Vispārīgās datu aizsardzības regulas (GDPR) pieņemšana, no vienas puses, vairumam Latvijas uzņēmumu radīja papildus stimulu operatīvi un mērķtiecīgi novērst iespējamos riskus datu drošībai, bet, no otras puses, daļa uzņēmumu, īpaši mazo un vidējo segmentā, nereti turpina dzīvot ar maldīgu pārliecību, ka datu aizsardzība galvenokārt attiecas uz lielajām kompānijām. Neskatoties uz to – GDPR kopumā gada laikā sabiedrībā sekmējusi daudz nopietnāku attieksmi par datiem, ko sniedzam un uzglabājam gan kā privātpersonas, gan kā uzņēmumi. Izpratne par datu drošības nozīmīgumu Latvijā neapšaubāmi turpina pieaug, un tas ir spēcīgs dzinulis biznesam sevi sakārtot.
Tajā pašā laikā, ikdienas profesionālā saskarsmē – ar kolēģiem un konkurentiem, esošajiem vai potenciālajiem klientiem, nozares ekspertiem – apkopotie iespaidi liek secināt, ka patlaban uzņēmumos, kuri turpina vai tikai sāk ieviest GDPR prasības, joprojām ir grūtības kontrolēt savu datu plūsmu.
Tipisks grēks, ko atzīst drošības audita veicēji, – uzņēmējs nemaz nezina, kur atrodas tā firmas uzkrātās informācijas uzglabāšanas serveri vai pat to, kur tieši vispār dati tiek glabāti.
Auditoru un uzņēmumu saziņā nereti atklājas, ka uzņēmējs pats nevēlas investēt līdzekļus datu aizsardzības nodrošināšanai, kamēr vien viņa klienti nesāk uzdot nepatīkamus jautājumus par savu datu apstrādi un to drošību.
Dzīvojot pārliecībā, ka ne par ko nav jāsatraucas, kamēr bizness sokas, uzņēmējs neapzinās, ka datu noplūdei var tikt pakļauti ne tikai viņa klientu personu kodi vai reģistrētās adreses, bet arī paša komercnoslēpumi. Līdz ar to šāds riskētājs bezatbildīgi rotaļājas ar sava biznesa ilgtspējīgu pastāvēšanu.
Savukārt apzinīgi un ieinteresēti uzņēmumu īpašnieki un vadītāji, pildot GDPR prasības un vēloties dot patiesas garantijas klientiem, vispirms veic padziļinātu datu drošības auditu, un tikai pēc tam, balsoties uz tā secinājumiem, investē nepieciešamajos praktiskajos pasākumos. Tiek veidoti uzņēmumu datu drošības speciālista amati, pasūtīti un ieviesti rīki, kas kontrolē ārpakalpojumu sniedzēju darba kvalitāti un godprātību.
Pērn daudzi firmu vadītāji bija pārliecināti, ka ar visu tiks galā paša uzņēmuma spēkiem, taču skatījums uz veicamajiem darbiem tagad ir kļuvis reālistiskāks, neskopojoties un nekautrējoties lūgt palīdzību specializētiem konsultantiem. Tagad gan uzņēmumu IT speciālistiem, gan outsorce speciālistiem jāpierod pie regulārām un detalizētām atskaitēm uzņēmumu vadībai par datu drošības labā paveikto.
Diemžēl ir jāatzīst, ka uzņēmuma datu drošībai diezgan bieži vājais ķēdes posms ir paši tā IT darbinieki, pat īpaši augsti kvalificēti speciālisti. Tāpēc arī datu drošības uzrāda biežas kļūdas jau pašā to pieejamībā. Uzkrītoši bieži tiek ignorēti datu aizsardzības pamati – paroļu un lietotājvārdu lietošana.
Savukārt vislielākā skaidrība datu regulas prasību ieviešanā noteikti valda juridiskos jautājumos. Uzņēmumu likumziņi kopumā darbojas ļoti sakārtotā sistēmā – viņiem ir skaidrs, kādas prasības kādos gadījumos ir jāievēro; kādi līgumi ir jāsagatavo, lai ievērotu datu regulas prasības; viņi zina, ko var solīt, slēdzot līgumus, un ko nē.
Veiksmīgā GDPR ieviešanā, protams, būtiska loma ir valstiskajam uzraugam – Datu valsts inspekcijai (DVI). Uzskatu, ka tai ir nepieciešams veikt datu drošībā pastāvošo problēmu, pieļauto pārkāpumu un par tiem noteikto sodu standartizēšanu. Tādā veidā iestāde spētu rīkoties efektīvāk un operatīvāk, neiestiegot katra “unikālā” nodarījuma vai klienta un pakalpojumu sniedzēja strīda savrupā izvērtēšanā. Tas arī ļautu DVI palīdzēt uzņēmumiem ar konsultācijām ārpuskārtas gadījumos – īpaši tad, ja ir iespējamas juridiskas interpretācijas, vērtējot klientu pieteiktajām prasībām.
DVI šā gada laikā kopš ir spēkā GDPR ir saņēmusi četrkārt vairāk sūdzību nekā iepriekšējā gadā un, kā solīja, spēja uz tām attiecīgi reaģēt. Ja ekspertu veiktajos auditos lielākoties tiek atrastas vidēji kritiskas problēmsituācijas, par ko var izteikt aizrādījumu, tad no inspekcijai iesniegtajām sūdzībām ceturtā daļa ir vērtējamas kā ziņojumi par augsta riska draudiem, uzņēmējiem nekorekti attiecoties pret datu ieguvi un apstrādi. Gadījumos, kad tiek konstatētas datu zādzības pazīmes, jau tiek iesaistīta policija, kas izmeklē katru konkrēto gadījumu.
Kopumā vērtējot, Latvijā datu drošības prasību ievērošana jau vairs nav tīri cilvēciskas izpratnes vai neizpratnes jautājums. Tajā vairāk dominē praktiskas – un atrisināmas! – problēmas.
Autors ir SIA “Datakom” risinājumu direktors
Pagaidām nav neviena komentāra