VIEDOKĻI
>
Par Latviju. Par Tevi Latvijā.
TĒMAS
Edīte Brikmane
LV portāls
04. jūlijā, 2017
Lasīšanai: 24 minūtes
RUBRIKA: Intervija
TĒMA: Personas dati
2
17
2
17

Vispārīgā datu aizsardzības regula – tiesiskā nihilisma gals datu aizsardzības jomā

LV portālam: Arnis Puksts, Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas valdes līdzpriekšsēdētājs
Publicēts pirms 7 gadiem. Izvērtē satura aktualitāti! >>

Arnis Puksts: “ Datu aizsardzība turpmāk būs jebkuras uzņēmējdarbības pamatā, jo diezin vai mēs varam iedomāties uzņēmējdarbību, kur vispār nav personu datu apstrādes, – vismaz darbinieki taču ir katram uzņēmumam.”

FOTO: Aiga Dambe, LV portāls

Pēc nepilna gada, 2018. gada 25. maijā, sāks piemērot Eiropas Savienības Vispārīgās datu aizsardzības regulu. Lai arī daudzas no regulā iekļautajām normām Latvijā ir spēkā jau šobrīd, to ievērošana tiks kontrolēta daudz stingrāk un iespējamās sankcijas par pārkāpumiem sasniegs draudīgus apmērus. “Tas nozīmē, ka biznesa vide un filozofija neatgriezeniski mainīsies no situācijas līdz regulai, kad datu aizsardzība bija ķeksīša pēc, uz situāciju pēc regulas, kad datu aizsardzība tiks veikta datu aizsardzības pēc. Tā turpmāk būs jebkuras uzņēmējdarbības pamatā,” secina Latvijas Sertificēto personas datu aizsardzības speciālistu asociācijas valdes līdzpriekšsēdētājs ARNIS PUKSTS. Tā kā attieksme pret personas datiem līdz šim Latvijā bijusi diezgan nevērīga, viņaprāt, uztraukumam ir zināms pamats un ir pats pēdējais brīdis katram uzņēmumam, kas apstrādā personu datus (gan klientu, gan darbinieku), izvērtēt atbilstību regulas prasībām un vajadzības gadījumā veikt nepieciešamās investīcijas un izmaiņas iekšējās organizācijas procesos.
īsumā
  • Mums jau 17 gadus ir spēkā Fizisko personu datu aizsardzības likums, kuru lielā mērā neviens neievēro! Ja kāds arī ievēro, tad ķeksīša pēc, izpildot minimālās prasības, proti, ir reģistrējuši datu apstrādi un viss.
  • Lai apstrādātu fiziskas personas datus, ir nepieciešamas divas būtiskas lietas. Pirmkārt, datu apstrādes mērķim ir jābūt tiesiskam. "Ja nu kādreiz ievajagas" pieeja nav tiesisks mērķis. Otra lieta ir tiesiskais pamats datu apstrādei.
  • Regula reorganizē piekrišanas iegūšanas algoritmu. Piekrišanas, kuras būs dotas pirms 2018. gada 25. maija un neatbildīs regulas prasībām, būs spēkā neesošas. Tātad arī datu apstrāde, kura pamatojas uz šādu piekrišanu, būtībā būs prettiesiska un izbeidzama.
  • Visiem uzņēmumiem, kuri nodarbojas ar datu profilēšanu, apstrādā sensitīvos fizisko personu datus vai datus par sodāmībām, kā arī publiskā sektora pārziņiem obligāti jāieceļ datu aizsardzības speciālists.
  • Obligāta prasība ir personas datu drošības līmeni pacelt tik augstu, lai par incidentiem [datu noplūdēm] pārziņi uzzinātu paši [nevis no medijiem, sociālajiem tīkliem] un spētu 72 stundu laikā izvērtēt notikušo, informēt uzraudzības iestādi un datu subjektus.   
  • Pirmais un galvenais – pārziņiem jau šodien ir jāsaprot, cik uzņēmumā sakārtota ir fizisko personu datu aizsardzības joma. To nevar paveikt bez padziļināta izvērtējuma – audita, atbilstības novērtējuma vai situācijas izpētes.

