Strauji tuvojas 2018. gada 25. maijs jeb laiks, kad stāsies spēkā Vispārīgā datu regula, skarot visus komersantus, organizācijas, valsts un pašvaldību iestādes. Tā precizēs personas datu regulējumu, sniegs personai daudz lielākas tiesības piekļūt un pārvaldīt informāciju, ko par viņu uzglabā dažādas trešās puses.
Regulas mērķis ir vienota regulējuma datu aizsardzības jomā ieviešana visā Eiropas Savienībā (ES), tā paredzot tieši piemērojamus noteikumus un piemērojot vienotu regulējumu datu aizsardzības jomā visā ES. Datu aizsardzības regulējuma harmonizācija visās 28 ES dalībvalstīs ļaus uzņēmumiem, kuri darbojas starptautiski, vieglāk orientēties datu aizsardzības jautājumos, mazinot nepieciešamību konsultēties par regulējuma piemērošanu atsevišķās ES dalībvalstīs.
Neskatoties uz to, ka regulas pakāpeniskai ieviešanai tika atvēlēts pietiekami ilgs laiks, vēl arvien valda tā saucamais «studenta princips» jeb «gan jau būs labi» apziņa. Taisnības labad gan jāatzīst, ka šobrīd notiek atmošanās laiks, jo arvien vairāk publiskajā telpā tiek komunicēts par pieaugošo atbildību uzņēmumiem, kas neievēros regulas prasību. Soda apmērs, kas var sasniegt līdz pat 4% no uzņēmumu gada apgrozījuma vai 20 miljonus eiro, licis pievērst lielāku uzmanību regulas ieviešanai.
Bažas par sankciju samērīgu piešķiršanu
Informācijas tehnoloģijas (IT) uzņēmumi sadarbībā ar juristiem šo gadu laikā pievērsuši ļoti lielu vērību regulas ieviešanai, taču joprojām tiek gaidīta skaidrība par Regulas piemērošanas noteikumiem, kā arī nacionālajām prasībām, ņemot vērā paaugstināto atbildību un naudas sodu apmēru. Diemžēl šobrīd gan ES, gan nacionālajā līmenī daudzi piemērošanas nosacījumi ir neskaidri. Skaidrība par regulējumu un tā piemērošanu ir priekšnoteikums, lai datu pārziņi un apstrādātāji varētu nodrošināt atbilstību regulas prasībām.
Pamatoti ceram, ka Datu valsts inspekcija (DVI) strādās kā konsultatīva un proaktīva iestāde, kam sods būs pēdējais līdzeklis. No vienas puses, mums, protams, ir cerība, ka DVI strādās godprātīgi un nemetīsies sodīt visus uzņēmējus pirmajā dienā, bet, no otras puses, arī paši saprotam, ka likums ir likums. Turklāt tas visiem bija zināms jau gandrīz divus gadus – tātad – juridiski būs grūti atspēkot nekā nedarīšanu vai likuma ignorēšanu.
Nozaru gatavība atšķiras
Ja telesakaru un finanšu nozarēs jauno regulējumu uztver nopietni un iegulda resursus tā izpētei un sistēmu pielāgošanai, tad veselības nozarē daļa iestāžu joprojām guļ «ziemas miegā». Šajā jomā par datu glabāšanu vēl būs daudz diskusiju, jo būs jāsaskaņo regulas un citas normatīvo aktu prasības. Liels izaicinājums būs datu dzēšana un noteikumu ievērošana saistībā ar citiem likumiem un regulām, kuras jāņem vērā vienlaikus ar Datu regulu.
Piemēram, finanšu sektoram ir saistošas daudzas regulācijas par naudas atmazgāšanu jau tagad, īpaši jaunā maksājumu direktīva, kurā ir ļoti pretrunīgi jautājumi par datu atdošanu trešajām pusēm, kas varētu būt pretrunā ar regulu. Vēl būtu jāsaprot, kad banka varēs izdzēst datus no savām sistēmām, lai, no vienas puses, nesaņemtu sodu no DVI par GDPR, bet, no otras puses, Finanšu un kapitāla tirgus komisija nesodītu par naudas atmazgāšanas likuma vai Maksājumu direktīvas neievērošanu. Interesanti būs arī tas, vai uzņēmēja civiltiesiskās apdrošināšanas jeb apdrošinātāji nosegs soda naudas, tiesas prasības zaudējumu segšanai tiem uzņēmējiem, kuri izmanīgi būs noslēguši lielus līgumus par savu klientu/darbinieku datu apstrādi ar mikro uzņēmumiem vai citu nelielu SIA, un būs «cietēji» no trešās puses (jeb šī SIA) negodprātīgas rīcības ar datiem.
Ārpakalpojums kā risinājums
Skaidrs, ka regulas ieviešana ir liels izaicinājums, kas mazākajiem uzņēmumiem var prasīt ne tikai finanšu resursus, bet milzīgu laika patēriņu. Tas ir komplekss process, kas sevī ietver jaunu dokumentu un procesu izstrādi, datu aizsardzības speciālista piesaistīšanu, IT un juridisko jautājumu pārzināšanu, praktisku pieredzi personas datu aizsardzībā un informācijas drošībā. Realitātē viens speciālists lielākoties šos nosacījumus nevar izpildīt, tādējādi viens no risinājumiem ir regulas ieviešanas un uzraudzības procesu deleģēt kā ārpakalpojumu, kas sevī ietver juristus, IT un personāla vadības speciālistus vienkopus u.c.
Daudzi IT nozares uzņēmumi piedāvā šādu pakalpojumu – gan praktiskā ieviešanā, gan arī konsultatīvā ziņā. Datakom izstrādātā GDPR in-a-box risinājumā iekļauts sava veida mākslīgais intelekts, kas automātiski meklē, aizsargā un auditē personas datu atrašanos uzņēmumu sistēmās. Šāds risinājums sniedz nepārtrauktu uzraudzību datiem, kā arī ļauj kontrolēt piekļuvi sensitīviem datiem uzņēmumā. Tāpat ir iespēja IT ārpakalpojuma sniedzējiem nodot atbildību par drošības uzturēšanu GDPR izpratnē. Lai arī līdz regulas ieviešanai palikuši nepilni četri mēneši, ieteiktu sagatavošanās darbus neatstāt uz pēdējo brīdi.