Jaunā datu aizsardzības regula nav revolūcija, taču jāgatavojas laikus  (17)

Jaunā regula paredz vienotus nosacījumus personas datu aizsardzībai ES līmenī. Tie attiecināmi uz datu apstrādi, uzturēšanu, nodošanu citiem uzņēmumiem un arhivēšanu. Ar to tiks nodrošināta vienas pieturas aģentūra uzņēmējiem – kompānijām būs jāsadarbojas tikai ar vienu datu aizsardzības uzraudzības iestādi, lai nodrošinātu vienkāršāku un lētāku uzņēmējdarbību ES, skaidro Tieslietu ministrija (TM).

Pēdējā laikā regula kļuvusi par bubuli, ar ko tiek baidīti uzņēmēji, un savā ziņā ne velti, jo sodi par nopietniem pārkāpumiem paredzēti bargi, līdz pat 4% no uzņēmuma vai uzņēmumu grupas, kurā tas iekļauts, apgrozījuma vai 20 miljoniem eiro. Regula attiecas uz pilnīgi visiem komersantiem, arī ārpus ES firmām, kuras ievāc un apstrādā ES pilsoņu datus.

"Fizisku personu dati ir definēti ļoti plaši. Principā tie ir visi dati, kas attiecas uz identificētu vai identificējamu fizisku personu. Ja uzņēmumam ir klientu datubāze, atsauksmju vai ieteikumu anketas, e-pasti, bildes, novērošanas kameru video, klientu lojalitātes programmu dati, CV un tamlīdzīgi dati, tad uz uzņēmumu tiek attiecināta jaunā regula," skaidro "Squalio" juriste Elīna Girne.

Jau šobrīd datu aizsardzību regulē "Fizisko personu datu aizsardzības likums" un ES regula, kas pieņemta 1995. gadā. Jaunā regula, kā saka TM padomniece datu aizsardzības jautājumos Jekaterina Macuka, "nav revolūcija, bet gan evolūcija".

Viņa norāda, ka viena no būtiskākajām izmaiņām, kas turpmāk būs jāievēro uzņēmumiem, saistīta ar datu noplūdēm, proti, ja līdz šim komersantiem par datu noplūdi nebija jāziņo Datu valsts inspekcijai (DVI), tad tagad tas obligāti darāms 72 stundu laikā pēc noplūdes. Gadījumos, kad noplūdusi informācija, kas skar cilvēka tiesības un intereses vai var radīt diskriminācijas draudus, par noplūdi jāpaziņo arī viņam.

Valsts un pašvaldību iestādēm, kā arī tiem komersantiem, kuri apstrādā sensitīvu informāciju, datus par sodāmībām un pārkāpumiem, kā arī tiem, kuri apstrādā lielu datu daudzumu, veic sistemātisku subjekta novērošanu jeb profilēšanu, būs jāalgo datu aizsardzības speciālists. Šis cilvēks var būt gan štata darbinieks, gan ārpakalpojumā piesaistīts eksperts. Plānots, ka tieši datu aizsardzības speciālists būs tas, kurš klientiem jeb datu subjektiem skaidros visus interesējošos jautājumus saistībā ar datu apstrādi.

Līdz šim ikvienam bija iespēja divreiz gadā saņemt informāciju par to, kā un kādi personas dati tiek apstrādāti, taču līdz ar nākamā gada 25. maiju šis ierobežojums tiks atcelts, un turpmāk informāciju par savu datu apstrādi varēs lūgt neierobežoti. "Ja datu aizsardzības likums saka, ka, ievācot datus, ir jāpasaka, kas ievāc un kāpēc, divi punkti, tad regulas kontekstā jau ir 12 punkti, kas jāizstāsta datu subjektam," norāda datu aizsardzības speciāliste Agnese Boboviča, piebilstot, ka tas jādara vienkāršā un saprotamā veidā.

Savukārt Macuka stāsta, ka šobrīd jaunajai regulai gatavāki ir apzinīgākie uzņēmēji, proti, tie, kuri jau šobrīd pilda kā likuma, tā regulas prasības. "Regula neizgudro neko jaunu, tikai precizē un modernizē jau esošo. Tie, kur līdz šim uzskatīja, ka datu aizsardzība nav svarīga, nebūs tik gatavi," viņa uzsver, piebilstot, ka ne viens vien uzņēmums rosīties sāka jau pērn.

Boboviča iesaka vispirms novērtēt savu "datu saimniecību", proti, kāda informācija tiek ievākta un kādēļ. Viņa atgādina par datu minimizācijas principu – drīkst ievākt vien tos datus, kas patiešām nepieciešami. Piemēram, klientu lojalitātes programmās nereti tiek prasīta adrese, lai it kā sūtītu komercpiedāvājumus, kas gan beigās nemaz netiek darīts, un adrese ievākta vien ievākšanas pēc.

Eksperte atgādina, ka datu aizsardzības normas attiecas arī uz uzņēmuma darbiniekiem – jāgādā arī par viņu datu drošību. "Bieži vien personāla dokumentos ir dažādas lietas saliktas, tostarp pases kopijas, ar ko Datu valsts inspekcija jau sen cīnās. Personāla lietā nevajadzētu būt pases kopijām, jo tā ir pārmērīga datu apstrāde," klāsta Boboviča.