Vispārīgā datu aizsardzības regula pamazām kļūst par karsto tēmu. Vieni pamazām ceļ paniku par tuvojošos "pasaules galu", citi uzskata, ka bažas ir nepamatotas un pārspīlētas. Kādas ir jūsu domas?

Manuprāt, ne viens, ne otrs. Pasaules gals tas nav, jo tiem, kas šobrīd fizisko personu datu aizsardzības prasības ievēro par visiem simt procentiem, nav par ko uztraukties. Lielākā ķibele ir tā – kopš sāku darboties šajā nozarē 2009. gadā, neesmu redzējis nevienu pārzini,1 nedz privātajā, nedz publiskajā sektorā, kas tiešām visu par 100% ievērotu. Tāpēc zināmā mērā tas varētu būt kā mazais pasaules gals tiesiskajam nihilismam personas datu aizsardzības jomā, jo līdz ar regulas ieviešanu pieaugs uzraudzības iestādes [Datu valsts inspekcijas] kapacitāte un kompetence. Turklāt regula ir tieši piemērojams normatīvais akts visās Eiropas Savienības dalībvalstīs, kas nozīmē, ka vieglā dzīve pārziņiem beigsies un būs vienkārši jāsāk ievērot datu aizsardzības prasības.

No uzņēmējiem dzird pārmetumus, ka trūkst informācijas un konsultāciju iespējas par jautājumiem, kas ir neskaidri attiecībā uz regulu. Nav saprotams, uz ko tā attiecas, uz ko ne.

Tad viņiem vajadzētu atvērt Fizisko personu datu aizsardzības likumu un apskatīties, kurā gadā tas ir pieņemts un kad stājās spēkā. Mums jau 17 gadus ir spēkā likums, kuru lielā mērā neviens neievēro! Ja kāds arī ievēro, tad ķeksīša pēc, izpildot minimālās prasības, proti, ir reģistrējuši datu apstrādi un viss. Taču reģistrācija ir tikai viens no mazajiem pienākumiņiem, kas, veicot datu apstrādi, ir jāizdara. Sakārtota vide datu aizsardzībā nozīmē, piemēram, iekšējo dokumentāciju, kas ne tikai jāizstrādā, bet arī jāievēro. Jāseko līdzi, lai tehniskie līdzekļi atbilstu. Ja dokumentācijā ir teikts, ka jābūt parolēm ar vismaz 8 simboliem, tad sistēma nemaz nedrīkst pieļaut īsākas paroles izveidi. Ir vietas, kur pat tik triviālas prasības nav ievērotas.

Kāds tam ir iemesls?

Lielā mērā tāds, ka ir ieviesta tiesību norma, kas kaut ko paredz, bet pretī nav piespiešanas mehānisma jeb sankcijas par pārkāpumiem. Tas ir, formāli sankcija ir paredzēta, taču "soda neizbēgamības" par pārkāpumiem nav, jo uzraudzības iestādei nav pietiekamas kapacitātes. Tādēļ pārziņiem ir radies maldīgs priekšstats, ka tagad pēkšņi viņiem kaut kas tiek uzspiests.

Ja salīdzina regulu ar šobrīd spēkā esošo likumu, kādas ir galvenās atšķirības?

