1. mīts: Latvijā regulas prasības tiks mazinātas ar jauno likumu.
Lai arī Vispārīgās datu aizsardzības regulas piemērošana jau ir zemajā startā, daudzi uzņēmumi cer, ka Latvijā regulas prasības tiks mazinātas ar jauno likumu. Tomēr nekas neliecina par to, ka šādām cerībām būtu kāds pamats, jo Latvijas likums regulas kā tieši piemērojama normatīvā akta prasības var mīkstināt tikai atsevišķos gadījumos un šobrīd izstrādātais likumprojekts liecina, ka Latvijas likums varētu pat regulas prasības pastiprināt. Piemēram, tas nosaka regulā neietvertas papildu prasības datu aizsardzības speciālista kvalifikācijai un paredz, ka Eiropas Savienības dalībvalsts datu aizsardzības speciālistam ir jābūt atbilstošām valsts valodas zināšanām un profesionālai darbībai nepieciešamajām Latvijas normatīvo aktu zināšanām.
Papildus tam likumprojekta anotācijā ir norādīts, ka, sākot ar 2019. gadu, naudas sodos, kas piemēroti par regulas pārkāpumiem, plānots iekasēt teju pusmiljonu eiro. Turklāt diezgan ievērojami plānots palielināt arī Datu valsts inspekcijas, kura uzraudzīs regulas ievērošanu, darbinieku skaitu.
2. mīts: Personas dati ir tikai vārds, uzvārds, personas kods, līdz ar to ne visi uzņēmumi, organizācijas veic personas datu apstrādi un ne visiem ir jāievēro regula.
Lai saprastu, uz kuriem procesiem attiecas regula, jāsāk būtu ar nepieciešamību izprast un pareizi piemērot terminu "personas dati". Personas dati nav tikai vārds, uzvārds, personas kods, bet ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu. Līdz ar to personas datus apstrādā ikviens uzņēmums, organizācija, valsts iestāde, jo ikviens no tiem iegūst, glabā un izmanto darbinieku, amatpersonu datus vai pat klientu personas datus, ja klienti ir fiziskas personas.
Būtiski ir identificēt procesus, kuru ietvaros uzņēmums veic personas datu apstrādi, ņemot vērā personas datu definīciju un to, ka personas datu aizsardzības principi attiecas ne tikai uz IT sistēmās un datubāzēs apstrādātiem personas datiem, bet var attiekties arī uz datiem papīra formātā. Šo procesu identificēšana palīdzēs saprast jauno pienākumu piemērošanas jomu un līdz ar to noteikt to īstenošanas prioritātes un secību.
3. mīts: Galvenais ir iecelt datu aizsardzības speciālistu.
Gan no uzņēmumiem, gan valsts iestādēm ir dzirdēts viedoklis, ka jaunās regulas ieviešanā galvenais ir iecelt datu aizsardzības speciālistu. Atsevišķos mazos uzņēmumos tas, iespējams, varētu līdzēt, ja šāds speciālists spētu sagatavot visus regulas ievērošanas nodrošināšanai nepieciešamos dokumentus un ieviest regulas noteiktos procesus. Tomēr lielākoties šāds uzskats un rīkošanās saskaņā ar to var paaugstināt risku pārkāpt jauno regulu un tā rezultātā saņemt ne tikai lielo sodu, bet arī nodarīt kaitējumu reputācijai.
Lai nodrošinātu jaunās regulas prasību ieviešanu, ir jāizstrādā dažādi dokumenti un jāievieš jauni procesi, un datu aizsardzības speciālista iecelšana ir tikai viens no šiem procesiem. Savukārt pārējo regulas prasību izpildei ir nepieciešama gan IT, gan juridisko jautājumu pārzināšana, gan praktiska pieredze personas datu aizsardzībā un informācijas drošībā.
Lielākoties viens datu aizsardzības speciālists nespēj visus šos nosacījumus izpildīt. Arī pati regula neparedz, ka datu aizsardzības speciālistam ir jānodrošina regulas ieviešana un ievērošana. Datu aizsardzības speciālista galvenā funkcija ir konsultēt, dot padomus, uzraudzīt un sadarboties ar uzraudzības iestādi. Arī līdzšinējais Latvijā notiekošais datu aizsardzības speciālista kvalifikācijas iegūšanas pārbaudījums ietver galvenokārt juridisko datu aizsardzības, nevis IT zināšanu novērtēšanu, kā arī zināšanas tiek pārbaudītas tikai attiecībā uz šobrīd piemērojamo Fizisko personu datu aizsardzības likumu, nevis jauno regulu.
Tādējādi, lai sagatavotos regulas ievērošanai, ir nepieciešams izveidot komandu, kurā darbotos gan juristi un IT speciālisti, gan personāla vadības speciālisti un uzņēmuma komercdarbības procesu pārzinātāji, un ieteikums ir, lai šiem darbiniekiem būtu zināšanas un pieredze personas datu aizsardzības jautājumos. Ne katrā uzņēmumā ir pieejami visi šie speciālisti, vai arī tiem nav nepieciešamā laika jauno prasību ieviešanai.
