Datu pārpilnība – ne vienmēr bagātība • IR.lv

Datu pārpilnība – ne vienmēr bagātība

Raksta autore Katrīne Pļaviņa. Publicitātes foto
Katrīne Pļaviņa

Jau trīsarpusi mēnešus spēkā ir stājusies Vispārīgā datu aizsardzības regula, kas visā Eiropā nodrošina vienotu regulējumu personas datu apstrādei un aizsardzībai. Vistiešākajā mērā tā skar ikvienu komersantu, kas uzglabā un apstrādā fizisko personu datus, un jo vairāk šo datu ir komersanta rīcībā, jo lielāki ir datu apstrādes riski. Nodrošinot regulai atbilstošu uzņēmuma darbību, faktiski notiek šo risku apzināšana, preventīvi parūpējoties par to novēršanu. Un, lai arī liekas, ka šis process uzņēmējam sagādā virkni papildus rūpju, ilgtermiņā tas sniegs arī daudz ieguvumu. Ērtāka starptautiskā darbība, apgūstot jaunus Eiropas tirgus, zinošāki darbinieki un sakārtotas datu bāzes – ir tikai daļa no tiem. Un, protams, arī izvairīšanās no sodiem, kas var tikt piemēroti regulas pārkāpšanas gadījumos. Vairums pašmāju uzņēmumu vēl ir ceļā uz šo risku apzināšanu un novēršanu, saprotot, ka datu pārpilnība ne vienmēr ir bagātība – dažkārt tā var būt arī nasta.

Regulai visgatavākie ir lielie uzņēmumi

Ja pavērtē, cik gatavi regulas prasību ievērošanai ir Latvijas uzņēmumi, jāteic, ka visnopietnāk šī jautājuma sakārtošanai savlaicīgi pievērsās lielie uzņēmumi jeb tie, kuru kopējais apgrozījums sasniedz vismaz vienu miljonu eiro. Tikmēr datu apstrādes risku apzināšanas un novēršanas process vēl priekšā ir lielai daļai vidējo un mazo uzņēmumu. Šī tendence, protams, nepārsteidz – lielajiem uzņēmumiem ir lielākas datu saimniecības, kas pastiprina datu apstrādes riskus un liek arī nopietnāk paraudzīties uz šo risku novēršanu. Līdz ar to teju visi lielie uzņēmumi ir parūpējušies par auditu, kas ļāvis pa soļiem saprast tālāko rīcību un saplānot aktivitātes uzglabājamo datu aizsardzības nodrošināšanai.

Tiklīdz esam sapratuši, kādus personas datus uzglabājam un apstrādājam un kā uz tiem attiecas regula, varam ķerties pie šiem sagatavošanās darbiem – cik laika un līdzekļu ietilpīgs būs šis process ir ļoti atkarīgs no uzņēmuma darba specifikas. Vērtējot datu apstrādes riskus uzņēmumā, varu ieteikt iepazīties ar tehnoloģiju uzņēmuma SIA “Datakom” risku klasifikatoru, kurš tapa sadarbībā ar zvērinātu advokātu biroju “Vilgerts”, tas pieejams uzņēmuma mājaslapā. Novērtējuma klasifikatorā sagatavoti deviņi jautājumi, uz kuriem atbildot noteikti radīsies izpratne par potenciālo risku lielumu.

Var cerēt, ka riski neiestāsies, taču regulu tas neatceļ

Ikvienam uzņēmējam ir tiesības cerēt, ka datu apstrādes riski neiestāsies, klienti nerakstīs sūdzības Datu valsts inspekcijai un iespējamie sodi par regulas neievērošanu ies secen. Vēl nesen liela daļa uzņēmumu uzglabāja pilnīgi visus datus, kas nonāk viņu rīcībā, neizvērtējot, kura informācija netiek izmantota un tikai aizņem disku masīva vietu. Tas, ka gadiem uzkrātā informācija nav apkopota pārskatāmās datu bāzēs, ir otrs novērojums. Pirmkārt, var izrādīties, ka, uzglabājot šo informāciju pašreizējā veidā, tiek pārkāpta regula, otrkārt – pavisam noteikti šāda pieeja neveicina efektīvu uzņēmuma darbību. Turklāt novērots, ka ne tikai personas dati, bet arī komercnoslēpumi tiek uzglabāti datoros bez parolēm un šifrēšanas funkcijas – tā ir ļoti nevīžīga attieksme pret vērtīgu informāciju un tās uzglabāšanas drošību, un, ja regulas stāšanās spēkā veicinās šādu absurdu situāciju novēršanu, tas ir tikai paša komersanta interesēs.

Tāpēc, domājot par sagatavošanos regulas prasībām, ieteiktu uzņēmējiem to darīt pirmkārt sevis dēļ, nevis tāpēc, ka to pēkšņi pieprasa spēkā stājusies regula. Tieši ar šādu attieksmi sanācis sastapties Ziemeļvalstīs, kur uzņēmēji nevis jautā “kāpēc vajag?”, bet gan “ko vajag darīt?”, lai parūpētos, ka netiek aizskarts viņu klientu privātums. Regula ir stājusies spēkā, nav vajadzības uzdot retoriskus jautājumus par tās lietderību, labāk šo enerģiju ieguldīt uzņēmuma procesu efektivizācijā.

Izmantot iespēju atbrīvoties no liekas nastas

Nevaram noliegt, ka mūsdienās datiem ir izteikti liela vērtība. Un tomēr tikai tiem datiem, kurus likumīgi un racionāli izmantojam un kas ir nepieciešami organizācijas darbībai. Regula paredz dažādus izņēmumus, piemēram, attiecībā uz īpašas kategorijas datiem, ko uzglabā dažādas slimnīcas, jo šie dati ir nepieciešami personas ārstniecības vajadzībām – detalizēta slimību vēsture utt. Tomēr arī šajā gadījumā tiek uzglabāts daudz liekas informācijas. Piemēram, uzglabājot informāciju par konkrētā vecumā personai veiktu vakcīnu, visticamāk, nebūs svarīgi zināt, kā sauca medmāsiņu, kas šo poti veica. Un šis vārds/uzvārds ir personas dati, kam jābūt aizsargātiem un nav nepieciešamības tos nepamatoti uzglabāt.

Datu pārpilnība ne vienmēr ir bagātība, un līdz ar regulu ir pienācis laiks atbrīvoties no tās informācijas, kas drīzāk jau gadiem bijusi kā nasta, bet slinkuma vai citu iemeslu dēļ līdz šim nav sanācis no tās atbrīvoties. Kad reiz šī nasta var rezultēties arī nepatīkamos sodos, –  ir vērts saņemties un tikt no tās vaļā.

 

Autore ir GDPR un regulēto nozaru prakses vadītāja, ZAB “Vilgerts”

Pagaidām nav neviena komentāra

Saņem svarīgākās ziņas katru darba dienas rītu