Pats galvenais, ka līdz ar regulas ieviešanu diezgan ievērojami tiek stiprinātas datu subjekta tiesības. Līdz ar to pārziņa pienākumi kļūst detalizētāki. Piemēram, datu subjektam ir tiesības uzzināt, kāda ir pārziņa tiesiskā interese apstrādāt viņa datus. Viens no personas datu apstrādes tiesiskajiem pamatiem ir pārziņa likumiskās intereses. Šīs intereses nav absolūtas. Šobrīd prezumpcija ir tāda, ka jāvērtē tās samērīgums ar datu subjekta privātums, proti, lai pārziņa likumiskās intereses nebūtu pārākas par datu subjekta pamattiesībām un brīvībām. Regulā ir noteikts, ka pārzinis ne tikai vērtē, bet informē arī datu subjektu, kurš pats attiecīgi var izlemt, vai pārziņa tiesiskā interese nav pārmērīga. Tā ir būtiska izmaiņa, jo šobrīd datu subjekti bieži vien neuzzina par personas datu apstrādes tiesisko pamatu. Labākajā gadījumā datu subjekts zina, ka ir tāds tiesiskais pamats – piekrišana. Daudzi uzskata, ka tas ir vienīgais, kas vajadzīgs, lai apstrādātu datus, taču tā nav. Līdz ar to tagad datu subjekti uzzinās, ka pārzinim apstrādāt datus ir tiesiska interese. Ja datu subjektam kādā brīdī liksies, ka tā nav samērīga, viņš pret to var iebilst. Ja pārzinis nebūs gatavs dzelžaini aizstāvēt savu pozīciju, visticamāk, datu apstrāde būs jābeidz.

Kā zināt, vai datu apstrādei ir tiesisks pamats?

Lai apstrādātu fiziskas personas datus, ir nepieciešamas divas būtiskas lietas. Pirmkārt, datu apstrādes mērķis jeb atbilde uz jautājumu: "Kāpēc mums nepieciešams apstrādāt šos datus?" Mērķim ir jābūt tiesiskam. "Ja nu kādreiz ievajagas" pieeja nav tiesisks mērķis. Mērķim ir jābūt skaidram un konkrētam.

Otra lieta ir tiesiskais pamats datu apstrādei. Piemēram, likumā noteikto pienākumu izpilde vai arī līgumsaistītu izpilde starp pusēm – abos minētajos gadījumos nekāda papildu piekrišana nav vajadzīga. Un tikai tad, ja citu tiesisko pamatu datu apstrādei nav, kā pēdējais salmiņš izmantojama datu subjekta piekrišana. Tas nozīmē, ka cilvēks, saprotot, kādam mērķim un kāpēc nepieciešami viņa dati, piekrīt to izmantošanai. Bez iepriekšminētajiem ir arī t.s. tiesiskā interese, kas ir jebkura likumīga interese, kas pārzinim ir vai var būt, ja tā ir samērīga ar datu subjekta pamattiesībām un brīvībām, taču, lai veiktu datu apstrādi, šādā gadījumā ir jāveic samērīguma izvērtējums.

Vai varat minēt kādu piemēru no dzīves? Piemēram, veikalu klientu karšu sistēma – vai tā ir datu apstrāde?

Tās ir tā sauktās lojalitātes kartes, kas lielākajā daļā gadījumu ir arī personas datu apstrāde (pat ja pārzinis apstrādātā tikai kontaktinformāciju par personu). Citi piemēri – personas datus apstrādā darbā iekārtošanas pakalpojumu sniedzēji, gan banku, gan nebanku kredītu izsniedzēji, medicīnas iestādes, izglītības iestādes. Protams, arī sociālie tīkli, pat jebkura mājaslapa, kuru atveram, ja šai mājaslapai ir pieslēgta analītika, jo arī IP adrese, pat dinamiskā IP adrese ir personas dati.

Vai regula paplašina terminu "personas dati"? 

Nepaplašina, jo personas dati bija, ir un pārskatāmā nākotnē būs jebkāda informācija, kas attiecas uz fizisko personu, kuru mēs varam tieši vai netieši identificēt. Mainās tas, ka regula biometriskos datus, piemēram, pirkstu nospiedumus, pieskaita pie sensitīvajiem personas datiem.

Regula paredz obligātu pienākumu iecelt datu aizsardzības speciālistu. Ko tas nozīmē?

