Pagājis mēnesis kopš Vispārīgās datu aizsardzības regulas (VDAR) piemērošanas dienas, kuru daudzi gaidīja teju vai ar krampjiem vēderā. Uzņēmumi steidza kārtot savas datu saimniecības, rakstīja procedūras, mainīja līgumus, izsūtīja n-tos "lūdzu apstipriniet, ka vēlaties arī turpmāk saņemt no mums ziņas" e-pastus un cerams mainīja arī attieksmi pret datu aizsardzību un privātumu. Vai Regulas izraisītie krampji ir atlaisti, vai šis ir tikai pats sākums?

Ieguldījumi datu privātumā un drošībā – prioritāte

Nule kā publiskotajā lielākajā IT vadības aptaujā pasaulē, kuru veikusi Harvey Nash un KPMG, tika konstatēts, ka organizācijas steidz palielināt ieguldījumus datu privātumā un drošībā, lai izpildītu VDAR prasības un izvairītos no datu aizsardzības pārkāpumiem, kuri šobrīd ir sasnieguši rekordaugstu līmeni un var nest milzīgus zaudējumus. Šogad gandrīz par ceturtdaļu (23 %) vairāk respondentu nekā 2017. gadā par prioritāti ir izvirzījuši uzlabojumus kiberdrošībā, jo kibernoziegumi ir sasnieguši ļoti augstu līmeni, turklāt par nozīmīgu elementu ir kļuvusi operacionālā riska pārvaldība un atbilstības ievērošana (12 %). Šīs divas jomas uzņēmumu vadības ir noteikušas par būtiskākajām IT prioritātēm. Datu uzticamība un draudi drošībai joprojām ir primārais informācijas sistēmu administratoru rūpju bērns, un, kamēr uzņēmumi ievieš datu drošības uzlabošanas pasākumus un šādi pasākumi tiek integrēti likumdošanā, piemēram, VDAR, vairāk nekā trešdaļa (38 %) aprīlī aptaujāto uzskatīja, ka Regulas piemērošanas brīdī viņi vēl nebūs izpildījuši visas prasības.

Savukārt Latvijā savlaicīgi sagatavošanās mājasdarbus pildīja lielākoties lielie uzņēmumi, daļa attapās tikai dažus mēnešus pirms maija, bet ir arī tādi, kas par Regulas prasību izpildi sāk domāt tikai tagad.

Pieņemts nacionālais likums

Arī nacionālo Fizisko personu datu apstrādes likuma pieņemšanu daudzi gaidīja ar aizturētu elpu, jo, lai arī Regula katrā dalībvalstī piemērojama tieši, tomēr vietējās varas rokās bija iespēja prasību grožus savilkt vēl ciešāk vai atlaist vaļīgāk vietās, kurās tā pieļāva rīcības brīvību un nacionālās interpretācijas iespējas. Tagad ir oficiāli tapis skaidrs, kas būs uzraugošā iestāde Latvijā, kāds būs sertifikācijas un rīcības kodeksu akreditācijas process, kādi izņēmumi no Regulas noteikumiem būs spēkā Latvijā, kā arī tas, ka pašreiz Latvijā nebūs administratīvs sods valsts un pašvaldību iestāžu amatpersonām par Regulas noteikumu neievērošanu. Tāpat ir skaidrība par datu aizsardzības speciālistiem – tie nebūs obligāti jāsertificē, galvenā būs pieredze un kompetence strādāt ar datu aizsardzības jautājumiem.

Līdz ar Fizisko personu datu apstrādes likuma, kā arī citu speciālo likumu pieņemšanu, kas atteicas uz fizisko personu datu aizsardzību, virkne izmaiņas sekos citos normatīvajos aktos, kas skar fizisko personu datus. Tāpat arī pieņemot jaunus likumus, anotācijā līdzās citiem izvērtējumiem par jaunā likuma ietekmi, būs jāiekļauj izvērtējums par ietekmi uz personu datiem. Attiecīgi varētu teikt, ka nacionālā normatīvā bāze kādu laiku būs pārmaiņu gaisotnē attiecībā uz fizisko personu datu aizsardzības iekļaušanu tajos.

Sūdzību jūra

Par Regulu zina ne tikai uzņēmumi un organizācijas, bet arī paši datu subjekti jeb klienti. Vērīgākie jau spējuši iespējamos datu aizsardzības pārkāpumus identificēt un vērsušies ar sūdzībām uzraudzības iestādē, kur sūdzību skaits aizvadītā mēneša laikā esot divkāršojies. Lai redzētu, kā Regula darbosies dzīvē, visticamāk to sapratīsim no pirmajiem precedentiem – Datu valsts inspekcijas oficiāli apstiprinātiem pārkāpumiem un sodiem, kas tiks piemēroti.