Jau kopš 2014. gada ir notikuši lielāki un mazāki maksas un bezmaksas informatīvie semināri un konferences, kurās ir stāstīts par Vispārīgās datu aizsardzības regulas prasībām, par to, kādas ir izmaiņas, kas jāņem vērā, gatavojoties tās ieviešanai u. tml. Tomēr, ja jāvērtē attieksme kopumā, tad pagaidām tā nav īpaši nopietna. Taču palicis tikai gads. Gads, kura laikā ir jāsaprot: cik laba vai slikta situācija ar datu aizsardzību ir uzņēmumā? Kas ir tas, kā pietrūkst? Kā to, kā pietrūkst, ieviest? Cik šie risinājumi maksās, un kur šīm investīcijām tiks ņemti līdzekļi?
Likumu pēc būtības neievēro
Jā, tā ir taisnība! Ja pārzinis šobrīd 100% ievēro Fizisko personu datu aizsardzības likuma prasības, tad Vispārīgai datu aizsardzības regulai atkarībā no jomas specifikas šis pārzinis ir gatavs tikai par 80–90%. Taču nelaime ir tā, ka lielākā daļa pārziņu Fizisko personu datu aizsardzības likumu pēc būtības šobrīd neievēro.
Piemēram, viens no izplatītākajiem tiesiskajiem pamatiem datu apstrādei – datu subjekta piekrišana – bieži ir noformēts neatbilstoši normatīvo aktu prasībām. Savukārt Vispārīgā datu aizsardzības regula paredz ļoti nopietni reorganizēt piekrišanas iegūšanas algoritmu. Piebildīšu, ka tās piekrišanas, kuras būs dotas pirms 2018. gada 25. maija un neatbildīs Vispārīgās datu aizsardzības regulas prasībām, būs spēkā neesošas. Tātad arī datu apstrāde, kura pamatojas uz šādu piekrišanu, būtībā būs prettiesiska un, izrietoši, izbeidzama. Ļoti ceru, ka šī ziņa beidzot kādam liks aktīvāk rīkoties.
"Speciālistu šobrīd darba tirgū nav pietiekami daudz. Līdz ar to pārziņiem būtu pēdējais laiks meklēt sadarbības partnerus vai apmācīt speciālistu no iekšējiem resursiem."
Ir arī citas būtiskas izmaiņas, kurām sākt gatavoties ir pats pēdējais brīdis. Viena no tām – sākotnējā informācija, kura jāizpauž datu subjektam, ir būtiski plašāka nekā šobrīd (šobrīd jānorāda tikai pārziņa nosaukums, adrese un datu apstrādes mērķis).
Paredzēta arī obligāta fizisko personu datu aizsardzības speciālista iecelšana situācijās, kurās tiek veikta sensitīvo datu apstrāde un datu subjektu profilēšana (profilēšana nozīmē dažādu kritēriju analīzi, pamatojoties uz kuriem tiek pieņemts lēmums par datu subjektu, piemēram, kreditēšanas joma, apdrošināšana u. tml.) kā pamata darbības veids, kā arī publiskajā sektorā. Šis ir obligāts pienākums, par kura neizpildi paredzēti bargi sodi, bet speciālistu šobrīd darba tirgū nav pietiekami daudz. Līdz ar to pārziņiem būtu pēdējais laiks meklēt sadarbības partnerus vai apmācīt speciālistu no iekšējiem resursiem.
"Godīgi sakot, lielākā daļa pārziņu Fizisko personu datu aizsardzības likumu pēc būtības neievēro. Tikmēr Vispārīgā datu aizsardzības regula paredz ar vairākām nullēm rakstāmas soda sankcijas."