Šādā situācijā regulas ieviešanai var izmantot ārpakalpojumu, no daudziem pieejamiem izvēloties to pakalpojumu sniedzēju, kuram ir pieejami visi iepriekš minētie speciālisti ar visām iepriekš minētajām zināšanām un pieredzi.
Nav apšaubāms, ka datu aizsardzības speciālists būtu nepieciešams gandrīz katrā uzņēmumā un atsevišķos gadījumos saskaņā ar regulu tas būs obligāti jāieceļ, tomēr, lai sagatavotos regulas piemērošanai, ar datu aizsardzības speciālista iecelšanu būs krietni par maz.
4. mīts: Pietiek ar drošiem IT risinājumiem.
Atsevišķu uzņēmumu priekšstats ir, ka datu aizsardzībai un regulas ievērošanai galvenais ir nodrošināt informācijas drošību tehnoloģiskajā vidē, piemēram, ieviešot atbilstošas paroles, šifrēšanu, pretvīrusu programmas, ugunsmūrus, izmantojot uzticamus mākoņpakalpojumu sniedzējus.
Tas, neapšaubāmi, ir svarīgi un ir nepieciešams, tomēr jāņem vērā, ka regula nosaka gan tehniskus, gan arī organizatoriskus pienākumus, un neviens uzņēmums nevarēs ieviest regulu un nodrošināt tās ievērošanu tikai ar tehniskiem līdzekļiem. Jo, pirmkārt, visas prasības izpildīt ar tehniskiem līdzekļiem ir ļoti dārgi, un, otrkārt, visas prasības šobrīd nav iespējams izpildīt tikai tehnoloģiski.
Piemēram, regula ievieš jaunu principu – pārskatatbildība, saskaņā ar kuru regula ir jāievēro un regulas ievērošanu jāspēj apliecināt, neskatoties uz to, ka nav notikusi tieša nelikumīga darbība. Piemēram, lai apliecinātu, ka tiek izpildīts princips, saskaņā ar kuru personas datus ir atļauts apstrādāt tikai tik ilgi, cik pastāv to apstrādes mērķis, iekšējos noteikumos jābūt noteiktam attiecīga veida personas datu (tai skaitā arī elektroniskā formātā esošo datu) glabāšanas termiņam un jābūt aktam, kurš apliecina, ka pēc šī termiņa personas dati tiek iznīcināti, izdzēsti.
Apliecinājums ir jānodrošina arī attiecībā uz tehniski veikto datu aizsardzību, piemēram, ja tiek piemērota datu šifrēšana, to jāspēj apliecināt, tai skaitā arī apliecināt tad, kad dators, kurā glabātie dati ir šifrēti, tiek nozaudēts vai nozagts.
Līdz ar to arī bezdarbība, organizatorisku darbību neveikšana, piemēram, iekšējo procedūru un ieviesto tehnisko drošības pasākumu nedokumentēšana, var būt regulas pārkāpums. Tādējādi būtiski ir izprast un atbilstoši ieviest regulas prasības – gan tehniskās, gan organizatoriskās.
5. mīts: Datu drošības speciālisti vajadzīgi tikai lielajiem uzņēmumiem, regulas prasības ir saistošas tikai pārziņiem, bet ne apstrādātājiem.
Atsevišķās publikācijās gan Latvijā, gan ārvalstīs ir ietverta neprecīza informācija par dažādām jaunās regulas prasībām. Piemēram, regulā paredzētās "tiesības tikt aizmirstam" tiek aprakstītas kā jaunas tiesības, neskatoties uz to, ka šīs tiesības pastāv jau šobrīd. Maldinošs ir arī viedoklis, ka uzņēmumiem, kuros darbinieku skaits pārsniedz 250 personas, jaunā regula uzliek pienākumu norīkot atbildīgo par fizisko personu datu drošību.
Tā tas nav. Ņemot vērā regulas pamatprincipus, ir secināms, ka atbildīgajam par personas datu drošību vajadzētu būt norīkotam jebkurā uzņēmumā neatkarīgi no nodarbināto skaita.
Galvenokārt visas regulas prasības ir vienlīdz saistošas gan lieliem, gan maziem uzņēmumiem. Tāpat regula ir saistoša gan pārziņiem – uzņēmumiem, kuri paši apstrādā savu klientu datus vai uzdod to darīt ārpakalpojumu sniedzējam, gan apstrādātājiem – ārpakalpojumu sniedzējiem, kuri apstrādā citu uzņēmumu klientu personas datus, piemēram, glabā tos uz saviem serveriem vai izsūta mārketinga informāciju citu uzņēmumu klientiem šo uzņēmumu uzdevumā. Tomēr atkarībā no uzņēmuma lomas – pārzinis vai apstrādātājs – mainās arī regulā noteikto pienākumu apjoms. Līdz ar to būtiski ir identificēt uzņēmuma lomu un tam attiecīgo regulā noteikto pienākumu apjomu.
Seko "Delfi" arī Instagram vai YouTube profilā – pievienojies, lai uzzinātu svarīgāko un interesantāko pirmais!