Datu aizsardzības speciālisti regulu vērtē kā sarežģītu, niansētu un pilnu deklaratīvu jēdzienu, līdz ar to katra situācija ir jāvērtē atsevišķi, jo, kas vienā brīdī ir pieņemams, otrā ir rupjš pārkāpums. "Regula, manuprāt, ir mērķtiecīgi taisīta tā, lai būtu ļoti vispārēja, un katrā situācijā ir vajadzīgs skatījums no konkrētās situācijas un aspektiem. Tiešām ir ļoti grūti pateikt punktus, uz kuriem balstoties var ievilkt ķeksīšus un pateikt, ka mums viss ir," pastāstīja datu aizsardzības speciāliste Kristīne Puķēna, piebilstot, ka nereti jāizvērtē tieši ētiskie aspekti.

Runājot par datu aizsardzības un apstrādes ētiku, Boboviča kā piemēru min uzņēmumu paradumu topošos darbiniekus izpētīt sociālajos tīklos. Direktīvas 95/46/EK 29. panta darba grupa atzinusi, ka darba devējam ir jācenšas maksimāli nošķirt privāto no profesionālās dzīves, taču šāda izpēte ir pieļaujama, ja tas tieši izriet no amata, uz kuru cilvēks kandidē. "Tad mēs ilgi sēdējām un filozofējām, kas tad tā par vakanci, kur būtu saprātīgi pameklēt sociālajos tīklos. Jums nāk kas prātā?" vaicā Boboviča.

"Mūsu fiziskā privātā telpa ir viens, bet mūsu virtuālā privātā telpa – tā jau arī ir tikpat privāta. Tas, ka tā ir viegli pieejama, ir cits jautājums. Es tomēr izvēlos savā mājā aicināt savus draugus, un, ja man kāds lūr caur logu, kas nav aicināts, tad es saucu policiju," salīdzina Puķēna. Viņa skaidro, ka cilvēki nereti īsti neaizdomājas par to, kur nonāk viņu sniegtie dati un kas ar tiem tiek darīts, pašam subjektam nezinot. "Visa informācija tiek glabāta, tā krājas un nekur nepazūd. Ja tā ir internetā, tad arī tur paliks," stāsta Puķēna.

Izpratne par datu drošību Latvijas sabiedrībā arvien pieaug, vienlaikus daudzi joprojām uzskata, ka "man nav, ko slēpt, un izpauž, piemēram, savu personas kodu vai piekļuves datus", stāsta Macuka. To, ka ar saviem datiem jārīkojas piesardzīgi, ļaudis visbiežāk saprot, kad elektroniskajā vidē jau saskārušies ar problēmām. Viens no regulas uzdevumiem dalībvalstīm ir iedzīvotāju izglītošana gan par to, kas ir aizsargājami dati, gan to, kā tos aizsargāt. Arī Boboviča norāda, ka "ar informāciju un personas datiem ir tāpat kā ar nazi – var nogriezt maizi un nogalināt", proti, informācija var "atspēlēties".

Ekspertes smejas, ka, daudz par to domājot, var iedzīvoties paranojā, taču vienlaikus uzsver, ka straujās informācijas tehnoloģiju nozares attīstības dēļ nevienam nav īsti skaidrs, kas notiks pēc vairākiem gadiem. Tiesa, tas gan nebiedē cilvēkus labprātīgi tehnoloģiju milžiem nodot savus pirkstu nospiedumus un ļaut iegaumēt sejas pantus.

Lai arī privātā telpa ir sargājama, arī tā nav neizskarama, ja runa ir par drošību, tiesa, robeža starp abiem ir ļoti izplūdusi. Ekspertes norāda, ka sabiedrība dalās divās grupās – vieni ir tie, kuriem vienalga, ka viņus monitorē, jo svarīgāk ir, piemēram, netapt teroristu uzspridzinātam, savukārt otri ir tie, kuri augstāk vērtē savu privātumu un nevēlas, lai ikkatru viņu soli uzmana "lielais brālis".

ES tiesu praksē ir vētīti šādi gadījumi un atzīts, ka novērot subjektu drīkst tikai gadījumos, kad ir kāds pavediens, kas vedina domāt par personas noziedzīgajiem nolūkiem. "Nevar ņemt un visu Latviju izsekot. Ir jābūt jau kaut kādai konkrētai darbībai, kas liek domāt, ka es varu būt ļaunā," skaidro Boboviča.

Ekspertes uzsver, ka tieši tiesu prakse lielā mērā parādīs, kā jaunā regula ir piemērojama. "Jāņem vērā, ka datu aizsardzība ir process. Nav tā, ka paņēmām vienu mapīti, uztaisījām un pēc gada atkal atvērām. Šodien bija, rīt vairs nav droši," stāsta Boboviča, piebilstot, ka regulāri mainās arī kiberriski.

Tātad turpmāk uzņēmumiem jābūt rūpīgākiem un sava datu saimniecība jātur kārtībā, vienlaikus sekojot līdzi datu drošības nozares jaunumiem. Jāņem vērā, ka arī sabiedrība kļūst arvien zinošāka par savām tiesībām un par pārkāpumiem var ziņot DVI, atgādina ekspertes.