SIA “iT on” rekomendē:

atmet bailes no personas datu aizsardzības regulas!

Izdari vismaz pamatlietas!

Esat informēti par GDPR lielajiem sodiem un jūs tas satrauc? Jūs nezināt ar ko sākt?
Jūs zināt, ka tā ieviešana ir dārga, bet arī sodus sagaidīt nevēlaties? Pareizi?
Tāpēc aicinām būt zinošākiem un pašu spēkiem jau izveikt pamatlietas, lai gadījumā, kad tiek pārbaudīts Jūsu uzņēmums, Jūs būtu jau tās sakārtojis.

Fakti, kas jāņem vērā par GDPR (General Data Protection Regulation) jeb Vispārīgo datu aizsardzības regulu:

  • Līdz ar regulas stāšanos spēkā 2018. gada 25. maijā, tiek radīta tiesiska iespēja vērsties pret jebkuru juridisku vai fizisku personu par kāda cita datu subjekta personīgo datu izmantošanas pārkāpumiem. Pierādot, ka konkrētā datu subjekta tiesības tiešām ir būtiski pārkāptas, tiesa var pārkāpējam piemērot naudas sodu. Juridiskās personas gadījumā sods līdz 4% no globālā apgrozījuma.
  • GDPR darbība nav vienreizējs pasākums! Uzņēmējiem arī turpmāk un vienmēr būs jāuzrauga savu izstrādāto datu apstrādes un drošības vadlīniju ievērošana, tās dinamiski pilnveidojot, kad izmainās uzņēmējdarbības apstākļi vai arī kļūstot pieejamiem kādiem jauniem tehnoloģiskiem risinājumiem uzņēmumā.
  • Neeksistē viens konkrēts, nopērkams instruments vai metodoloģija, kas garantēti un 100% sagatavos Jūsu uzņēmumu jaunajām GDPR prasībām. Iemesls: GDPR ir piemērojama katram uzņēmumam individuāli, jo GDPR prasības tiek attiecinātas un piesaistītas uzņēmuma biznesa procesiem, kas katram uzņēmumam ir unikāli.
  • Ja pieņem, ka kopējās darbības, kas GDPR sakarā veicamas uzņēmumā ir 100%, tad pastāv viedoklis, ka:
  • 90% aktivitāšu GDPR piemērošanai uzņēmumā sastāda juridiska rakstura un procedurālas darbības kā rezultāta tiek radīti arī dokumenti, kas paredzēti, lai pamatotu katru darbību ar personas datiem uzņēmuma biznesa procesu, procedūru ietvaros.
  • atlikušie 10% aktivitāšu GDPR piemērošanai uzņēmumā ir IT risinājumu pielāgošana (atsevišķos gadījumos, bet retāk, arī papildus IT risinājumu iegāde), lai atbilstu jaunradītajiem juridiskā pamatojuma dokumentiem.

! Lai juridiskie aspekti tiktu sabalansēti ar IT iespējām un lai izdotos iztikt bez papildu investīciju pārmērībām IT risinājumu iegādē, rekomendējam juristiem un IT profesionāļiem strādāt tandēmā.

  • Ar jauno regulu personas datu jēdziens tiek būtiski paplašināts – tas ir pilnīgi viss, kas var identificēt konkrētu cilvēku. Tai skaitā, epasts, vārds, uzvārds, personas kods un darba vieta, attēls, video, dokumentu kopijas, e-pasti utt.
  • Mūsuprāt, uzņēmēja risks primāri ir tomēr mantkārīgas privātpersonas, un tikai sekundāri tā ir valsts vai uzraugošās iestādes!
  • Lai uzsāktu GDPR ieviešanu, pēc būtības tiek veikti auditi, lai apzinātu to, kas jāsakārto:

  1. Biznesa procesu tiesiskā pamatojuma (attiecībā uz darbībām ar personas datiem) juridiskais audits (intervijas par procesiem, pētot darbības, kas tiek veiktas ar personas datiem);
  2. IT audits (intervijas un tehnikas/ IT arhitektūras testēšana).

