Fakti, kas jāņem vērā par GDPR (General
Data Protection Regulation) jeb Vispārīgo datu aizsardzības regulu:
- Līdz ar regulas stāšanos spēkā 2018.
gada 25. maijā, tiek radīta tiesiska iespēja vērsties pret jebkuru juridisku
vai fizisku personu par kāda cita datu subjekta personīgo datu izmantošanas
pārkāpumiem. Pierādot, ka konkrētā datu subjekta tiesības tiešām ir būtiski
pārkāptas, tiesa var pārkāpējam
piemērot naudas sodu. Juridiskās personas gadījumā sods līdz 4% no globālā apgrozījuma.
- GDPR darbība nav vienreizējs pasākums! Uzņēmējiem arī turpmāk un vienmēr būs
jāuzrauga savu izstrādāto datu apstrādes un drošības vadlīniju ievērošana,
tās dinamiski pilnveidojot, kad izmainās
uzņēmējdarbības apstākļi vai arī kļūstot pieejamiem kādiem jauniem
tehnoloģiskiem risinājumiem uzņēmumā.
- Neeksistē viens konkrēts, nopērkams instruments
vai metodoloģija, kas garantēti un 100% sagatavos
Jūsu uzņēmumu jaunajām GDPR prasībām. Iemesls: GDPR ir piemērojama katram
uzņēmumam individuāli, jo GDPR prasības
tiek attiecinātas un piesaistītas uzņēmuma biznesa procesiem, kas katram
uzņēmumam ir unikāli.
- Ja pieņem, ka kopējās darbības, kas GDPR
sakarā veicamas uzņēmumā ir 100%, tad pastāv viedoklis, ka:
- 90% aktivitāšu GDPR piemērošanai uzņēmumā sastāda juridiska rakstura un procedurālas darbības kā
rezultāta tiek radīti arī dokumenti, kas paredzēti, lai pamatotu katru darbību ar
personas datiem uzņēmuma biznesa procesu, procedūru ietvaros.
- atlikušie 10% aktivitāšu GDPR piemērošanai uzņēmumā ir IT risinājumu pielāgošana (atsevišķos gadījumos, bet retāk, arī
papildus IT risinājumu iegāde), lai atbilstu jaunradītajiem juridiskā
pamatojuma dokumentiem.
! Lai juridiskie aspekti tiktu
sabalansēti ar IT iespējām un lai izdotos iztikt bez papildu investīciju
pārmērībām IT risinājumu iegādē, rekomendējam juristiem un IT profesionāļiem
strādāt tandēmā.
- Ar jauno regulu personas datu jēdziens tiek būtiski paplašināts – tas ir pilnīgi
viss, kas var identificēt konkrētu cilvēku. Tai skaitā, epasts, vārds, uzvārds,
personas kods un darba vieta, attēls, video, dokumentu kopijas, e-pasti utt.
- Mūsuprāt, uzņēmēja risks primāri ir
tomēr mantkārīgas
privātpersonas, un tikai sekundāri tā ir valsts
vai uzraugošās iestādes!
- Lai uzsāktu GDPR ieviešanu, pēc būtības
tiek veikti auditi, lai apzinātu to, kas jāsakārto:
- Biznesa procesu tiesiskā pamatojuma
(attiecībā uz darbībām ar personas datiem) juridiskais audits (intervijas par procesiem,
pētot darbības, kas tiek veiktas ar personas datiem);
- IT
audits (intervijas un tehnikas/ IT arhitektūras testēšana).
GDPR ieviešanas rezultātā uzņēmumam jābūt sagatavotam šādam minimumam:
- Jāpierāda, ka personas datu apstrāde ir kontrolēta un uzņēmums zina, kas
kur atrodas – izstrādāts uzņēmuma personas datu apstrādes reģistra
dokuments.
- Jāparāda, ka draudi un riski ir novērtēti – izstrādāts
un spēkā esošs uzņēmuma personas datu
aizsardzības politikas dokuments.
- Jāparāda, ka uzņēmuma vadība rūpējas, lai darbinieki būtu informēti un
izglītoti – iekšējās
kārtības noteikumos jābūt radītam jaunam
blokam par datu drošību, ar ko jābūt iepazīstinātiem visiem darbiniekiem un
viņi to paraksta līdzīgi kā darba vai ugunsdrošības instruktāžas dokumentu.
Turpmāk pastāvīgi jāpaaugstina uzņēmuma darbinieku datorprasmes (šobrīd IT
sfērā ir pieejami arī tehniski, automatizēti risinājumi, kas gan apmāca
darbiniekus, gan eksaminē).
- Jāparāda, ka uzņēmums ir izvērtējis riskus un nokārtojis atbildību par
personas datiem, kas tiek nodoti ārpus uzņēmuma vai tie ir pieejami no trešajām
pusēm – jānoslēdz speciālu
līgumu, papildvienošanos ar visiem (!) sadarbības partneriem, ar kuriem
sanāk jebkāda datu apmaiņa, kur var parādīties personas dati. Piemēram,
grāmatvedības vai IT ārpakalpojumu sniedzēji, Reklāmas pakalpojumu sniedzēji,
Hostinga kompānijas, kuras uztur web sistēmas ar datu bāzēm utt..
- Jāparāda, ka ir gatavība un spēja rīkoties pie incidentiem – jābūt izstrādātiem, sagatavotiem speciāliem dokumentu templeitiem un aprakstītām procedūrām, kā arī
sagatavotiem visiem dokumentiem, kas
apstrādā incidentu vai datu subjekta prasījumus.
