Regula attiecas uz visiem publiskā un privātā sektora uzņēmumiem, kā arī valsts iestādēm un biedrībām neatkarīgi no to lieluma un darbības jomas, jo dati par darbiniekiem vai klientiem ir katrai juridiskai personai, kā arī attiecas uz katru no mums. Lieta nopietna, jo par GDPR prasību neievērošanu paredzēts piemērot īpaši augstas soda sankcijas, kas var sasniegt līdz pat 4% no uzņēmuma apgrozījuma, visas pasaules mērogā rēķinot.
Jaunā kārtība nāk īstajā laikā
Skaidrs arī, ka līdzšinējais regulējums – 1995. gada 24. oktobrī pieņemtā Eiropas Parlamenta un Padomes direktīva 95/46/EK – bija novecojis, jo pieņemts krietni sen, vēl pirms sociālo tīklu uzplaukuma (piemēram, populārais sociālais tīkls Facebook.com dibināts 2004. gadā), un pirms tādu tehnoloģiju parādīšanās, kas "lien cilvēkam aiz ādas", respektīvi, daudz intensīvāk izmanto personas datus, analizējot cilvēka paradumus, prognozējot cilvēka uzvedību un rezultātā cenšoties panākt vēlamo rīcību.
Jaunās kārtības ieviešana notiek ar datu izmantošanu saistītu globālu politisku skandālu fonā. Te jāpiemin, piemēram, gadījums, kad, atsaucoties uz Facebook.com sniegto informāciju, Wall Street Journal raksta – no Krievijas organizēta politiskā reklāma, kas veidota, izejot no tās saņēmēja rases, politiskajiem uzskatiem, reliģiskās pārliecības un citiem faktoriem, aptvēra ap 150 miljoniem cilvēku. Taču ko līdzīgu ikkatrs var redzēt savā e-pastā, nespējot atkauties no dažādu tirgotāju piedāvājumiem, kas uzstājīgi cenšas pārdot, piemēram, ko līdzīgu pirms gada interneta veikalā pirktajam ledusskapim.
Informācijas tehnoloģiju (IT) uzņēmuma Squalio valdes loceklis Gatis Ošs Dienai pauž, ka stingrākas prasības attiecībā uz personas datu apstrādi un uzglabāšanu ir neizbēgamas. "Uzbrukumi kibertelpā kļūst arvien izplatītāki, kā rezultātā pie trešajām pusēm nonāk liels daudzums fizisko personu datu, tajā skaitā kredītkaršu dati, personas kodi, e-pasti, telefona numuri un cita svarīga informācija," saka Ošs.
Salīdzinot ar līdzšinējo kārtību, daudz lielāka kļūs centralizēta ES teikšana datu drošības jomā ES dalībvalstīs.
Tā kā Squalio ir vairākas filiāles ārpus ES, Ošs kā būtisku atzīmē faktu, ka jaunā regula attiecas ne tikai uz visas ES uzņēmumiem, bet arī tiem, kas atrodas ārpus savienības un kuriem ir pārstāvniecības vai sadarbības partneri ES. "Līdz ar to par Latvijā izdarītu pārkāpumu var sodīt uzņēmumu, kurš atrodas tālu no ES jurisdikcijas," saka Squalio pārstāvis un turpina, "tādējādi grupas uzņēmumiem, sevišķi tiem, kas atrodas ārpus ES, ir jāpievērš īpaša uzmanība šīs regulas ieviešanai, turklāt ar uzņēmuma datortīkla auditu un jaunas programmatūras uzstādīšanu, kas ierobežo piekļuvi datiem, uzmana un ziņo par pārkāpumiem, ne visos gadījumos būs pietiekami." Squalio redz te arī biznesa perspektīvu. Oktobrī uzņēmums sarosījies un pat radījis animācijas filmu, kurā eksperts Ģederts stāsta, kā atrast ceļu datu drošības labirintos un gādāt par to, lai uzņēmums atbilstu jaunajai "bargajai" regulai, un, jāteic, visai draiskā veidā piedāvā savu IT risinājumu, kas atrisinās klientu problēmas.
Redz iespējas jaunajā kārtībā
Līdz ar jaunās kārtības spēkā stāšanos informācijas aprite par to, ka drošības incidenta rezultātā notikusi personas datu noplūde, būs daudz operatīvāka – par notikušo gan Datu valsts inspekcija (DVI), gan arī personas, kuru dati noplūduši, jāinformē 72 stundu laikā.
Daudz operatīvāk un plašāk nekā līdz šim cilvēki būs jāinformē par to, kādi viņu dati tiek izmantoti un kādiem mērķiem. Tas prasīs vairāk darba no personu informācijas turētājiem.