GDPR ieviešanas rezultātā uzņēmumam jābūt sagatavotam šādam minimumam:

  1. Jāpierāda, ka personas datu apstrāde ir kontrolēta un uzņēmums zina, kas kur atrodas – izstrādāts uzņēmuma personas datu apstrādes reģistra dokuments.
  2. Jāparāda, ka draudi un riski ir novērtēti – izstrādāts un spēkā esošs uzņēmuma personas datu aizsardzības politikas dokuments.
  3. Jāparāda, ka uzņēmuma vadība rūpējas, lai darbinieki būtu informēti un izglītoti iekšējās kārtības noteikumos jābūt radītam jaunam blokam par datu drošību, ar ko jābūt iepazīstinātiem visiem darbiniekiem un viņi to paraksta līdzīgi kā darba vai ugunsdrošības instruktāžas dokumentu. Turpmāk pastāvīgi jāpaaugstina uzņēmuma darbinieku datorprasmes (šobrīd IT sfērā ir pieejami arī tehniski, automatizēti risinājumi, kas gan apmāca darbiniekus, gan eksaminē).
  4. Jāparāda, ka uzņēmums ir izvērtējis riskus un nokārtojis atbildību par personas datiem, kas tiek nodoti ārpus uzņēmuma vai tie ir pieejami no trešajām pusēm – jānoslēdz speciālu līgumu, papildvienošanos ar visiem (!) sadarbības partneriem, ar kuriem sanāk jebkāda datu apmaiņa, kur var parādīties personas dati. Piemēram, grāmatvedības vai IT ārpakalpojumu sniedzēji, Reklāmas pakalpojumu sniedzēji, Hostinga kompānijas, kuras uztur web sistēmas ar datu bāzēm utt..
  5. Jāparāda, ka ir gatavība un spēja rīkoties pie incidentiem – jābūt izstrādātiem, sagatavotiem speciāliem dokumentu templeitiem un aprakstītām procedūrām, kā arī sagatavotiem visiem dokumentiem, kas apstrādā incidentu vai datu subjekta prasījumus.

Nianses:

  • Par datu zūdību, zagšanas vai sabotāžas notikumiem (visiem notikumiem, kur IR vai VAR BŪT ietekmētas privātpersonas) uzņēmumam ir jāziņo regulā noteiktā kārtībā – 72h laikā no fakta konstatācijas neatkarīgi no tā, kad incidents ir noticis.
  • Runa ir tikai par dzīvas fiziskās personas datiem! Tai skaitā individuālo komersantu datiem, juridisko klientu darbinieku personas datiem.
  • Sajūta, ka iepriekš saņemtās (klientu) piekrišanas (piem., klientu anketās) ir derīgas arī turpmāk, var izrādīties nepamatota – tāpēc jāpārskata šīs piekrišanas – vai tās ir spēkā jauno noteikumu ietvaros!
  • Ir aizliegts glabāt nepareizus personas datus un ir aizliegts tos glabāt bezgalīgi!
  • Uzņēmums nevar tieši pārnest atbildību par datu drošības pārkāpumiem uz darbinieku!
  • Regula attiecas ne tikai uz IT sistēmām, bet arī uz video novērošanu, telefoniju, fiziskās drošības un piekļuves sistēmām, dokumentiem papīra formātā utt!
  • Pēc 25. maija NAV jāreģistrējas Valsts datu inspekcijā, bet jābūt gataviem reaģēt un pierādīt savu sagatavotību (ir izpildīti un pārbaudes laikā uzrādāmi vismaz 1.-5. punktā norādītie dokumenti)!
  • Datu aizsardzības speciālista obligātā vajadzība šobrīd ir uz jautājuma zīmes.

Ko darīt tālāk?

Turpmākās darbības alternatīvas:

a)       Pirmais ceļš. Izdarīt vismaz pamatlietas ar paša uzņēmuma resursiem.