Tas ir viens no jauninājumiem – vairākās situācijās būs obligāti vajadzīgs fizisko personu datu aizsardzības speciālists. Atšķirība ir tāda, ka šobrīd tā ir viena no izvēles iespējām. Piemēram, ja uzņēmums nodarbojas ar finanšu vai  darbā iekārtošanas pakalpojumiem vai apstrādā sensitīvus personas datus, likums paredz pienākumu vai nu reģistrēt datu apstrādi, vai norīkot datu aizsardzības speciālistu. Regula vairs šādu datu apstrādes reģistrāciju neparedz. Tā vietā turpmāk visiem uzņēmumiem, kuri jebkādā veidā pēc viņiem vien zināmiem kritērijiem izvērtē datu subjektus, nodarbojas ar datu profilēšanu, apstrādā sensitīvos fizisko personu datus vai datus par sodāmībām, kā arī publiskā sektora pārziņiem būs obligāti jāieceļ datu aizsardzības speciālists.

Kas ir datu profilēšana?

Vienkāršiem vārdiem: tas ir kritēriju kopums, kas ļauj indivīdu atšķirt no pārējiem nevis pēc identifikācijas – vārda un uzvārda, bet pēc kaut kādiem objektīviem kritērijiem. Piemēram, darbā iekārtošanas pakalpojums. Ir brīva vakance, uz kuru piesakās pieci kandidāti. Tiek izvēlēts viens atbilstošākais pretendents, izvērtējot kaut kādus noteiktus kritērijus. Tāpat finanšu pakalpojumi – vienam klientam tiek piešķirts kredīts, otram netiek. Vienam klientam tiek piedāvāta mazāka procentu likme, citam – augstāka. Tā ir profilēšana, kuras laikā tiek izvērtēta konkrētas personas piemērotība vakancei vai kredītrisks.

Kur ir tā robeža, kad ir skaidrs, ka datu aizsardzības speciālists ir obligāti vajadzīgs, citādi būs soda sankcijas?

Prasība iecelt datu aizsardzības speciālistu ir obligāta gadījumos, kad datu profilēšana ir lielā mērā saistīta ar uzņēmuma pamatnodarbošanos vai ir pamatnodarbošanās veids. Piemēram, datu profilēšana tiek veikta, sniedzot finanšu, darbā iekārtošanas pakalpojumus, tāpat slimnīcās, lidostās u. tml. Protams, ir vietas, kur profilēšana tiek ik pa laikam veikta, taču tā nav pamatnodarbošanās, piemēram, pieņemot darbā cilvēku.

Ja mēs izvērtējam mājaslapas un mājaslapu analītiku, arī tā patiesībā ir profilēšana, jo IP adrese ir personas dati. Šeit jautājums kļūst interesantāks – vai mājaslapu analītika visos gadījumos ir uzskatāma par profilēšanu, pie kādas ir nepieciešams datu aizsardzības speciālists? Ja nav, tad kur ir robeža? Tehnoloģiski mēs redzam, ka tā ir profilēšana, jo mājaslapas var apmeklēt ļoti daudz cilvēku. Regulā ir noteikts arī kritērijs "lielā apmērā", bet tas ir ļoti izplūdis. Tās ir nianses, kuras, kā sagaidām, tā sauktā 29. panta darba grupa (kas līdz ar regulu transformēsies par Eiropas Datu aizsardzības kolēģiju) vai Latvijas Datu valsts inspekcija precizēs ieteikumu veidā vai kā citādi.

Kā ar interneta veikalu?

Es teiktu, ka tā ir profilēšana un uz interneta veikalu varētu attiecināt prasību iecelt datu aizsardzības speciālistu. Īpaši, ja tas ir liels interneta veikals, kuram ir plaša klientu datubāze. Tur patiesībā ir ļoti daudz vērtīgas informācijas, piemēram, personas iepirkšanās paradumi, kas ļauj attiecīgam datu subjektam izstrādāt mārketinga piedāvājumu. Tāpat arī lielajām mazumtirdzniecības veikalu ķēdēm, kurās tiek izmantotas lojalitātes kartes, speciālists varētu būt obligāts. Piemēram, zināma veikalu ķēde piedāvā lojalitātes karti ievietot speciālā aparātā, kur klients redz individualizētu piedāvājumu. Tā ir profilēšana, jo diviem cilvēkiem piedāvājumi atšķirsies.