ES regula paredz arī stingrākus nosacījumus saistībā ar datu apstrādes pamatotību. Pēc regulas spēkā stāšanās uzņēmumam būs jāinformē informācijas sniedzējs par viņa datu apstrādes mērķi, tā likumisko pamatu, datu uzglabāšanas ilgumu, kā arī iespējām sūdzēties, ja klients būs neapmierināts ar datu izmantošanu, – tā katras personas dati iegūst jaunu vērtību.
Mobilo telekomunikāciju operatora Latvijas Mobilais telefons (LMT), kas ir liels klientu datu turētājs, viceprezidente administratīvi juridiskajos jautājumos Laura Keršule attiecībā uz fizisko personu datu izmantošanu norāda, ka virkne ES regulas prasību telekomunikāciju operatoriem jau ir spēkā šobrīd, to nosaka nozares darbību regulējošie speciālie normatīvie akti. LMT pārstāves ieskatā jaunā regula tikai niansētāk nosaka atsevišķus pakalpojumu sniedzēja un klienta sadarbības nosacījumus.
Telekomunikāciju operatora pārstāve tajā saskata arī iespēju nostiprināt uzņēmuma saikni ar klientu. "Tā būs iespēja vēl vairāk informēt klientus par viņu tiesībām un dot iespēju vēl plašāk izvērtēt, kādus ieguvumus tam vai citam klientam dod konkrēto datu apstrāde. Līdz ar to patērētājs varēs precīzāk novērtēt un izvēlēties, piemēram, kā tieši komersantam ar viņu jāsazinās – e-pasta formā, īsziņas formā vai tamlīdzīgi. Tā ir laba iespēja no jauna pārskatīt jau esošo sadarbību un aktualizēt klientu vajadzības, jo ar laiku mainās un plašāks kļūst gan mūsu pakalpojumu piedāvājums, gan arī klientu vajadzības un vēlmes," teic Keršule.
Nedrīkstēs glabāt mūžīgi
No uzņēmuma tiek prasīta gan atbilstība formālajiem normatīviem, gan arī tas, lai datu glabāšanas sistēma būtu sakārtota, lai būtu droša datu glabāšana, lai būtu skaidri zināmi to vai citu datu glabāšanas termiņi, lai būtu skaidrība ar piekļuvi tai vai citai informācijai, tīkla drošība, pieejas tiesību dalīšana un vēl citu prasību izpilde. Tās būs izmaiņas IT sistēmās, kas neizbēgami ir arī papildu ieguldījums tehnoloģijā.
Būtiski, ka ES regula paredz tā dēvētās tiesības tikt aizmirstam, t. i., personai būs iespēja pieprasīt konkrētās organizācijas datu pārzinim, lai dati par viņu tiktu izdzēsti, jo īpaši gadījumos, kad datu glabātājs ir komersants. Te cilvēkam tiek dotas lielas iespējas atteikties no piekrišanas apstrādāt datus, un uzņēmums ne tik vien nevarēs ievākt jaunu informāciju, bet arī tam būs "jāaizmirst" iepriekš savāktais datu apjoms par šo klientu. Valsts tiesības uz personas datiem šajā gadījumā regula neaizskar.
Jaunais regulējums paredz iespēju pārnest datus no viena komersanta, piemēram, mobilo sakaru operatora, pie cita komersanta ne tikai tajā pašā, bet arī citā ES valstī. Minētais gan neattiecas uz viesabonēšanu. Tās ietvaros, skaidro LMT, "katrs klients joprojām paliek tikai konkrētā operatora klients. Starp operatoriem notiek tikai minimālas tehniskās informācijas saņemšana, lai, piemēram, varētu nodrošināt konkrētus zvanus šim klientam tehnoloģisko sistēmu līmenī."
No regulas izriet vēlme samazināt personas datu glabāšanas termiņus līdz minimumam. Tiek prasīts stingri noteikt glabāšanas termiņus, līdz kuram dati turami un pēc kuru beigām dati jāizdzēš vai jāpadara anonīmi. Tas attiecas arī uz valsts iestādēm, un, pat ja datu glabāšanas termiņš nav likumdošanā noteikts, tas nenozīmē, ka datus var glabāt bezgalīgi, Dienai norāda eksperts, IT sistēmu analītiķis ar ilggadēju pieredzi, Armands Kreņģelis. Praksē, šķiet, tieši datu glabāšanas termiņu uzmanīšana būs svarīgs GDPR īstenošanas gaitā regulāri veicamais uzdevums gan valsts iestādēm, gan privātajam sektoram.
Jauns rūpals juristiem un IT speciālistiem
Līdz ar jauno kārtību daudzās iestādēs un uzņēmumos tāpat kā darba aizsardzības speciālists nepieciešams arī datu aizsardzības speciālists (angliski – Data Protection Officer), kurš konsultē pārzini, kas uzņēmumā atbild par personas datu apstrādi, par ES regulas prasību ievērošanu, un pie kura var vērsties gan cilvēki, kuru dati tiek apstrādāti, gan arī kontrolējošā iestāde (Latvijā tāda iestāde ir Datu valsts inspekcija).