Mēs, SIA “iT on”, šajā tēmā esam iedziļinājušies, apmeklējot vairākas GDPR apmācības. Šobrīd spējam sniegt atbalstu pamatjautājumos un piedāvājam  konsultācijas un praktisku palīdzību dokumentu izstādei - tātad - kā Jums radīt savā uzņēmumā sākotnējo gatavību.

Ieguvumi:

  1. sakārtotas optimālā minimuma līmenī datu aizsardzības un apstrādes procedūras, gan principā, gan GDPR sakarā;
  2. naudas sodu risks būs pieticīgāks vai nebūs vispār;
  3. iespējami samazināta konflikta iespējamība ar personas datu īpašnieku.

Riski: nosacīts juridiskā pamatojuma risks konflikta gadījumos.

Kvalificēta jurista pakalpojumi ārštatā būtu ieteicami, dažkārt pat noteikti vajadzīgi. Un tad, ja juristam uzdosiet veikt jau izveidotas GDPR dokumentācijas pārbaudi, tai faktiski vajadzētu būt ātrākai un lētākai. 

Investīcijas:

  1. uzņēmuma darbaspēks;
  2. SIA “iT on” konsultācijas;
  3. jurists ārpakalpojumā (iespējams un kaut kādam konkrētam risinājumam, pārbaudei).  

Kopsavilkums: no juridiskā pamatojuma, biznesa procesu un IT risinājumu viedokļa izdarīts optimālais minimums, lai uzņēmums spētu sevi aizsargāt. Investīciju ziņā: optimālais, iespējams, pats lētākais variants perspektīvā.

b)      Otrais ceļš. Vērsties pie DVI (Datu valsts inspekcijas) sertificēta speciālista vai kompānijas, kas izveiks visu procedūru kopumā.

Ieguvumi:

  1. sakārtotas pamatlietas un vēl specifiskas, juridiskas nianses GDPR sakarā;
  2. naudas sodu risks būs pieticīgāks vai nebūs vispār;
  3. iespējami samazināta konflikta iespējamība ar personas datu īpašnieku.

Riski: nav tādu kompāniju, kas var garantēt, ka pēc šī pakalpojuma saņemšanas būsiet 100% pasargāts, jo Latvijas tiesu praksē GDPR tēma, salīdzinoši, ir jauna, bez kliedzošiem precedentiem. Šobrīd, pamatojoties uz ārkārtēju pieprasījumu, tas ir naudas ietilpīgs pasākums.

Investīcijas:

  1. uzņēmuma darbaspēks;
  2. Speciālistu komanda;
  3. Iesakām apsvērt par sava jurista piesaisti, kas pirmkārt pārstāv Jūsu pusi.

Kopsavilkums: no juridiskā pamatojuma, biznesa procesu un IT risinājumu viedokļa izdarīts maksimums, lai uzņēmums spētu sevi aizsargāt. Investīciju ziņā: momentāni dārgākais, bet, iespējams – lētākais variants ilgtermiņa perspektīvā (it īpaši ja bijāt plānojuši pārbaudīt un sakārtot savu IT infrastruktūru un uzņēmuma procesus).

c)       Trešais ceļš. Ļaut notikumiem iet savu gaidu, sagaidot pirmos precedentus.  

Risks: Iespējams – pats dārgākais risinājums, kad iestājas precedents, datu noplūde vai uzņēmumā ierodas datu aizsardzību uzraugošā iestāde.          

Kopsavilkums: augsta riska pakāpe. Turklāt, izskatās, ka GDPR jautājums Latvijas likumdošanā ir “uz palikšanu”.  Turklāt brīdī, kad skaļai publicitātē nonāks pirmās precedenta lietas, būs dažādos procesuālos statusos daudzas citas. Tāpēc – gaidot pirmās precedenta lietas var sanākt “iekrist”. Tas jau ir zināms, ka no tiesas un DVI puses tas, ka uzņēmums NEKO nav darījis, būs vainu būtiski pastiprinošs apstāklis.