Mazo uzņēmēju lielie izaicinājumi datu regulas ieviešanā

Ilustratīvs attēls no pixabay.com
Ivo Krievs
Print Friendly, PDF & Email

Jau pavisam drīz, 2018. gada 25. maijā, visiem komersantiem, organizācijām, valsts un pašvaldību iestādēm būs jāievēro un jāpiemēro Vispārīgā datu aizsardzības regula. Plašsaziņas līdzekļos daudz tiek diskutēts par to, vai mēs esam gatavi regulas ieviešanai, taču būtiski ir savlaicīgi noskaidrot, kuri regulas punkti varētu būt lielākie klupšanas akmeņi mazajiem un vidējiem uzņēmējiem (MVU), kam jāpievērš lielākā uzmanība un ar ko vajadzētu sākt, lai ieviestu kārtību savā datu plauktiņā.

4% no apgrozījuma – sods, lai iebiedētu

Daudzi ir satraukti, jo regula par pārkāpumiem paredz sodu, kas var sasniegt 20 miljonus eiro vai 4% no uzņēmuma apgrozījuma. Tas ir maksimālais sods, galvenokārt paredzēts, lai regulu tiešām ņemtu vērā. Lai gan soda apmērs ir iespaidīgs mārketinga rīks dažādu konsultantu arsenālā, tomēr nevajadzētu ļauties panikai un cerēt, ka kāds no ārpuses atnāks un radīs perfektu kārtību. Labākais instruments datu apstrādes atbilstības nodrošināšanai regulas prasībām ir pašiem pēc būtības iedziļināties savos procesos un tos sakārtot, galvenokārt tāpēc, ka neviens no ārpuses nezina attiecīgā uzņēmuma vajadzības un nepieciešamības tik labi, kā paši uzņēmuma darbinieki un vadība.

Šajā gadījumā efektīvs risinājums ir pastāvīga datu speciālista piesaiste vai savu darbinieku apmācīšana, kas izpētītu uzņēmuma procesus, un spētu rast atbilstošākos risinājumus. Ja uzņēmums spēs parādīt, ka tas pastāvīgi rūpējas par datu aizsardzību un vēlēsies aizsargāt tā pārziņā esošos datus, esmu pārliecināts, ka pat incidenta gadījumā uzņēmumam netiks piemērots maksimālais sods.

“Datu inventarizāciju” labāk veikt pašiem

Regula attiecas tikai uz fiziskās personas datiem, un tajā pašā laikā – ne tikai. Tāpēc pirmais, kas katram uzņēmumam būtu jādara – jāveic datu audits jeb uzņēmumā esošo datu inventarizācija. Turklāt iesaku to veikt pašiem, nevis pieaicināt speciālistu.

Kāpēc labāk pašiem? Pirmkārt, jau iepriekš minētie iemesli par savu procesu un vajadzību pārzināšanu, kā arī tas, ka uzņēmuma darbiniekiem ir jāizprot savas datu plūsmas – tas palīdzēs drošāk darboties ar datiem nākotnē, jo būs izpratne par to, kas un kāpēc tiek apstrādāts. Ja tiks piesaistīts eksperts no ārpuses, var gadīties, ka pašiem darbiniekiem un vadībai nebūs vēlēšanās iedziļināties procesos, bet, kad konsultants aizies, pastāv risks, ka uzņēmums var neapzināti izdarīt datu aizsardzības pārkāpumu, jo pietrūks izpratnes. Datu aizsardzība ir nepārtraukts process, par datu apstrādes atbilstību regulai ir un būs jārūpējas pastāvīgi. Otrkārt, tas ir arī interesants process – pašiem izprast, kāpēc un kādi dati uzņēmuma rīcībā atrodas un, iespējams, sakārtojot apstrādātos datus arī uzlabot savus procesus, tādējādi arī paaugstinot sniegto pakalpojumu kvalitāti un uzņēmuma tēlu klientu vidū.

Ar ko sākt savu datu sakārtošanu?

Sākotnēji jākonstatē, kādi dati uzņēmuma rīcībā atrodas. Kā atsevišķu bloku ieteicams izvērtēt personāla datus, kas atrodas visās informācijas sistēmās, papīra formātā, grāmatvedībā u.c.

Otrais bloks – klientu dati – var būt pietiekami apjomīgs, ja klienti ir fiziskās personas. Gadījumos, kad klienti ir tikai juridiskās personas, ieteiktu pievērst uzmanību tam, ka arī juridisko personu dati var saturēt fiziskas personas datus, piemēram, ja līgumā starp diviem uzņēmumiem ir ietverti paraksttiesīgo personu vai pilnvaroto personu dati, kontaktpersonu dati u.tml.