Nianses:
- Par datu zūdību, zagšanas vai sabotāžas
notikumiem (visiem notikumiem, kur IR vai VAR BŪT ietekmētas privātpersonas) uzņēmumam
ir jāziņo regulā noteiktā kārtībā – 72h
laikā no fakta konstatācijas
neatkarīgi no tā, kad incidents ir noticis.
- Runa ir tikai par dzīvas fiziskās personas datiem! Tai skaitā individuālo
komersantu datiem, juridisko klientu darbinieku personas datiem.
- Sajūta, ka iepriekš saņemtās (klientu)
piekrišanas (piem., klientu anketās) ir derīgas arī turpmāk, var izrādīties nepamatota – tāpēc jāpārskata
šīs piekrišanas – vai tās ir spēkā jauno noteikumu ietvaros!
- Ir aizliegts
glabāt nepareizus personas datus un
ir aizliegts tos glabāt bezgalīgi!
- Uzņēmums nevar tieši pārnest atbildību par datu drošības pārkāpumiem uz
darbinieku!
- Regula attiecas ne tikai uz IT
sistēmām, bet arī uz video novērošanu, telefoniju, fiziskās drošības un
piekļuves sistēmām, dokumentiem papīra formātā utt!
- Pēc 25. maija NAV jāreģistrējas Valsts
datu inspekcijā, bet jābūt gataviem reaģēt un pierādīt savu sagatavotību (ir izpildīti un pārbaudes laikā uzrādāmi
vismaz 1.-5. punktā norādītie dokumenti)!
- Datu
aizsardzības speciālista obligātā vajadzība šobrīd ir uz jautājuma zīmes.
Ko darīt tālāk?
Turpmākās darbības alternatīvas:
a)
Pirmais ceļš. Izdarīt vismaz pamatlietas ar paša uzņēmuma resursiem.
Mēs, SIA “iT on”, šajā tēmā esam iedziļinājušies, apmeklējot
vairākas GDPR apmācības. Šobrīd spējam sniegt atbalstu pamatjautājumos un piedāvājam konsultācijas
un praktisku palīdzību dokumentu izstādei - tātad - kā Jums radīt savā uzņēmumā sākotnējo gatavību.
Ieguvumi:
- sakārtotas optimālā minimuma līmenī datu aizsardzības un apstrādes procedūras, gan principā, gan GDPR sakarā;
- naudas sodu risks būs pieticīgāks vai nebūs vispār;
- iespējami samazināta konflikta
iespējamība ar personas datu īpašnieku.
Riski: nosacīts juridiskā pamatojuma
risks konflikta gadījumos.
Kvalificēta
jurista pakalpojumi ārštatā būtu ieteicami, dažkārt pat noteikti vajadzīgi. Un tad, ja
juristam uzdosiet veikt jau izveidotas GDPR dokumentācijas pārbaudi, tai faktiski vajadzētu būt ātrākai un lētākai.
Investīcijas:
- uzņēmuma darbaspēks;
- SIA “iT on” konsultācijas;
- jurists ārpakalpojumā (iespējams un kaut
kādam konkrētam risinājumam, pārbaudei).
Kopsavilkums: no juridiskā pamatojuma, biznesa procesu un IT risinājumu viedokļa
izdarīts optimālais minimums, lai uzņēmums spētu sevi aizsargāt. Investīciju
ziņā: optimālais, iespējams, pats
lētākais variants perspektīvā.
b)
Otrais ceļš. Vērsties pie DVI (Datu valsts inspekcijas) sertificēta speciālista vai kompānijas, kas izveiks visu procedūru kopumā.
Ieguvumi:
- sakārtotas pamatlietas un vēl specifiskas, juridiskas nianses GDPR
sakarā;
- naudas sodu risks būs pieticīgāks vai nebūs vispār;
- iespējami samazināta konflikta
iespējamība ar personas datu īpašnieku.
Riski: nav tādu kompāniju, kas var
garantēt, ka pēc šī pakalpojuma saņemšanas būsiet 100% pasargāts, jo Latvijas
tiesu praksē GDPR tēma, salīdzinoši, ir jauna, bez kliedzošiem precedentiem. Šobrīd, pamatojoties uz ārkārtēju pieprasījumu, tas ir naudas ietilpīgs pasākums.
Investīcijas:
- uzņēmuma darbaspēks;
- Speciālistu komanda;
- Iesakām apsvērt par sava jurista
piesaisti, kas pirmkārt pārstāv Jūsu pusi.
Kopsavilkums: no juridiskā pamatojuma, biznesa procesu un IT risinājumu viedokļa
izdarīts maksimums, lai uzņēmums spētu sevi aizsargāt. Investīciju ziņā: momentāni dārgākais, bet, iespējams – lētākais
variants ilgtermiņa perspektīvā (it īpaši ja bijāt plānojuši pārbaudīt un sakārtot savu IT infrastruktūru un uzņēmuma procesus).
c)
Trešais ceļš. Ļaut notikumiem iet savu gaidu, sagaidot pirmos precedentus.
Risks: Iespējams – pats dārgākais
risinājums, kad iestājas precedents, datu noplūde vai uzņēmumā ierodas datu aizsardzību uzraugošā iestāde.
Kopsavilkums: augsta riska pakāpe. Turklāt, izskatās, ka GDPR jautājums Latvijas
likumdošanā ir “uz palikšanu”. Turklāt
brīdī, kad skaļai publicitātē nonāks pirmās precedenta lietas, būs dažādos
procesuālos statusos daudzas citas. Tāpēc – gaidot pirmās precedenta lietas var
sanākt “iekrist”. Tas jau ir zināms, ka no tiesas un DVI puses tas, ka uzņēmums NEKO nav darījis, būs vainu būtiski pastiprinošs apstāklis.