Strauji tuvojas 2018. gada 25. maijs jeb laiks, kad stāsies spēkā Vispārīgā datu regula, skarot visus komersantus, organizācijas, valsts un pašvaldību iestādes. Tā precizēs personas datu regulējumu, sniegs personai daudz lielākas tiesības piekļūt un pārvaldīt informāciju, ko par viņu uzglabā dažādas trešās puses.
Regulas mērķis ir ieviest visā Eiropas Savienībā (ES) vienotu regulējumu datu aizsardzības jomā, tā paredzot tieši piemērojamus noteikumus visā ES. Datu aizsardzības regulējuma harmonizācija visās 28 ES dalībvalstīs ļaus uzņēmumiem, kuri darbojas starptautiski, vieglāk orientēties datu aizsardzības jautājumos, mazinot nepieciešamību konsultēties par regulējuma piemērošanu atsevišķās ES dalībvalstīs.
Neskatoties uz to, ka regulas pakāpeniskai ieviešanai tika atvēlēts pietiekami ilgs laiks, vēl arvien valda tā saucamais “studenta princips” jeb “gan jau būs labi” apziņa. Taisnības labad gan jāatzīst, ka nule notiek atmošanās, jo arvien vairāk publiskajā telpā tiek komunicēts par pieaugošo atbildību uzņēmumiem, kuri neievēros regulas prasības. Soda lielums, kas var sasniegt līdz pat 4% no uzņēmuma gada apgrozījuma vai 20 miljonus eiro, licis pievērst lielāku uzmanību regulas ieviešanai.
Bažas par sankciju samērīgumu
Informācijas tehnoloģijas (IT) uzņēmumi sadarbībā ar juristiem šo gadu laikā pievērsuši ļoti lielu vērību regulas ieviešanai, taču joprojām tiek gaidīta skaidrība par regulas piemērošanas noteikumiem un arī nacionālajām prasībām, it īpaši ņemot vērā paaugstināto atbildību un naudas sodu lielumu.
Diemžēl patlaban gan ES, gan nacionālajā līmenī daudzi piemērošanas nosacījumi ir neskaidri. Skaidrība par regulējumu un tā piemērošanu ir priekšnoteikums, lai datu pārziņi un apstrādātāji varētu nodrošināt atbilstību regulas prasībām.
Ļoti ceram, ka Datu valsts inspekcija (DVI) strādās kā konsultatīva un proaktīva iestāde, kurai sods būs pēdējais līdzeklis. No vienas puses, mums, protams, ir cerība, ka DVI strādās godprātīgi un nemetīsies sodīt visus uzņēmējus jau pirmajā dienā, bet, no otras puses, arī saprotam, ka likums ir likums. Turklāt tas visiem bija zināms jau gandrīz divus gadus – tātad juridiski būs grūti atspēkot nekā nedarīšanu vai likuma ignorēšanu.
Atšķiras nozaru gatavība
Ja telesakaru un finanšu nozarēs jauno regulējumu uztver nopietni un iegulda resursus tā izpētei un sistēmu pielāgošanai, tad veselības nozarē daļa iestāžu joprojām guļ “ziemas miegā”. Šajā jomā par datu glabāšanu vēl būs daudz diskusiju, jo nāksies saskaņot regulas un citas normatīvo aktu prasības.
Liels izaicinājums būs datu dzēšana un noteikumu ievērošana saistībā ar citiem likumiem un regulām, kuras jāņem vērā vienlaikus ar Datu regulu. Piemēram, finanšu sektoram jau tagad ir saistošas daudzas regulācijas par “naudas atmazgāšanu”, īpaši jaunā maksājumu direktīva, kurā ir ļoti pretrunīgi jautājumi par datu atdošanu trešajām pusēm. Tas varētu būt pretrunā ar regulu. Vēl būtu jāsaprot, kad banka varēs izdzēst datus no savām sistēmām, lai, no vienas puses, nesaņemtu sodu no DVI par GDPR, bet, no otras puses, Finanšu un kapitāla tirgus komisija nesodītu par naudas atmazgāšanas likuma vai Maksājumu direktīvas neievērošanu.
Interesanti būs arī tas, vai uzņēmēja civiltiesiskās apdrošināšanas jeb apdrošinātāji nosegs soda naudas tiesas prasības zaudējumu segšanai tiem uzņēmējiem, kuri izmanīgi būs noslēguši lielus līgumus par savu klientu/darbinieku datu apstrādi ar mikrouzņēmumiem vai citu nelielu SIA, un būs “cietēji” no trešās puses (jeb šī SIA) negodprātīgas rīcības ar datiem.
Ārpakalpojums kā risinājums
Skaidrs, ka regulas ieviešana ir liels izaicinājums, kas mazākajiem uzņēmumiem var prasīt ne tikai finanšu resursus, bet milzīgu laika patēriņu. Tas ir komplekss process, kas sevī ietver jaunu dokumentu un procesu izstrādi, datu aizsardzības speciālista piesaistīšanu, IT un juridisko jautājumu pārzināšanu, praktisku pieredzi personas datu aizsardzībā un informācijas drošībā. Realitātē viens speciālists lielākoties šos nosacījumus nevar izpildīt, tādējādi viens no risinājumiem ir regulas ieviešanas un uzraudzības procesu deleģēt kā ārpakalpojumu, kas sevī ietver juristus, IT un personāla vadības speciālistus vienkopus u.c.
Daudzi IT nozares uzņēmumi piedāvā šādu pakalpojumu – gan praktiskā ieviešanā, gan arī konsultatīvā ziņā. “Datakom” izstrādātā “GDPR in-a-box” risinājumā iekļauts sava veida mākslīgais intelekts, kas automātiski meklē, aizsargā un auditē personas datu atrašanos uzņēmumu sistēmās. Šāds risinājums sniedz nepārtrauktu uzraudzību datiem, kā arī ļauj kontrolēt piekļuvi sensitīviem datiem uzņēmumā. Tāpat ir iespēja IT ārpakalpojuma sniedzējiem nodot atbildību par drošības uzturēšanu GDPR izpratnē.
Lai arī līdz regulas ieviešanai palikuši nepilni četri mēneši, ieteiktu sagatavošanās darbus neatstāt uz pēdējo brīdi.
Autors ir SIA “Datakom” risinājumu direktors
Pagaidām nav neviena komentāra