Publicēts pirms 5 gadiem. Izvērtē satura aktualitāti! >>
FOTO: Freepik
25. maijā aprit gads, kopš Eiropas Savienībā, tostarp arī Latvijā, sāka piemērot Vispārīgās datu aizsardzības regulas prasības. Tā kā regula pastiprina pārziņu atbildību un pārkāpumu gadījumā paredz vērā ņemamus naudas sodus, daudzi šo brīdi gaidīja ar bažām. Gaidītais “pasaules gals” iestājies nav, taču LV portāla aptaujātie datu aizsardzības speciālisti norāda, ka nepamatots atslābums gan. Viņuprāt, līdzšinējais saudzēšanas režīms tuvojas noslēgumam. To apliecina jau pirmais vērā ņemamais sods Lietuvā par pārkāpumu, kura izmeklēšanā ir piedalījusies arī Latvijas uzraudzības iestāde.
Sākot piemērot Vispārīgo datu aizsardzības regulu, nacionālā mēroga uzraudzības iestāde, Datu valsts inspekcija uzsvēra, ka savā darbībā ievēros “Konsultē vispirms” principu. “Tas nozīmē, ka primāri Datu valsts inspekcija konsultē klientus un sniedz tiem atbalstu. Tā darījām gan pirms Vispārīgās datu aizsardzības regulas piemērošanas uzsākšanas 2018. gada 25. maijā, gan arī pašlaik. Uzskatām, ka galvenais ir būt klientam uzticamam palīgam un sadarbības partnerim, īstenojot regulā noteiktās prasības,” LV portālam skaidro DVI direktore Daiga Avdejanova.
“Neraugoties uz ierobežotiem resursiem, šī gada laikā inspekcija ir nodrošinājusi gan nacionālajam, gan ES regulējumam atbilstošu rīcību, tostarp DVI darbinieki konsultējuši iedzīvotājus, uzņēmumus, valsts un pašvaldību iestādes, sagatavojuši informatīvus materiālus, kas pieejami inspekcijas mājaslapā. Kopumā gada laikā izskatītas arī 1660 sūdzības,” par paveikto stāsta DVI vadītāja.
Savukārt, runājot par principa "Konsultē vispirms" īstenošanu Datu valsts inspekcijas darbā, D.Avdejanova norāda, ka 2018. gadā, konstatējot 26 datu apstrādes vai aizsardzības pārkāpumus, naudas sods tika piemērots tikai 12 gadījumos. Attiecīgi 2017.gadā, konstatējot 65 pārkāpumus, naudas sods tika piemērots 35 gadījumos. Savukārt, konstatējot maznozīmīgu pārkāpumu, inspekcija sniedza konsultatīvu atbalstu klientiem un, izmantojot regulā noteiktās korektīvās pilnvaras, "Konsultē vispirms" principu piemēroja 32 gadījumos un acināja pārziņus novērst nepilnības personas datu apstrādē un aizsardzībā.
Tomēr pretimnākošai attieksmei ir arī savi blakus efekti. “Vispārīgā datu aizsardzības regulas ieviešana Latvijā ir spilgts piemērs tam, ka mums patīk dzīvot galējībās,” LV portālam norāda zvērināts advokāts un sertificēts datu aizsardzības speciālists Ivo Krievs. Ja salīdzina nesaprātīgo paniku, kas pārņēma daļu uzņēmumu pirms gada, redzot, ka šajā laikā nekas “skaļš” nav noticis, šobrīd ir iestājies sava veida atslābums.
“Liela daļa uzņēmumu, paļaudamies uz Datu valsts inspekcijas popularizēto “Konsultē vispirms” principu, regulas ieviešanai ir piegājuši formāli un praktiski ir veikuši minimālas darbības,” secina arī zvērināts advokāts un sertificēts personas datu aizsardzības speciālists Lauris Klagišs.
I. Krievs savā vērtējumā ir vēl skarbāks: “Iespējams, liela daļa pārziņu principu “Konsultē vispirms” ir pārpratuši, pieņemot, ka tiek dota zaļā gaisma nedarīt neko.” Viņam ir pamats domāt, ka liela daļa pārziņu joprojām neuzskata personas datu aizsardzību par prioritāri risināmu jautājumu. Tomēr ziņas no Eiropas par pirmajiem lielajiem sodiem liecina, ka saudzējošais pārejas laiks tomēr tuvojas beigām.
Līdz ar to atslābumam nav pamata. Sertificēts personas datu aizsardzības speciālists L. Klagišs kopš Vispārīgās datu aizsardzības regulas stāšanās spēkā ir piedalījies vairāk nekā 60 uzņēmumu auditos. Tajos gūtais priekšstats par gatavību regulas ieviešanai nevieš optimismu. “Mani klienti pārstāv visdažādākās nozares, piemēram, valsts un pašvaldību iestādes, personāla atlases, ārstniecības, kreditēšanas, mazumtirdzniecības, vairumtirdzniecības uzņēmumus u.c. Tāpēc varu droši apgalvot, ka lielākā daļa uzņēmumu Latvijā vēl nav pilnībā gatavi regulas ieviešanai un ievērošanai,” secina L. Klagišs.