Uz šīm lojalitātes kartēm pat ir klienta fotogrāfija.

Viena no lietām, kas pārziņiem jāizdara, jāizvērtē, vai šāda datu apstrāde tiešām saskan ar tās tiesisko mērķi. Fizisko personu datu apstrāde nedrīkst būt pārmērīga. Fotogrāfija uz klienta lojalitātes kartes, manuprāt, ir pārmērība.

Rīgā ir vismaz viens bērnudārzs un sporta klubs, kurā uzstādīts biometriskais pirkstu nospiedumu lasītājs, lai telpās neiekļūtu nepiederošas personas. Vai šajā gadījumā ir nepieciešams datu aizsardzības speciālists?

Tas ir interesants jautājums. Situācija jāizvērtē kompleksi, jo pirkstu nospiedumu nolasīšana nav šo uzņēmumu pamatdarbība, bet blakus lieta. Taču, ņemot vērā, ka pirkstu nospiedumi kļūst par īpašās kategorijas datiem, noteikti vajadzētu vismaz pakonsultēties ar datu aizsardzības speciālistu.

Tiek lēsts, ka vislielākie izaicinājumi varētu būt organizācijām, kuras līdz šim datu ieguves un apstrādes legālajam aspektam nav pievērsušas īpašu vērību, bet kuru rīcībā ir ievērojams t.s. "dark data" apjoms, kas ir būtisks atbilstības risks.

Tā tas tiešām ir, jo daudzi ir aizmirsuši, ka eksistē Fizisko personu aizsardzības likums. Jāmin, ka vēl viena obligāta lieta ir datu aktualizācija. Proti, lai tiktu sasniegts mērķis, datiem ir jābūt precīziem, pareiziem, aktuāliem. Piemēram, ja uzņēmumā no 2007. gada tiek uzturēta "iekšējā" darba meklētāju datubāze, ir vietā jautājums, cik no šiem cilvēkiem, kuru dati iegūti pirms 10 gadiem, joprojām meklē darbu, cik no viņiem ir novecojis CV, cik no viņiem ir vispār dzīvi. Tā ir neaktuāla informācija, ar kuru nevar sasniegt mērķi.

Kas notiks ar vēsturiskajiem datiem, ja tā tos var nosaukt? Piemēram, ja pirms 10 gadiem ir noformēta klienta karte, pieteikuma anketā norādot ienākumu līmeni, ģimenes stāvokli, personas kodu – informāciju, kuru pārzinim ne tikai nav tiesiska pamata glabāt, bet tā nav arī vairs aktuāla.

Runājot par lojalitātes kartēm, svarīgs ir tiesiskais pamats – piekrišana. Regula reorganizē piekrišanas iegūšanas algoritmu. Tās piekrišanas, kuras būs dotas pirms 2018. gada 25. maija un neatbildīs regulas prasībām, būs spēkā neesošas. Tātad arī datu apstrāde, kura pamatojas uz šādu piekrišanu, būtībā būs prettiesiska un, izrietoši, izbeidzama. Šie dati būs jādzēš. Tiem, kas šos datus nedzēsīs, var tikt konstatēts pārkāpums – datu apstrāde bez tiesiska pamata. Tas ir pārkāpums, par ko regula paredz bargāko sodu – 20 miljoni eiro.

Kā varētu notikt pārkāpumu konstatēšana? Klienta sūdzība, pārbaudes?

Šobrīd ir tā, ka klients iesniedz sūdzību un Datu valsts inspekcija veic pārbaudi. Manuprāt, droši vien tiks noteiktas kādas prioritārās jomas, kuras pārbaudīs pastiprināti. Potenciālās riska jomas ir tās, kur tiek apstrādāta sensitīva informācija, piemēram, medicīnas iestādes. Uzsvars nav uz sodiem, taču jārēķinās, ka pieaugs uzraudzības iestādes kapacitāte un kompetence, un tiem pārziņiem, kuri neievēro datu aizsardzības prasības, dzīve kļūs arvien grūtāka, jo arī datu subjekti kļūst aizvien informētāki par savām tiesībām.