Trešais bloks ir sadarbības partneri – kādi viņu dati tiek glabāti un kādas ir datu drošības mērķiem nepieciešamās datu apstrādes, piemēram, video novērošana, piekļuves sistēmu telpām organizācija.

Tiesības tikt aizmirstam ir pārprastas

Viens no lielākajiem mītiem, kas pavada šo regulu, ir tāds, ka visi datu subjekti tagad varēs pieprasīt pārziņiem bez ierunām izdzēst to datus. Šīs tiesības ir pārprastas.

Pieprasīt izdzēst datus varēs tikai tad, ja datu uzglabāšanai nav tiesiska pamata vai datu apstrāde ir pārmērīga. Tātad, ja datu subjekts pieprasa dzēst viņa datus, uzņēmējam ir jāspēj paskaidrot, kāpēc viņš glabā šos datus. Pamatojums var būt dažāds: līgumsaistību izpilde, likuma prasību izpilde, dažādas pārziņa leģitīmas intereses u.tml. Piemēram, Likums par grāmatvedību uzņēmumam liek noteiktu laiku glabāt dažādus attaisnojuma dokumentus u.tml. Pamatoti būtu uzglabāt datus arī pēc tiesisko attiecību izbeigšanas, lai strīda gadījumā uzņēmumam būtu iespēja pierādīt, ka tas ir, piemēram, izpildījis līguma saistības. Šajā gadījumā vajadzētu padomāt par noilguma termiņiem.

Regulā ir noteikts, ka pārzinim ne vēlāk kā viena mēneša laikā ir jāsniedz atbilde datu subjektam, tāpēc lai, pieprasījumu saņemšanas gadījumā nebūtu panikā jādomā tiesiskie pamati un cita pamatojošā informācija, jau laikus piefiksējiet uzņēmumā apstrādātos datus un izvērtējiet atbilstošāko tiesisko pamatojumu to apstrādei, proti, kāpēc tie tiek uzglabāti. Ja nespējat atrast pamatojumu datu apstrādei, labāk no tiem atbrīvoties, tādējādi nepakļaujot sevi nelikumīgas datu apstrādes riskam un sodam. Šādi datu subjektu pieprasījumi noteikti būs un ar to ir jārēķinās.

Regula liek būt atbildīgākiem

Datu regula ir salīdzinoši elastīga, kas, manuprāt, ir ļoti labi. Tas uzņēmējiem liek būt atbildīgākiem. Regula liek domāt pašiem līdzi, nevis akli izpildīt normatīvo aktu prasības. Regulā iekļautie principi ir ļoti cieši saistīti ar ikdienas biznesu un tā vajadzībām, piemēram, lai īstenotu dzīvē datu minimizācijas jeb proporcionalitātes principu, uzņēmumā ir jāsaprot, kāds ir minimālais apstrādājamo datu apjoms biznesa mērķu sasniegšanai un to, ka regula neatbalsta principu “vispirms savācam visu, ko varam savākt, bet pēc tam domāsim, ko ar datiem darīsim”. Slēdzot līgumus ar klientu, ievāciet tikai tos datus, kuri patiešām ir nepieciešami līguma izpildei vai pakalpojumu sniegšanai, tāpat arī pieprasot informāciju no pretendentiem darba attiecībās.

Tāpat svarīgi ir savlaicīgi informēt klientus, sadarbības partnerus un darbiniekus par to, kādam nolūkam pieprasāt viņu datus, ko ar tiem darīsiet, cik ilgi uzglabāsiet un kāpēc.

Uz ko var “iekrist” MVU

Raugoties uz regulas saturu, pieļauju, ka klupšanas akmeņi varētu būt, piemēram, spēja pareizi definēt tiesisko pamatu datu apstrādei, datu minimizācijas jeb proporcionalitātes izvērtējums, leģitīmās intereses definēšana u.c. Es pieļauju, ka problēma varētu būt arī atrast visus datus, kas uzņēmumā tiek apstrādāti, piemēram, izpratnes problēmu dēļ par to, kas ir dati.