Nepatīkamu ainu atklāja arī SKDS un datu aizsardzības biroja “Protectum” 2018. gada nogalē un 2019. gada sākumā kopīgi veiktais pētījums par uzņēmumu gatavību regulas prasību nodrošināšanai. Tikai 65% uzņēmumu uz jautājumu “Vai uz jūsu pārstāvēto uzņēmumu attiecas Datu regulas prasības?” atbildēja apstiprinoši. Katrs ceturtais (25,6%) uzņēmums uzskata, ka personas datu aizsardzība uz to neattiecas, kamēr 8,8% nemācēja atbildēt. Savukārt no tiem uzņēmumiem, kuri apzinās, ka regulas prasības uz tiem ir attiecināmas, tikai 39,3% atzina, ka ir izdarījuši visu, lai uzņēmuma darbība atbilstu Datu regulas prasībām un spētu tās nodrošināt. Pārējie 60,7% norādīja, ka uzņēmumā vēl ir veicami darbi Datu regulas atbilstības nodrošināšanai vai pat atzina, ka šajā jautājumā nekas nav darīts. “Līdz ar to var secināt, ka tikai ceturtā daļa Latvijas uzņēmumu uzskata, ka ir ieviesuši procesus, kas rada tiem pārliecību, ka tiek ievērotas personas datu aizsardzības prasības, kamēr cita ceturtā daļa pat necenšas Datu regulu ievērot,” secina I. Krievs.
“Diemžēl situācija ir kritiska arī valsts un pašvaldību sektorā,” secina I. Krievs. Valsts un pašvaldību iestādes ikdienā apstrādā personu datus ievērojami lielākā apjomā nekā lielākā daļa privātā sektora uzņēmumu, tāpēc to aizsardzībai būtu jāpievērš īpaša vērība. Taču personas datu aizsardzības speciālista novērojumi rāda, ka reālā situācija ir citāda. “Par to liecina dažādas nepilnības valsts iestāžu kontrolētās datu apstrādēs un formālā pieeja Datu regulas pienākumu izpildei. Piemēram, regula valsts iestādēm uzliek pienākumu datu aizsardzības sistēmas uzraudzībai piesaistīt datu aizsardzības speciālistu, taču 2019. gada sākumā Latvijas Sertificēto datu aizsardzības speciālistu asociācijas veiktā aptauja valsts sektorā apliecina, ka lielākā daļa pašvaldību un valsts iestāžu datu aizsardzības speciālistus ir piesaistījušas formāli, veltot pienākumu izpildei ļoti minimālu darba stundu skaitu,” stāsta I. Krievs. Viņaprāt, tas nevieš pārliecību, ka personu dati vienmēr tiek apstrādāti godīgi, likumīgi un atbilstoši regulas noteikumiem.
“Pirms Datu regulas piemērošanas tika izteiktas bažas par to, vai spēsim to pareizi piemērot, ņemot vērā, ka šādā formā un ar šādu ietekmi šis regulējums ir jauns. Tomēr šis gads parādīja, ka gan Eiropas Datu aizsardzības kolēģija savos viedokļos, gan uzraudzības iestādes savos lēmumos un skaidrojumos turpina iepriekš uzsākto kursu un nav būtiski mainījušas datu aizsardzības jautājumu interpretācijas, salīdzinot ar iepriekšējo regulējumu. Tādējādi tika nodrošināta arī stabilitāte un prognozējamība dažādos datu aizsardzības regulas piemērošanas jautājumos,” secina I. Krievs.
Viņaprāt, pārziņiem īpaša uzmanība būtu jāpievērš uzraudzības iestāžu un Eiropas Datu aizsardzības kolēģijas norādēm uz pārziņa atbildību par Datu regulai atbilstošas datu apstrādes veikšanu un, it īpaši, pārskatatbildības pienākuma jeb likumīgas un drošas datu apstrādes pierādīšanas pienākuma izpildi.
Kopumā, pēc I.Krieva domām, Datu regulas piemērošana attīstījusies prognozējami. Taču, viņaprāt, pieminēšanas vērts ir Eiropas Savienības Tiesas spriedums t.s. Buivida lietā, kas daudziem datu aizsardzības speciālistiem bijis negaidīts. Šīs lietas ietvaros, pretēji iepriekš nostiprinātajai praksei, Eiropas Savienības Tiesa ir paplašinājusi jēdziena "žurnālistika" izpratni, to attiecinot ne tikai uz profesionāliem žurnālistikas subjektiem, bet uz jebkuru personu, kura veic datu apstrādi ar žurnālistikas mērķa pazīmēm un apstrāde kalpo sabiedrības interesēm.
Datu aizsardzības speciālista I. Krieva ieskatā, kopumā situācija Eiropā liecina, ka datu uzraudzības iestādes pamazām sāk mosties no “konsultē vispirms” miega un cits pēc cita sāk parādīties arī vairāk vai mazāk skaļi ziņu virsraksti par pirmajiem sodītajiem uzņēmumiem un iestādēm.