Kas ir tas, ko šobrīd vajadzētu izdarīt pilnīgi visiem, kuri strādā ar jebkāda veida fizisko personu datiem?

Pirmais un galvenais – pārziņiem jau šodien ir jāsaprot, cik uzņēmumā sakārtota ir fizisko personu datu aizsardzības joma. To nevar paveikt bez padziļināta izvērtējuma, kas, iespējams, prasa investīcijas juristu, konsultantu, IT speciālistu pakalpojumos. Vienalga, vai to sauc par auditu, atbilstības novērtējumu vai situācijas izpēti, svarīgi saprast, vai uzņēmums šobrīd 100% atbilst [Fizisko personu datu aizsardzības likuma prasībām]. Ja atbilst, uztraukumam nav liela pamata. Ir nianses, kas jāsakārto, bet tas arī viss. Taču, ja uzņēmums šodien neatbilst, un es esmu pārliecināts, ka lielākā daļa pilnībā neatbilst, ir jāsāk uztraukties. Ir atlicis mazāk nekā viens gads, lai neatbilstības novērstu. Šo mēnešu laikā ir jāveic izmaiņas ne tikai iekšējās procedūrās un noteikumos, bet arī IT sistēmās. Sistēmas izmaiņām ir vajadzīgs projektējums, projektējuma apstiprināšana, izmaksu noteikšana, programmēšana, sistēmas ieviešana, testēšana. Ja runājam par publisko sektoru, kur vispirms jāapstiprina budžets, pēc tam jārīko iepirkums, kuru ir iespējams apstrīdēt, tas vēl vairāk paildzina šo procesu. Es teiktu, ka laika nepietiek. Cilvēki domā, ka tagad ir vasara, atvaļinājums, rudenī sāks strādāt. Rudenī būs stipri par vēlu.

Daudzi, iespējams, gaida, kad regulas prasības tiks integrētas nacionālajā regulējumā, un tas varētu notikt, ātrākais, rudenī.

Prasības jau ir zināmas kopš pagājušā gada aprīļa, kad tika pieņemta regula. 2016. gada maijā tā tika publicēta oficiālajā ES laikrakstā – no tā brīža vairs nekādu diskusiju nevar būt. Regula atšķirībā no direktīvas ir tieši piemērojams normatīvais akts. Varētu tikt precizētas nianses, bet pamatā regula ir tāda, kāda ir – tā nemainīsies. Tomēr bez nacionālā tiesību akta neiztikt, jo tam ir jādefinē vismaz trīs būtiskas lietas – Datu valsts inspekcijas statuss, fizisko personu datu aizsardzības speciālista statuss un arī soda naudas piemērošanas mehānisms.

Viens no būtiskajiem jauninājumiem, ko ievieš regula un kas, iespējams, prasīs lielākos pūliņus darba iekšējās organizācijas un sistēmas pilnveidē, ir pienākums ziņot par incidentiem 72 stundu laikā. Ko tas nozīmē, un kādas tehniskas problēmas uzņēmumam tas varētu radīt?

Jāsāk ar to, ka uzņēmumi par to, ka ir noticis incidents, nereti uzzina no ārēja avota. Trakākais scenārijs:  no masu medijiem vai sociālajiem portāliem. Mēdz gadīties, ka uzņēmums par incidentu uzzina no CERT.LV, kas viņiem pasaka: "Ziniet, jūsu iekārtas ir attiecīga robotu tīkla sastāvā" vai tamlīdzīgi.  Turpmāk, lai ievērotu regulu, pārziņiem ir obligāta prasība personas datu drošības līmeni pacelt tik augstu, lai par incidentiem viņi uzzinātu paši. Ja viņi paši neuzzina, par kādām 72 stundām vispār var runāt?