Tāpēc aicinu atcerēties, ka dati nav tikai personas kods, adrese, telefona numurs u.c. Ja darbinieks izmanto uzņēmuma auto un tajā ir GPS sistēma, tad dati, ko sistēma fiksē, jau ir darbinieka personas dati, jo atspoguļo, kur šī persona ikdienā pārvietojas. Dati ir arī interneta vēsture darbinieka datorā, ja ir skaidri zināms, kurš darbinieks strādā ar attiecīgo datoru u.tml.

Īpašu uzmanību iesaku pievērst uzņēmuma komunikācijai ar datu subjektu, proti, kā viņš tiks informēts par savu datu apstrādi un citiem aspektiem, ko nosaka regula. Kā jau tika minēts, vislabāk to atrunāt jau līgumā vai privātuma noteikumos, proti, informēt datu subjektu par jautājumiem, kas saistīti ar viņu datu apstrādi – kurš datus apstrādās, kādi ir tiesiskie pamati, kādi mērķi, cik ilgi glabās, vai dati varētu tikt sūtīti ārpus ES u.tml.

“Kašķīgs klients”

Uzņēmējiem, kas strādā ar klientiem un veido datu bāzes u.tml., iesaku uzglabāt tikai pašu nepieciešamāko informāciju. Nereti klientu datu bāzēs tiek ievietoti arī papildus komentāri, piemēram, “pa dienu neatbild, zvanīt tikai vakaros”, “ļoti prasīgs un kašķīgs” u.c., kas arī ir uzskatāmi par personas datiem. Ieteiktu pārvērtēt, vai šāda veida subjektīvo informāciju uzņēmumam tiešām ir nepieciešams apstrādāt, jo tad, ja klients pieprasīs informāciju par to, kādus datus par viņu uzglabā, tas viss būs jādara klientam zināms. Pieļauju, ka informācijas sniegšana par to, ka klients ir novērtēts kā kašķīgs, uzņēmumam varētu radīt reputācijas riskus.

Par pārkāpumu labāk ziņot pašiem

Būtiskākais datu apstrādes pārkāpums noteikti ir datu noplūde. Ik pa laikam medijos parādās ziņas par to, ka kāda datu bāze ir “uzlauzta”, tomēr šajā aspektā lielāko risku rada, nevis IT resursu apdraudējums, kur pieļauju, ka IT speciālisti būs galvenos riskus minimizējuši vai novērsuši, bet gan cilvēciskais faktors – darbinieks. Turklāt bieži darbinieki pārkāpumus datu aizsardzības jomā izdara neapzinoties, ka tas ir nepareizi. Tāpēc ļoti svarīgi ir darbiniekus apmācīt par to, kas ir dati un ko ar tiem drīkst vai nedrīkst darīt.

Tāpat vajadzētu izvērtēt, kuri darbinieki piekļūst datiem, pēc iespējas samazinot darbinieku skaitu, kuriem ir piešķirta piekļuve datiem. Sadaliet darbiniekiem lomas, lai nebūtu tā, ka klientu konsultants redz arī informāciju par savu kolēģu darba algām, ko vajadzētu redzēt tikai personāla struktūrvienībai un grāmatvežiem. Par incidentiem runājot, svarīgi būtu pieminēt, ka regula pieprasīs par incidentiem (datu noplūde, datu nejauša nosūtīšana nepareiziem adresātiem u.c.) informēt Datu valsts inspekciju un atsevišķos gadījumos arī pašu datu subjektu, līdz ar to ir jāizstrādā iekšēja kārtība, kā incidenti tiks fiksēti un kā notiks ziņošana, lai nenokavētu ziņošanas termiņu – 72 stundas no incidenta konstatēšanas brīža.

Nevajadzētu pieļaut praksi neziņot par pārkāpumiem Datu valsts inspekcijai, jo ir jārēķinās, ka tad, kad Datu valsts inspekcija par to uzzinās, pie soda apmēra noteikti tiks ņemts vērā arī neziņošanas fakts. Manuprāt, nevajadzētu uzskatīt Datu valsts inspekciju par represīvu iestādi, kuras pašmērķis būtu sodīt uzņēmumus. Līdzšinējā Datu valsts inspekcijas prakse ir pierādījusi, ka tā cenšas iedziļināties situācijā un izprast uzņēmuma lomu pārkāpumā.

 

Autors ir Eiropas personas datu aizsardzības speciālists (CIPP/E), Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas dibinātājs un valdes loceklis, Biznesa augstskolas Turība lektors

Pagaidām nav neviena komentāra

Lai pievienotu komentāru, vai ienāc ar:

Saņem svarīgākās ziņas katru darba dienas rītu