Speciālista piesaisti nosaka gan uzņēmuma darbības veids, gan apstrādājamo datu apjoms un sensitivitāte. Publiskajā sektorā – valsts un pašvaldības iestādēs, izņemot tiesas – tā būs obligāta prasība. Savukārt, piemēram, slimnīcai šāds speciālists būs obligāts, bet viena ārsta praksei, kur apstrādā līdzīgus datus, bet salīdzinoši daudz mazākā apjomā, ne.
Bieži vien prasība pēc datu aizsardzības speciālista saskan ar otru regulas prasību – to, ka noteiktos gadījumos, uzsākot personas datu apstrādi, vai veicot tajā izmaiņas, jāveic datu aizsardzības ietekmes novērtējums (angliski – Data Protection Impact Assessment jeb DPIA). Cik zināms, DVI, kas valsts mērogā pārzina GDPR ieviešanu, patlaban vēl nav pilnīgi precīzi un ļoti detalizēti noteikusi tās darbības jomas, kurām šāda veida novērtējums būs obligāts. T. s. nezināmo zonu jautājums vēl joprojām ir aktuāls. Piemēram, vai šāds novērtējums ir nepieciešams tūrisma aģentūrai, kas klientiem kārto vīzas uz Ziemeļkoreju? Te gan jābilst, ka 2015. gadā izdotie Ministru kabineta noteikumi Nr. 216 Kārtība, kādā sagatavo un iesniedz personas datu apstrādes atbilstības novērtējumu jau ir diezgan gatavs "špikeris" novērtējuma veikšanai.
Regula galveno uzsvaru liek uz gadījumiem, kad tiek sākts jauns datu apstrādes process. Latvijā līdz pēdējam maz ir diskutēts par to, vai šāds novērtējums būtu obligāti jāveic par tām personas datu apstrādes darbībām, kas tiek veiktas jau šobrīd un turpināsies arī pēc 25. maija. A. Kreņģelis te atgādina par ES darba grupas skaidrojumu, respektīvi, to, ka par esošu apstrādi var neveikt novērtējumu vēl trīs gadus, ja datu pārzinis ir pārliecināts, ka ar šo apstrādi viss bija un ir kārtībā. Rodas gan loģisks jautājums, kā gan datu pārzinis var būt par to pārliecināts, neveicot formālu vai vismaz neformālu novērtējumu?
Eksperts kā peļamu norāda to, ka DVI diemžēl esot atteikusies no GDPR piedāvātās iespējas paredzēt obligātu konsultēšanos veselības un sociālajā jomā, kas, viņaprāt, Latvijā būtu lieti noderējusi, ņemot vērā e-veselības projekta smago gaitu.
Jaunās prasības sekmē gan interesi, gan arī pieprasījumu pēc datu aizsardzības speciālistiem. Oktobra vidū, atbilstoši DVI ziņām, Latvijā bija 174 sertificēti personas datu aizsardzības speciālisti. Paredzams, ka Latvijā, kur daudz mazu un vidēju privātu uzņēmumu un valsts iestāžu, lielas iespējas šajā jomā būs ārpakalpojumu sniedzējiem.
Kreņģelis, kas ir arī nesen sertificēts datu aizsardzības speciālists, Dienai skaidro, ka šī joma interesē gan juristus, gan datorzinātņu speciālistus, taču pašlaik sertificēto speciālistu vidē izteikts ir juristu pārsvars. Viņaprāt, tas arī esot loģiski, ņemot vērā to, ka, lai izpildītu GDPR prasības, lielākā daļa uzmanības jāvelta organizatoriskajiem pasākumiem un tikai varbūt 20% rezultāta būs atkarīgi no tehniskajiem risinājumiem. Esot, piemēram, IT uzņēmumi, ironizē Kreņģelis, kas kā panaceju piedāvā tehnisku risinājumu izejošo e-pastu kontrolei ar 10% efektivitāti vai personas datu atrašanai "aisberga neredzamajā daļā" – uzņēmuma darbības laikā sakrātajos failos un e-pastos. Taču, ja iestāde vai uzņēmums neizpildīs GDPR organizatoriskās prasības, tad šādam tehniskajam risinājumam būs maza vērtība problēmu gadījumā.
Squalio valdes locekļa Gata Oša skatījumā tipisks datu aizsardzības speciālists ir jurists ar zināšanām IT jomā, jo primāri šim speciālistam jāapzinās visas likuma prasības, jāprot tās interpretēt un piemērot, kā arī jāzina, kā gatavot un pielāgot virkni dažādu dokumentu.