Otrkārt, pārzinim ne tikai jāzina, ka ir noticis incidents, bet arī jāspēj 72 stundu laikā novērtēt, kas notika, kāpēc notika (tas prasīs ilgāku laiku, bet vismaz eventuāli) un cik lielā mērā notikušais ietekmē datu subjektu pamattiesības un brīvības, proti, cik lielā mērā incidents var radīt datu subjektam nepatīkamas, negatīvas sekas. Tātad 72 stundu laikā ir jāizvērtē, jāinformē uzraudzības iestāde un, ja izvērtējums parāda, ka datu subjekta tiesības var tikt aizskartas, jāinformē arī datu subjekts. Arī tad, ja datu subjektu skaits ir simtos tūkstošu vai pat miljonos!

Vai tas varētu būt, piemēram, e-pasts ar lūgumu nomainīt paroli?

Datu subjektam ir jāsniedz informācija par to, kas notika, kāpēc un kā tas konkrēto subjektu ietekmēs, kā arī ieteikumi, kā rīkoties, lai ietekmi mazinātu. Lai tas 72 stundu laikā būtu iespējams, pārziņiem ir rūpīgi jāpārvērtē savas iekšējās procedūras, tehniskais aprīkojums, darba līgumi. Teiksim, vai uzņēmums ir gatavs tam, ka incidents notiek 23. decembrī? Jārēķinās, ja pēc incidenta paies 72 stundas un nebūs paziņojuma, regula paredz ievērojamas soda sankcijas.

Sodu apmērus Latvijas mērogā ir grūti aptvert. Par regulas pārkāpumiem tas var sasniegt pat 20 miljonus vai 4% no uzņēmuma grupas pasaules apgrozījuma.

Latvijas pārziņiem ir jāapzinās, ka regula tiks piemērota vienādi visā Eiropas Savienībā un neviena valsts nedrīkst būt "tiesiskā nihilisma citadele", kur prasības piemēro "maigāk". Ja par līdzīgu pārkāpumu vienā valstī tiks piemērots, piemēram, miljona eiro sods, tad Latvijas uzņēmumam līdzīga pārkāpuma gadījumā tas būs tikpat liels. Uzliekot sodu, tiks vērtēta nodarījuma smaguma pakāpe, vai tas bija jaušs vai nejaušs, kā arī finanšu ieguvums. Attiecībā uz finanšu ieguvumu regulā ir iekļauta drusku nepatīkama nianse, proti, tiek atzīts gan tiešs, gan netiešs finanšu ieguvums. Tas nozīmē, ka meitasuzņēmuma nodarījuma dēļ cieš arī mātesuzņēmums, jo ir netiešais finanšu ieguvums, nepamatotas konkurences priekšrocības.

Tas nozīmē, ka varētu tikt nopietni pārvērtēta sadarbība ar dažādiem partneriem, meitasuzņēmumiem?

Tieši tā. Par to jāsāk domāt jau tagad.

IT speciālisti mēdz teikt, ka uzlauzt var jebkuru sistēmu, jautājums tikai, kad tas notiks un cik esam tam gatavi. Vai tas nozīmē, ka lielās soda naudas ir nenovēršamas?

Interesantākais, ka regula ļauj pārzinim pierādīt, ka viņš nav atbildīgs par pārkāpumu. Piemēram, aprīkojuma vai programmatūras ražotāja kļūda, par kuras esamību pārzinim nebija pieejama informācija. Taču, ja pārzinis nebūs izpildījis informēšanas pienākumu, viņu sodīs par to. Tātad pārzinim ir jāspēj sakārtot savu infrastruktūru tā, lai tas būtu gatavs šādiem incidentiem. Jā, sistēmu var uzlauzt, bet, ja, piemēram, ir ieviesta pseidonimizācija vai datu šifrēšana, sistēmas uzlaušanas gadījumā būs iegūti nesaprotami kodi.

Vai tas nozīmē ievērojamus un dārgus ieguldījumus IT infrastruktūrā?

