Vispārējās datu aizsardzības regulas (General Data Protection Regulation – GDPR) ieviešana, kuras mērķis ir novērst nepamatotu personas datu lietošanu un noplūdi, jāuztver nevis kā slogs, bet gan nopietns iemesls sakārtot nereti novārtā atstātos datu drošības un aizsardzības jautājumus. Saskaņā ar Gārtnera pētījumu vairāk nekā 50% uzņēmumu, valsts un pašvaldību iestādes nebūs gatavas izmaiņām, kas stāsies spēkā no nākamā gada 25. maija. Mūsu vērojumi liecina, ka tendences Latvijā ir ļoti līdzīgas.
Regula nozīmē jaunas prasības uzņēmējiem, kā strādāt, apkopot un glabāt klientu, partneru un darbinieku datus. Faktiski mūsdienās tas skar gandrīz visus uzņēmumus un valsts sektora institūcijas. Viena no redzamākajām jomām ir, piemēram, tirdzniecība, kur tādu personas datu kā vārds, uzvārds, personas kods, adrese, tālrunis u.tt. ievākšana ir ikdiena. Jo īpaši, veicot pirkumus interneta vidē. Regula uzņēmējiem liek izvērtēt vairākus jautājumus. Vai sistēma, kā personas dati tiek ievākti un uzglabāti, ir droša? Vai mērķis, kāpēc dati ir vajadzīgi, ir skaidrs? Vai ir pietiekams kontroles mehānisms, kam ir pieeja datiem? Vai varu garantēt, ka, pēc personas pieprasījuma, datu glabāšana tiek tūlītēji pārtraukta?
Lai atbilstu GDPR nosacījumiem, nepieciešams veikt vairākus mājasdarbus. Tie ir komplicēti un prasa ne tikai laiku, finanses un resursus, bet arī vairāku līmeņa darbinieku iesaisti. Tas ir viens no iemesliem, kāpēc uzņēmēju vidū vērojama pretestība jaunajai regulai un gatavošanās tai tiek atlikta uz vēlāku laiku. Nevēlēšanos novirzīt nepieciešamos līdekļus datu drošībai var skaidrot ar to, ka šo izdevumu atdevi nevar tiešā veidā izmērīt ar peļņas kāpumu, jauniem un apmierinātiem klientiem vai strauju biznesa paplašināšanos. Sagatavošanās un pārejas posms ir vērtējams kā īss, īpaši ņemot vērā IT drošības speciālistu deficītu Latvijas tirgū. Tie ir izaicinājumi, kas apgrūtina GPDR veiksmīgu ieviešanu Latvijā.
Vienlaikus regula aktualizē jautājumu par datiem kā galveno biznesa vērtību. Uzņēmumi, kas prot tos analizēt un pielietot, ir ievērojami konkurētspējīgāki. Bieži biznesa izaugsme un attīstības iespējas ir atkarīgas tieši no datiem. Tieši tāpēc būtu likumsakarīgi, ja valsts un privātais sektors apzinātos zaudējumu apmēru un to negatīvo ietekmi uz biznesu, ja noplūst sensitīva informācija. Vērtējot regulas nepieciešamību no šāda skatu punkta, regula ir sava veida biznesa apdrošināšana un jaunu iespēju izmantošana, tāpēc datu aizsardzības jautājumiem visbeidzot ir jānokļūst uzņēmēju un valsts pārvaldes iestāžu dienaskārtībā.
Tā kā GDPR ir jauns personas datu lietošanas standarts, kas jāņem vērā visiem, kuri strādā Eiropas Savienības tirgū, to nevar ignorēt. Katrai organizācijai būs sava situācija un pieredze, ņemot vērā to, cik iepriekš darīts esošo informācijas sistēmu uzturēšanā, jo regula nav kaut kas revolucionāri jauns. Tie ir drošības papildinājumi, ņemot vērā laikmetu, tehnoloģisko progresu un iespējamo apdraudējuma kāpumu.
GDPR ieviešana ir jāsāk ar jurista atzinumu, kā regula attiecas uz konkrētu uzņēmumu un kas tam jāņem vērā. Pēc tam seko IT audits, kas novērtē sistēmu tehnisko drošību. Pamata datu drošībai un aizsardzībai jau tagad ir jāievēro standarta soļi, kas GDPR ieviešanu tikai atvieglos.
Pirmkārt, regulāri ir jāinstalē drošības atjauninājumi. Otrkārt, datus nepieciešams šifrēt, lai tos noplūdes gadījumā nav iespējams izmantot. «Oracle» novērojumi liecina, ka diemžēl ne vienmēr tas tiek darīts un datu bāzes tiek pakļautas ārkārtīgi augstam riskam. Treškārt, jāievieš indentitāšu pārvaldības sistēma, kas dod pieejas konkrētai informācijai tikai tad, ja cilvēks strādā amatā, kurā šie dati ir vajadzīgi darba pienākumu veikšanai. Ceturtkārt, ne vienmēr organizācijā ir ieviesti vajadzīgie ierobežojumi, kurai informācijai, kurš darbinieks ir tiesīgs piekļūt, kas rada papildus drošības riskus. Piektkārt, izmantojot mākoņu pakalpojumus, ir jādomā par to datu drošību, kas ir ārpus uzņēmuma.
GDPR rosinātās izmaiņas nav absolūtas un tās nebeigsies ar nākamā gada maiju, kad regula stāsies spēkā. Tas ir atskaites punkts, kas liek mobilizēt neizdarītos darbus un uzlabot esošās sistēmas, atceroties, ka tehnoloģijas un sistēmas mainās nepārtraukti, tāpēc arī mainās prasības attiecībā uz drošības risinājumiem. Tā ir kombinācija starp finansiālajām iespējām, labo praksi un risku menedžmentu.