Arī L. Klagišs atgādina, ka ņemot vērā ievērojamo sūdzību skaitu, Datu valsts inspekcija ir norādījusi, ka šogad pārejas posms, kurā tā bija ieņēmusi tikai konsultanta lomu, beigsies. Tas sakrīt ar Francijas datu aizsardzības uzraudzības iestādes CNIL (Commission Nationale de l’Informatique et des Libertés) paziņojumu par to, ka par neatbilstību regulas prasībām sodījusi uzņēmumu "Google LLC", piemērojot naudas sodu 50 miljoni eiro.
To, ka personas datu apstrādes uzraugi kļuvuši aktīvāki, liecina tas, ka pirmie sodi ir piemēroti arī tuvāk Latvijas tirgum. “Piemēram, Polija ir piemērojusi 220 tūkstošus eiro sodu uzņēmumam par datu subjekta tiesību pārkāpumiem. Nupat Lietuvas uzraudzības iestāde, izmeklēšanā piedaloties arī Latvijas pusei, ir piemērojusi uzņēmumam 61 tūkstoti eiro sodu par dažādu datu aizsardzības noteikumu pārkāpumiem,” zina teikt I. Krievs. Datu valsts inspekcija atklāja, ka vērā ņemamais sods piemērots kādai no kaimiņvalsts elektronisko maksājumu iestādēm.
“Veicot neformālu uzsākto lietvedību par Datu regulas pārkāpumiem apkopojumu Eiropas Savienības valstīs, ir konstatējams, ka visvairāk potenciālo datu aizsardzības pārkāpumu ir saistīti ar datu drošības nodrošināšanu jeb datu noplūdi,” secina I. Krievs. “Otra lielākā daļa pārkāpumu saistīti ar neatbilstošu datu apstrādes tiesisko pamatu noteikšanu vai to trūkumu. Savukārt trešais bloks attiecas uz datu subjektu tiesību nepienācīgu nodrošināšanu, tai skaitā neatbilstošu informēšanas pienākumu izpildi, datu kopiju neizsniegšanu u.c.”
L. Klagišs atgādina, ka ne velti personas datus mēdz salīdzināt ar 21. gadsimta naftu. Personas dati ir vērtīga informācija, kas komersantiem ļauj attīstīt savu peļņu. Taču jāatceras, ka saskaņā ar Datu regulas 6. pantu ir tikai seši iespējami tiesiskie pamati personas datu apstrādei un jebkura neatbilstība var dārgi izmaksāt.
Arī Datu valsts inspekcijas vadītāja D. Avdejanova uzsver: “Nevar izslēgt, ka arī Latvijā būtisku pārkāpumu gadījumā var tikt piemērotas sankcijas.”
Regulas noteikumi paredz, ka naudas soda apmērs var sasniegt pat 4% no apgrozījuma. “Ņemot vērā, ka Latvijas lielāko TOP uzņēmumu apgrozījums ir vidēji no 200 līdz 800 miljoniem eiro, maksimālais piemērojamais sods lielākajiem uzņēmumiem var sasniegt pat vairāk nekā 30 miljonus eiro,” spriež L. Klagišs. Kādas, viņaprāt, ir izplatītākās kļūdas, ieviešot regulu, apkopots LV portāla publikācijā 25 secinājumi Vispārējās datu aizsardzības regulas ieviešanas gaitā.
Kopumā Datu valsts inspekcijas novērojumi pēc pirmā Vispārīgās datu aizsardzības regulas gada ļauj secināt, ka izpratne par datu apstrādi un drošību tomēr palielinās. “Organizācijas, valsts un pašvaldību iestādes aizvien vairāk novērtē faktu, ka savlaicīga datu aizsardzības sakārtošana ir ieguvums un ieguldījums ilgtermiņa darbībā,” secina D. Avdejanova.
Taču datu aizsardzības speciālists I. Krievs piebilst, ka zinošākas par savām tiesībām kļūst tieši privātpersonas, kuru datus uzņēmumi un iestādes apstrādā. “Tas noteikti ir efektīvs līdzeklis, kā motivēt pārziņus nodrošināt datu aizsardzības pasākumu ieviešanu savos procesos,” uzskata I. Krievs. Arī LV portāla e-konsultāciju sadaļā iesūtītie jautājumi par personas datu aizsardzības tiesībām dažādās dzīves situācijās liecina, ka iedzīvotāju interese ir liela. Atgādinām, ka gada laikā Datu valsts inspekcija ir saņēmusi 1660 sūdzību, uz kā pamata arī tiek veiktas pārbaudes un konstatēti iespējamie pārkāpumi.
I.Krievs aicina aizdomāties, ka datu aizsardzības sistēmu ieviešana organizācijā nav uzraudzības iestāžu dēļ, bet gan apliecina rūpes par saviem klientiem un viņu privātumu. "Organizācijām jāapzinās, ka to rīcībā ir dati, kuri datu subjektiem ir svarīgi. Nekāds sods vai kompensācija nespēj atjaunot datu subjekta privātumu datu aizsardzības pārkāpumu gadījumā un atjaunot organizācijas reputāciju,” atgādina I. Krievs.
Plašāk par personas datu aizsardzības jautājumiem lasiet LV portāla sadaļā Personas dati.