Iespējams. Taču pats sliktākais, ko šobrīd pārzinis var darīt, ir stihiski sākt tērēt naudu un pirkt kaut kādus risinājumus, neizdarot mājasdarbu, nesaprotot, kāda ir situācija un kas vajadzīgs, lai to sakārtotu. Vienkārši skriet un pirkt kaut ko tikai tāpēc, ka to vajadzēs regulai... Ja tiek uzcelta māja bez projekta, tā ēka, visticamāk, būs šķība un sliktas kvalitātes. Jā, līdzekļi ir jāiegulda, bet saprātīgi. Svarīgākais – pārziņiem sava darbība lielā mērā jābalsta uz reālistisku riska analīzi – tādā gadījumā draudu izvērtējums būs aktuāls un riska mazināšanas pasākumi būs jēgpilni.

Vai Latvijā ir pietiekami daudz datu aizsardzības speciālistu?

Skaita ziņā, protams, viņiem ir jākļūst vairāk. Šobrīd speciālistu ir virs simta. Domāju, ka lielajiem uzņēmumiem pietiek, no kā izvēlēties. Taču jārēķinās, ka nākamā gada pavasarī viņi būs tik noslogoti, ka nespēs visiem palīdzēt. Tā ir vēl viena lieta, ar ko riskē tie pārziņi, kuri šobrīd kaut ko gaida.

Taču par datu aizsardzības speciālistu nevar būt kurš katrs. Ir nepieciešams sertifikāts, ko izsniedz Datu valsts inspekcija. Kādas ir prasības?

Pirmkārt, šobrīd ir noteikts, ka obligāti jābūt vismaz pirmā līmeņa augstākajai izglītībai IT vai juridiskajā jomā. Otra lieta – jāiziet obligātās 42 stundu apmācības. Tikai tad tiek izsniegta apliecība, kas nepieciešama, lai kārtotu sertifikācijas eksāmenu Datu valsts inspekcijā.

Ir dažas nianses, kas šo eksāmenu padara ļoti grūtu. Pirmā – eksāmenā nedrīkst būt nevienas nepareizas atbildes. Otrā – eksāmens ir obligāti jānokārto gada laikā pēc apmācību kursa beigšanas. Trešā – eksāmenu drīkst kārtot tikai divas reizes gada laikā.

No tiem, kas izgājuši apmācības, eksāmenu nenoliek vidēji 30–50 procenti. Tas liecina, ka datu aizsardzības joma nav tik vienkārša. No otras puses, tie cilvēki, kas ir izgājuši cauri šim sietam, saprot kaut ko drusku vairāk nekā tas, kurš vienkārši izlasa likumu.

Kas tad kopumā līdz ar regulas ieviešanu mainīsies?

Pirmais solis lēmumu pieņēmējiem ir saprast, ka tāda regula ir un tās ietekme būs nopietna. Lai arī izmaiņas ir niansēs, uzraudzība un sankcijas kļūs ievērojami drastiskākas. Tas nozīmē, ka biznesa vide un filozofija neatgriezeniski mainīsies no situācijas līdz regulai, kad datu aizsardzība bija ķeksīša pēc, uz situāciju pēc regulas, kad datu aizsardzība tiks veikta datu aizsardzības pēc.
 


1 Pārzinis atbilstoši Fizisko personu datu aizsardzības likuma 2. panta devītajai daļai ir fiziskā vai juridiskā persona, valsts vai pašvaldības institūcija, kura pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un apstrādes līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu.

***
Šajā publikācijā paustais intervētās personas viedoklis un skatījums var nesakrist ar LV portāla redakcijas nostāju. Ar LV portāla redakcionālo politiku var iepazīties šeit.
Labs saturs
17
Pievienot komentāru

LATVIJAS REPUBLIKAS TIESĪBU AKTI
LATVIJAS REPUBLIKAS OFICIĀLAIS IZDEVUMS
ŽURNĀLS TIESISKAI DOMAI UN PRAKSEI