Jaunajā regulējumā ietverta pilnīga fizisko personu datu aizsardzības ievērošana pēc noklusējuma, tostarp arī informācijas drošības nodrošināšana. Piemēram, Vispārīgā datu aizsardzības regula paredz gadījumos, kad tas ir samērīgi un pamatoti, datu subjektu pseidonimizēšanu [personas datiem tiek noņemti personas identifikatori, taču ir saglabāta saikne uz šiem personas identifikatoriem tā, ka datus ar datu subjektu var sasaistīt ikviens, kam ir piekļuve sasaistes kodiem. Red. piezīme], šifrēšanas izmantošanu un ļoti detalizētus līgumus ar personas datu operatoriem jeb apstrādātājiem (jebkuriem ārējiem resursiem, kas iesaistīti datu apstrādē).
Svarīgs aspekts – paredzēta uzraudzības iestādes un datu subjektu informēšana par drošības incidentiem, sniedzot detalizētu informāciju 72 stundu (!) laikā pēc incidenta. Tātad, ja incidents notiek 23. decembrī, incidenta izvērtēšanā iesaistītajiem Ziemassvētku svinēšana būs diezgan sarežģīta. Tas nozīmē, ka nepieciešamas nopietnas izmaiņas iespējamo incidentu izmeklēšanai būtisko darbinieku darba līgumos, vai arī jāmeklē attiecīgs pakalpojumu sniedzējs. Svarīgi atzīmēt, tā kā Vispārīgā datu aizsardzības regula paredz pārziņa obligātu pienākumu konstatēt datu aizsardzības incidentus, lielā daļā gadījumu ir nepieciešami papildu ieguldījumi dažādos monitoringa un aizsardzības rīkos (piemēram, DLP – datu zudumu novēršanas sistēma, SIEM – drošības informācijas un notikumu pārvaldības sistēma, u. tml.), kuri ir ne tikai jānopērk, bet arī jāievieš. Parasti pilnvērtīga šādu sistēmu ieviešana aizņem aptuveni gadu, līdz ar to, atliekot šo prasību izpildi, tās nebūs iespējams laikā ieviest.
Par ko vajadzētu aizdomāties
Šīs nebūt nav visas izmaiņas, taču jau ar šo uzskaitījumu vajadzētu pietikt, lai uzņēmēji saprastu, ka ir pats pēdējais laiks sākt rīkoties. Iespējams, nav labais tonis biedēt ar sankcijām, tomēr ir dažas nianses, par kurām vajadzētu aizdomāties:
- Maksimālais sods par dažiem personas datu aizsardzības pārkāpumu veidiem var sasniegt un pat pārsniegt 20 000 000 (divdesmit miljonus) eiro. Par citiem, mazākiem, pārkāpumiem tas ir "tikai" 10 000 000 (desmit miljoni) eiro.
- Regula – tas ir tieši piemērojams normatīvais akts, kura prasības un sankcijas ir vienādas gan turīgajā Vācijā, gan ne tik turīgajā Latvijā, tātad analogu pārkāpumu gadījumā – analogi sodi.
- Uzraudzības iestādei – Latvijas gadījumā Datu valsts inspekcijai – ir obligāti jāpalielina gan sava kapacitāte (darbinieku skaits), gan kompetence, gan arī jābūt pilnībā neatkarīgai (šobrīd – Tieslietu ministrijas pārraudzībā esoša iestāde). Tas nozīmē, ka iespēja, ka pārkāpums tiks konstatēts, pieaugs. Turklāt arī datu subjekti kļūst aizvien informētāki par savām tiesībām.
Rezumējot – šis ir patiešām pats pēdējais brīdis, lai nopietni sāktu gatavoties 2018. gada 25. maijam. Ja tas netiek darīts, pienākot minētajam datumam un saņemot iespaidīgu sodu, kas rakstāms ar vairākām nullēm, nevajag sākt publiski raudāt par slikto Eiropu, valdību un netaisnīgo pasauli.
Kritērijus, kas jāņem vērā uzņēmējam, izvērtējot, vai uz viņu attiecas prasība obligāti ieviest personas datu aizsardzības speciālista amatu, esmu izklāstījis priekšlasījumā konferencē "Digitālā ēra" 2017. gada 26. aprīlī, kas pieejams tiešsaistē.