas par privātpersonām, no privātpersonu datiem.
Cik lielā mērā iedzīvotāji zina savas tiesības un ir gatavi tās izmantot?
Rolands Žīgurs: Tendence ir tāda, ka zināšanas palielinās, turklāt aizvien biežāk ir redzama šo tiesību lietošana. Fiziskai personai process arī ir ļoti vienkāršs: tā ir komunikācija ar uzņēmumu – datu pārzini – telefoniski, ar e-pasta starpniecību vai vēl kādā citā veidā. Šis fakts noteikti ir jāņem vērā arī uzņēmumiem, jo sabiedrība kļūst aizvien izglītotāka un pievērš aizvien vairāk uzmanības šim jautājumam. Attiecīgi arī uzņēmums, kurš neievēro datu drošības prasības, nevērīgi attiecas pret iedzīvotāju datiem, nopietni riskē ar savu reputāciju, un tas var radīt problēmas biznesā kopumā. Savukārt, jo augstāka šajā ziņā ir uzņēmuma reputācija, jo lielāka būs arī klientu uzticība.
Pēc 25. maija daudzi jautājumi būs datu aizsardzības speciālistu pārziņā. Kādas ir jaunās prasības datu aizsardzības speciālistiem, un vai šādu cilvēku skaits Latvijā būs pietiekams?
Aleksandrs Koroļkovs: Lai kļūtu par datu aizsardzības speciālistu, protams, ir nepieciešamas specifiskas zināšanas. Personas datu apstrāde notiek, balstoties uz astoņiem pamatprincipiem – kā juridiskajiem, tā tehniskajiem. Attiecīgi prasību pret speciālistiem sarakstā ir iekļauta atbilstīga pamata augstākā izglītība – juridiskā, informācijas tehnoloģiju jomā vai arī kāda tām pielīdzināma augstākā izglītība, turklāt ir jāapgūst īpašs apmācības kurss un jānokārto atbilstīgs eksāmens. Vēlāk, ik pēc pieciem gadiem, nāksies arī apstiprināt kvalifikāciju.
Atbilstīgi regulai tas uzņēmumu un iestāžu loks, kur būs nepieciešams datu aizsardzības speciālists, ir samērā plašs. Vislabāk, protams, ir, ja uzņēmums atrod iespējas apmācīt savu darbinieku, jo viņš tomēr vislabāk pārzina situāciju konkrētajā uzņēmumā un vislabāk spēs orientēties notiekošajā. Ja šādu iespēju nav, tad var izmantot arī ārpakalpojumu; te katra uzņēmuma vadībai pašai ir jāskatās, kurš no risinājumiem ir racionālāks. Ir pienācis pēdējais laiks par to domāt, jo vismaz šobrīd šo speciālistu acīmredzami ir par maz, viņu nepietiek. Iespējams, tas lielā mērā ir saistīts ar sākotnēji nesamērīgi augstajām prasībām eksāmena kārtotājiem – to dēļ vairākums pretendentu eksāmenus vienkārši nenokārtoja. Tagad šī situācija ir pamainījusies, prasības ir kļuvušas izpildāmas, taču speciālistu skaits joprojām nav pietiekams.
Ko uzņēmums zaudē, neievērojot regulu?
Aleksandrs Koroļkovs: Uzņēmums, kas neievēro regulas prasības, būtībā neievēro fiziskās personas pamattiesības, kuras ir noteiktas Latvijas Republikas Satversmē – ka ikvienam ir tiesības uz privātās dzīves, mājokļa, korespondences neaizskaramību. Manuprāt, tas var izraisīt nopietnus uzņēmuma reputācijas zaudējumus.
Kā rīkoties, lai uzņēmums būtu drošs, ka netiek pieļauti kādi datu drošības pārkāpumi?
Rolands Žīgurs: Vienīgais veids, kā pārliecināties, vai netiek pieļauti kādi regulas pārkāpumi, ir veikt atbilstīgu pārbaudi, auditu un tad novērst trūkumus, ja tādi tiek atrasti. Šo pārbaudi, protams, var veikt pats uzņēmums, tomēr es teiktu, ka šādos gadījumos vienmēr ir vēlams piesaistīt kādu speciālistu no malas, kurš var veikt pilnīgi neatkarīgu novērtējumu un kuram arī būs nedaudz cits skatījums.
Atsevišķi ir jāpiebilst, ka viens no regulas mērķiem ir veicināt sabiedrības izpratni par datu apstrādi. Šāda izpratne ir ļoti svarīga arī uzņēmumiem: līdzko radīsies izpratne par to, kādēļ šī regula tiek ieviesta un kādi ir tās mērķi, tā arī pielāgošanās jaunajām prasībām, regulas ieviešana ritēs daudz raitāk un visi ar to saistītie procesi šķitīs daudz vienkāršāki. Formāla likumā noteikto minimālo prasību izpilde šajā gadījumā nebūs labākais risinājums, ļoti vēlama ir izpratne par to, kāda ir situācija uzņēmumā, kādi dati ir uzņēmuma rīcībā, kā tie tiek izmantoti, vai nejauši nav tā, ka kāda daļa datu būtībā ir nevajadzīga, tie nav nepieciešami darbības nodrošināšanai. Un, ja radīsies šāda izpratne, tad arī būs skaidrs, kādi turpmākie soļi ir nepieciešami.
Cik reāla ir iespēja, ka mums šeit, Latvijā, tiešām draud daudzmiljonu sodi par regulas neievērošanu?
Rolands Žīgurs: Iespēja ir tikpat reāla, cik visā pārējā Eiropā. Tas ir atkarīgs no pārkāpumiem. DVI gan jau ir norādījusi, ka savā darbībā tā centīsies atturēt no atkārtotu pārkāpumu izdarīšanas. Nekādi griesti šajā ziņā nav noteikti, tā ka labāk ir neizaicināt likteni.
Intervija tapusi AdapT To projekta ietvaros sadarbībā ar CSC Telecom un BDO LAW, atsaucoties uz Kantar TNS datiem, balstoties uz DVI un nacionālās ziņu aģentūras LETA sniegto informāciju.
Projekta informatīvie partneri: INBOX.lv, LETA, TVnet, ZParks, Skaties.lv, RISEBA